Hace unos días contactaron conmigo para realizar un análisis forense sobre una intrusión en un cluster Big Data. Al parecer habían comprometido un conjunto de máquinas e instalado mineros de criptomonedas en todos los nodos del cluster.

Dejo aquí una reseña de la actividades que hice para descubrir como accedieron y que hicieron los piratas.

Antes de empezar

La primera actuación antes de meterse en harina es ejecutar un script para recuperar la máxima información sobre los datos volátiles y después desenchufar las máquinas de la corriente, no es conveniente parar las máquinas de forma ordenada porque hay algunos crackers que dejan un proceso ejecutándose que en cuanto detectan la caída de un interfaz de red eliminan toda la información del sistema.

En ese script de recopilación de datos volátiles hay que recuperar datos de los procesos que se ejecutan (ps), ficheros abiertos (lsof), conexiones de red (netstat), comandos ejecutados…