Test lab v.9: impossible or nothing



    Коллеги и друзья! Рады представить новую, 9 версию лабораторий тестирования на проникновение, которая представляет из себя виртуальную компанию «CyBear 32C», занимающуюся разработкой различных систем и приложений, в том числе систем обеспечения ИБ. Учитывая специфику деятельности, «CyBear 32C» хорошо защищена от хакерских атак, а ее компрометация потребует качественной подготовки в области практической ИБ.

    Во всех наших лабораториях заложены реальные актуальные уязвимости, присущие современным компаниям той или иной сферы деятельности. Например, в предыдущей, 8-й лаборатории, нами была развернута виртуальная инфраструктура среднестатического банка, содержащая присущие банку системы и сервисы: веб-приложения, ORACLE, почтовый сервис, embedded устройства, а также защитные средства IPS/WAF.

    Сценарии наших лабораторий не носят надуманный характер, мы учитываем современные тенденции компрометации сетей и систем, выбираем специализацию или отрасль деятельности и реализуем в виртуальной среде. Уязвимости, которые мы закладываем в эти системы, обнаружены во время «боевых» тестов на проникновение (мы их используем в обезличенном виде), либо были использованы злоумышленниками. Самые главные аспекты — реалистичность и актуальность.

    Новая лаборатория будет представлять собой виртуальную компанию «CyBear 32C», занимающуюся разработкой различных систем и приложений, в том числе систем обеспечения ИБ. Учитывая специфику деятельности, «CyBear 32C» хорошо защищена от хакерских атак, а ее компрометация потребует качественной подготовки в области практической ИБ.

    В наших лабораториях мы стараемся отражать актуальные угрозы и риски компрометации информационных систем. В последнее время участились случаи атак как профессиональных кибер-преступных групп, так и хакеров-одиночек на технологические компании, связанные с разработкой систем обеспечения информационной безопасности, средств защиты и разработки кибер-оружия.
    Известная кибергруппа Hacking Team, которая специализируется на разработке и продаже специального шпионского ПО для правоохранительных органов и спецслужб различных государств стала объектом кибератаки, в результате которой для общественности стал доступен архив с 400ГБ различной конфиденциальной информации. В сеть утекла личная переписка Hacking Team с их клиентами, заключенные договора на продажу своих кибер-изделий различным государствам, а также большое количество другой информации, связанной с деятельностью компании.

    Казалось бы, такие компании лучше других должны быть подготовлены к нападению и отражению хакерских атак, но на практике это далеко не так:
    Сайт AvSoft Technologies, компании, занимающейся разработкой антивирусного ПО под брендом AVG, был атакован хакерами. Злоумышленники разместили на веб-сайте AvSoft код, который загружал на ПК жертв вредоносное ПО.

    Даже высокотехнологичные компании, специализирующиеся в разработке средств противодействия хакерам могут быть успешно (хотя и частично) атакованы:
    Атака на корпоративную сеть Kaspersky Lab была обнаружена весной 2015 года. Согласно предварительным результатам расследования, «Лаборатория Касперского» была не единственной мишенью атакующих, уже обнаружены и другие жертвы в западных, ближневосточных и азиатских странах (скорее всего, пострадавших гораздо больше). «Способ мышления и тактика группы Duqu 2.0 на целое поколение опережают любые кибератаки и вредоносные кампании, встречавшиеся ранее», —пишет «Лаборатория Касперского».

    Злоумышленники успешно атакуют компании, специализирующиеся на отражении атак и защите данных:
    Значительно более резонансным событием стала атака на антивирусную компанию BitDefender. При этом главной причиной шумихи в СМИ стал даже не сам факт взлома, а то, что пароли пользователей, которые удалось похитить злоумышленникам, хранились в открытом виде.

    Несмотря на то, что информация о взломе BitDefender попала в СМИ 31 июля, сама атака была осуществлена раньше. Так 24 июля пользователь под ником DetoxRansome обратился к BitDefender с требованием выплатить ему $15 тыс… В противном случае, он грозился опубликовать базу «слитых» учетных записей.

    Специализация компании в разработке систем отражения атак абсолютно не означает что сама эта компания хорошо защищена:
    Компания Cyberoam (Sophos) подтвердила кибер-атаку, направленную на свои системы, в результате которой возникла утечка конфиденциальной информации, такая как личные данные клиентов и партнеров.

    Компании, ответственные и специализирующиеся на хранении данных должны тщательно обеспечивать защиту своей инфраструктуры, однако, на практике, это далеко не так:
    В официальном блоге LastPass появилось уведомление, указывающее на то, что сервера компании были скомпрометированы. Подозрительные действия в сети компании были замечены в минувшую пятницу.

    Команда LastPass утверждает, что зашифрованные данные пользователей в безопасности, однако расследование показало, что злоумышленники получили доступ к email, напоминанию пароля, соли и хешам аутентификации пользователей.

    Зачастую разрабатываемые и используемые решения сами представляют огромную угрозу безопасности:
    Исследователи безопасности из группы Zero (созданной компанией Google для предотвращения атак, совершаемых с использованием ранее неизвестных уязвимостей), раскрыли информацию о критической уязвимости (CVE-2016-2208) в антивирусном ПО Symantec. При проверке специально оформленных файлов в формате «PE» можно инициировать переполнение буфера и организовать выполнение кода в системе.

    Поскольку ПО Symantec использует драйвер-фильтр для перехвата всех операций ввода-вывода в системе, атака может быть произведена путем направления в систему-жертву эксплоита практически любым путем — скажем, в виде почтового сообщения или ссылки на файл.

    Эти и множество других случаев компрометации security-вендоров дали нам направление развития сюжета 9-й лаборатории, в которой мы предоставим всем желающим попытать свои силы во взломе технологической компании, сотрудники которой готовы к отражению хакерских атак и считают свою инфраструктуру неуязвимой.

    Участнику, выступающему в роли внешнего нарушителя, необходимо произвести поиск и эксплуатацию уязвимостей, преодолевая различные системы защиты: антивирусы, WAF и Firewall, системы контроля доступа и т.д. Основное отличие лабораторий «Test lab» от CTF-соревнований заключается в реалистичном сюжете: компрометация одного узла может позволить развить атаку на остальные элементы сети.

    Лаборатории созданы с целью легальной проверки и закрепления навыков тестирования на проникновение, каждая из них содержит уникальный сюжет. Принять участие в лаборатории может любой желающий абсолютно бесплатно.

    Лаборатория стартовала, присоединяйтесь!
    • +13
    • 8,5k
    • 5
    Pentestit 56,37
    Информационная безопасность
    Поделиться публикацией
    Комментарии 5
    • +4
      Большое спасибо за ваши труды! Это отличный пример того, как люди показывает делом, а не словом.
      • +4
        Считаем часы до запуска
        • +4
          Восьмая лаба была лучшей в своём роде. Нескучно и полезно в плане обучения. Уверен и в этот раз не подкачали!
          • +4
            Каждый раз все круче и круче.
            Помню первые лабы и свои первые шаги, неделю по 8-12 часов в сутки, незабываемо :)
            Полезный опыт который добывается только практикой, внимание к деталям и терпение.
            • +2
              Ребят, отличная работа. Было бы неплохо, если бы старые лабы оставались онлайн или был бы доступен оффлайн вариант.

              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

              Самое читаемое