«Противостояние» на PHDays 8 — взгляд со стороны SOC

    В мае этого года прошла конференция Positive Hack Days 8, на которой мы вновь поучаствовали в роли SOC в уже традиционном Противостоянии (The Standoff).

    В этом году организаторы учли прошлые ошибки и Противостояние началось в срок. Атакующие — молодцы! Нападали практически непрерывно все 30 часов, поэтому нашей ночной смене не удалось даже вздремнуть.

    image

    Что к чему


    О мероприятии мы рассказывали в нашей прошлогодней статье, но кратко освежим.

    Битва проходит между Защитниками и Атакующими. Защитники могут обороняться в одиночестве, а могут воспользоваться услугами экспертных центров мониторинга (SOС) и держать оборону «смотря в оба». Защитникам так же выделяют средства обороны и защиты от хакеров-злодеев.

    В этом году организаторы построили 7 объектов, которые надо было защищать:

    • Офисы
    • Телеком-оператор
    • ТЭЦ
    • Нефтяная компания
    • Железнодорожная компания
    • Банк
    • IoT устройства

    image

    И участвовали 3 команды SOC:

    • Перспективный мониторинг
    • Angara Technologies Group
    • Ростелеком

    image

    Хакеры могли развлекаться по своему усмотрению. Фактически, единственным правилом было не атаковать непосредственно инфраструктуру, на которой «крутилось» Противостояние. К тому же организаторы периодически «подыгрывали» нападающим, разворачивая дырявые сервисы. А в конце и вовсе отключили системы антифрода в городе.

    Для хакеров была разработана специальная криптовалюта и майнеры, которые они могли внедрять в скомпрометированные объекты. «Майнер крутится, биткоин мутится» — по меткому замечанию члена казахстанской команды Царка.

    В этом году мы вновь выступили в роли SOC для одного из офисных сегментов. Защитниками этого сегмента стали уже знакомые нам по прошлогоднему мероприятию ребята из Сервионики.

    Чем защищали


    Для обороны мы использовали:

    • ViPNet IDS для DMZ.
    • ViPNet IDS для локальной сети.
    • ViPNet HIDS (host IDS) для контроля ключевых серверов Офиса.
    • ViPNet Threat Intelligence Analytics System (TIAS) для анализа логов, мониторинга и аналитики.

    И конечно же, в наших сенсорах, мы используем собственные разработанные правила, в которые также входят сигнатуры на новейшие атаки, напугавшие весь мир!

    Что зафиксировали


    За период Противостояния аналитиками SoC Перспективный мониторинг зафиксировано порядка 2 млн. событий, выявлено 30 инцидентов информационной безопасности.

    Расстановка сил на карте сражения выглядела следующим образом:

    image

    • Office-R2 — пограничный маршрутизатор объекта Офис 1, через который осуществлялось подключение к двум интернет-провайдерам F-telecom и Backup ISP.
    • Office-FW1 — межсетевой экран для разграничения доступа между сегментами локальной сети и внешними ресурсами (DMZ).
    • Office-R1 — использовался для маршрутизации внутри офисного сегмента.

    За поддержку инфраструктурных объектов Офиса 1 отвечали наши коллеги — команда «Сервионика». Наша же задача заключалась в информировании, когда у ребят что-то пойдёт не так.

    После старта игры, основная масса событий происходила вокруг DMZ-зоны. Атакующие пытались пробить внешний рубеж через эксплуатацию веб-уязвимостей. Началось всё по традиции со сканирования. Атакующие запустили сканеры DirBuster и Acunetix и прошлись по адресам в DMZ.

    Злоумышленник с ip 100.110.255.127 упорно пытался установить соединение с БД MySQL интернет-магазина на защищаемом узле 100.64.100.167. Все попытки перебора были успешно заблокированы со стороны сервера.

    Через некоторое время традиционно начали подбирать пароли к SSH и RDP.

    На узле 100.64.100.183 при сканировании атакующим с адресом 100.110.255.17 обнаружена уязвимость в SMB. На сервере отсутствовало обновление MS17-010 docs.microsoft.com/en-us/security-updates/SecurityBulletins/2017/ms17-010. О чём защитники были своевременно проинформированы.

    Примечательно, что проверку на возможность эксплуатации уязвимости в EternalBlue проводили огромное количество раз. Данные события были одними из самых частых за время Противостояния. Но это и не удивительно. Несмотря на то, что прошел уже год с момента массового заражения, до сих пор остаётся огромное количество уязвимых к этой атаке машин.

    image

    Также атакующие массово пытались провести эксплуатацию уязвимости CVE-2014-6271 (удалённое выполнение кода в Bash).

    В районе 16.00 первого дня зафиксировали успешную эксплуатацию уязвимости SambaCry на узле 100.64.100.167. Защитники потеряли доступ к этому узлу до следующего дня. Атакующий с адресом 100.110.255.176 после эксплуатации провёл разведку периметра с помощью NMAP и забрал outfile с данными по сканированию.

    В ночь от скомпрометированного узла устанавливались соединения на 443-й порт узла 100.100.100.202. После сброса всех сессий активность закончилась. Предположительно, на узел 100.100.100.202 был залит майнер со взломанного 100.64.100.167.

    image
    Главный инструмент расследования — лист бумаги и ручка

    Ночью атакующие активно взялись за взлом системы мониторинга Zabbix. На него проводились попытки эксплуатации уязвимости eternalblue, подбирали пароль к ssh и пытались заливать shell через /zabbix/zabbix.php.

    image

    Утром второго дня зафиксировали подозрительную активность с защищаемого узла 100.100.100.202. С него устанавливалось соединение к ip из внешней сети 100.64.100.242 и отправлялись подозрительные сертификаты. Проведённое расследование показало, что на этом узле сбрутили пароль от ssh и залили майнер. Также украли файл с базой данных bd.frm. В целом, злоумышленник «спалился» на самоподписанном сертификате. Мы сразу среагировали на эту машину, посмотрели сессии, а там ещё сидит хакер. Тёпленький.

    Практически параллельно с этим был обнаружен взлом ещё одного узла 100.64.100.242 (Wordpress). На нём были довольно интересные credentials. Для логина «Shaggy» подобрали пароль. И он оказался… конечно же «Scooby».

    image

    После компрометации с данного узла проводили разведку периметра. Сканировали 20, 25, 80-й порты. Хакера выгнали, тачку забрали.

    До последнего хакеры пытались проводить атаки типа sql-injections, брутили FTP, RDP, SSH. В общем, действовали по классической схеме.

    Итоги


    image

    «Противостояние» удалось! Конечно, в этот раз нам не удалось «выйти сухими из воды». Атакующим удалось частично пробить защиту офиса. Однако, данное мероприятие принесло бесценный опыт. Полученные сведения помогут лучше понять современные векторы атак и принять меры по противодействию им на практике.
    Перспективный мониторинг
    72.68
    Company
    Share post

    Comments 0

    Only users with full accounts can post comments. Log in, please.