1️⃣ 내부 시스템(192.168.0.68)에서 victim1 계정 다수 로그인 → 내부자 또는 초기 침투 성공

2️⃣ 외부 IP(34.64.114.10)에서 victim1 계정으로 접근 성공 → 외부 공격자 접근 개시

3️⃣ 곧이어 node3 계정으로도 로그인 시도 → lateral movement 또는 권한 탈취 의심

✅ [1] 최초 침투 및 권한 상승 시도

🔹 날짜: 2023년 8월 4일

🔍 로그 분석:

• 10:31:25 ~ 10:40:57

  • victim1 계정으로 192.168.0.68에서 SSH 로그인 시도 및 성공

    log
    복사편집
    sshd[10721]: Accepted password for victim1 from 192.168.0.68 ...
    
    

  • 이후 반복적인 접속 및 종료가 이루어짐 (포트: 56844, 34384, 36892, 44336, 33792)

🔹 의심 행위:

• victim1 사용자가 여러 차례 root 권한 획득 (su, sudo 명령)
• 공격자는 su 명령을 통해 root 세션을 열고 여러 명령을 실행한 것으로 추정

✅ [2] 신규 사용자 생성 및 네트워크 도구 설정

🔹 날짜: 2023년 8월 4일 10:13:00 ~ 10:13:07

🔍 로그 분석:

• 사용자 node3 생성 및 비밀번호 설정

  log
  복사편집
  useradd[10271]: new user: name=node3, UID=1001, GID=1001 ...
  passwd[10280]: password changed for node3
  
  

• gnome-keyring 관련 경고도 함께 발생

• 10:12:34

  • 공격자가 update-alternatives --config nc 실행 (Netcat 설정 가능성)

  log
  복사편집
  sudo: COMMAND=/usr/bin/update-alternatives --config nc
  
  

🔹 의심 행위: