В мае этого года прошла конференция Positive Hack Days 8, на которой мы вновь поучаствовали в роли SOC в уже традиционном Противостоянии (The Standoff).
В этом году организаторы учли прошлые ошибки и Противостояние началось в срок. Атакующие — молодцы! Нападали практически непрерывно все 30 часов, поэтому нашей ночной смене не удалось даже вздремнуть.
О мероприятии мы рассказывали в нашей прошлогодней статье, но кратко освежим.
Битва проходит между Защитниками и Атакующими. Защитники могут обороняться в одиночестве, а могут воспользоваться услугами экспертных центров мониторинга (SOС) и держать оборону «смотря в оба». Защитникам так же выделяют средства обороны и защиты от хакеров-злодеев.
В этом году организаторы построили 7 объектов, которые надо было защищать:
И участвовали 3 команды SOC:
Хакеры могли развлекаться по своему усмотрению. Фактически, единственным правилом было не атаковать непосредственно инфраструктуру, на которой «крутилось» Противостояние. К тому же организаторы периодически «подыгрывали» нападающим, разворачивая дырявые сервисы. А в конце и вовсе отключили системы антифрода в городе.
Для хакеров была разработана специальная криптовалюта и майнеры, которые они могли внедрять в скомпрометированные объекты. «Майнер крутится, биткоин мутится» — по меткому замечанию члена казахстанской команды Царка.
В этом году мы вновь выступили в роли SOC для одного из офисных сегментов. Защитниками этого сегмента стали уже знакомые нам по прошлогоднему мероприятию ребята из Сервионики.
Для обороны мы использовали:
И конечно же, в наших сенсорах, мы используем собственные разработанные правила, в которые также входят сигнатуры на новейшие атаки, напугавшие весь мир!
За период Противостояния аналитиками SoC Перспективный мониторинг зафиксировано порядка 2 млн. событий, выявлено 30 инцидентов информационной безопасности.
Расстановка сил на карте сражения выглядела следующим образом:
За поддержку инфраструктурных объектов Офиса 1 отвечали наши коллеги — команда «Сервионика». Наша же задача заключалась в информировании, когда у ребят что-то пойдёт не так.
После старта игры, основная масса событий происходила вокруг DMZ-зоны. Атакующие пытались пробить внешний рубеж через эксплуатацию веб-уязвимостей. Началось всё по традиции со сканирования. Атакующие запустили сканеры DirBuster и Acunetix и прошлись по адресам в DMZ.
Злоумышленник с ip 100.110.255.127 упорно пытался установить соединение с БД MySQL интернет-магазина на защищаемом узле 100.64.100.167. Все попытки перебора были успешно заблокированы со стороны сервера.
Через некоторое время традиционно начали подбирать пароли к SSH и RDP.
На узле 100.64.100.183 при сканировании атакующим с адресом 100.110.255.17 обнаружена уязвимость в SMB. На сервере отсутствовало обновление MS17-010 docs.microsoft.com/en-us/security-updates/SecurityBulletins/2017/ms17-010. О чём защитники были своевременно проинформированы.
Примечательно, что проверку на возможность эксплуатации уязвимости в EternalBlue проводили огромное количество раз. Данные события были одними из самых частых за время Противостояния. Но это и не удивительно. Несмотря на то, что прошел уже год с момента массового заражения, до сих пор остаётся огромное количество уязвимых к этой атаке машин.
Также атакующие массово пытались провести эксплуатацию уязвимости CVE-2014-6271 (удалённое выполнение кода в Bash).
В районе 16.00 первого дня зафиксировали успешную эксплуатацию уязвимости SambaCry на узле 100.64.100.167. Защитники потеряли доступ к этому узлу до следующего дня. Атакующий с адресом 100.110.255.176 после эксплуатации провёл разведку периметра с помощью NMAP и забрал outfile с данными по сканированию.
В ночь от скомпрометированного узла устанавливались соединения на 443-й порт узла 100.100.100.202. После сброса всех сессий активность закончилась. Предположительно, на узел 100.100.100.202 был залит майнер со взломанного 100.64.100.167.
Главный инструмент расследования — лист бумаги и ручка
Ночью атакующие активно взялись за взлом системы мониторинга Zabbix. На него проводились попытки эксплуатации уязвимости eternalblue, подбирали пароль к ssh и пытались заливать shell через /zabbix/zabbix.php.
Утром второго дня зафиксировали подозрительную активность с защищаемого узла 100.100.100.202. С него устанавливалось соединение к ip из внешней сети 100.64.100.242 и отправлялись подозрительные сертификаты. Проведённое расследование показало, что на этом узле сбрутили пароль от ssh и залили майнер. Также украли файл с базой данных bd.frm. В целом, злоумышленник «спалился» на самоподписанном сертификате. Мы сразу среагировали на эту машину, посмотрели сессии, а там ещё сидит хакер. Тёпленький.
Практически параллельно с этим был обнаружен взлом ещё одного узла 100.64.100.242 (Wordpress). На нём были довольно интересные credentials. Для логина «Shaggy» подобрали пароль. И он оказался… конечно же «Scooby».
После компрометации с данного узла проводили разведку периметра. Сканировали 20, 25, 80-й порты. Хакера выгнали, тачку забрали.
До последнего хакеры пытались проводить атаки типа sql-injections, брутили FTP, RDP, SSH. В общем, действовали по классической схеме.
«Противостояние» удалось! Конечно, в этот раз нам не удалось «выйти сухими из воды». Атакующим удалось частично пробить защиту офиса. Однако, данное мероприятие принесло бесценный опыт. Полученные сведения помогут лучше понять современные векторы атак и принять меры по противодействию им на практике.
В этом году организаторы учли прошлые ошибки и Противостояние началось в срок. Атакующие — молодцы! Нападали практически непрерывно все 30 часов, поэтому нашей ночной смене не удалось даже вздремнуть.
Что к чему
О мероприятии мы рассказывали в нашей прошлогодней статье, но кратко освежим.
Битва проходит между Защитниками и Атакующими. Защитники могут обороняться в одиночестве, а могут воспользоваться услугами экспертных центров мониторинга (SOС) и держать оборону «смотря в оба». Защитникам так же выделяют средства обороны и защиты от хакеров-злодеев.
В этом году организаторы построили 7 объектов, которые надо было защищать:
- Офисы
- Телеком-оператор
- ТЭЦ
- Нефтяная компания
- Железнодорожная компания
- Банк
- IoT устройства
И участвовали 3 команды SOC:
- Перспективный мониторинг
- Angara Technologies Group
- Ростелеком
Хакеры могли развлекаться по своему усмотрению. Фактически, единственным правилом было не атаковать непосредственно инфраструктуру, на которой «крутилось» Противостояние. К тому же организаторы периодически «подыгрывали» нападающим, разворачивая дырявые сервисы. А в конце и вовсе отключили системы антифрода в городе.
Для хакеров была разработана специальная криптовалюта и майнеры, которые они могли внедрять в скомпрометированные объекты. «Майнер крутится, биткоин мутится» — по меткому замечанию члена казахстанской команды Царка.
В этом году мы вновь выступили в роли SOC для одного из офисных сегментов. Защитниками этого сегмента стали уже знакомые нам по прошлогоднему мероприятию ребята из Сервионики.
Чем защищали
Для обороны мы использовали:
- ViPNet IDS для DMZ.
- ViPNet IDS для локальной сети.
- ViPNet HIDS (host IDS) для контроля ключевых серверов Офиса.
- ViPNet Threat Intelligence Analytics System (TIAS) для анализа логов, мониторинга и аналитики.
И конечно же, в наших сенсорах, мы используем собственные разработанные правила, в которые также входят сигнатуры на новейшие атаки, напугавшие весь мир!
Что зафиксировали
За период Противостояния аналитиками SoC Перспективный мониторинг зафиксировано порядка 2 млн. событий, выявлено 30 инцидентов информационной безопасности.
Расстановка сил на карте сражения выглядела следующим образом:
- Office-R2 — пограничный маршрутизатор объекта Офис 1, через который осуществлялось подключение к двум интернет-провайдерам F-telecom и Backup ISP.
- Office-FW1 — межсетевой экран для разграничения доступа между сегментами локальной сети и внешними ресурсами (DMZ).
- Office-R1 — использовался для маршрутизации внутри офисного сегмента.
За поддержку инфраструктурных объектов Офиса 1 отвечали наши коллеги — команда «Сервионика». Наша же задача заключалась в информировании, когда у ребят что-то пойдёт не так.
После старта игры, основная масса событий происходила вокруг DMZ-зоны. Атакующие пытались пробить внешний рубеж через эксплуатацию веб-уязвимостей. Началось всё по традиции со сканирования. Атакующие запустили сканеры DirBuster и Acunetix и прошлись по адресам в DMZ.
Злоумышленник с ip 100.110.255.127 упорно пытался установить соединение с БД MySQL интернет-магазина на защищаемом узле 100.64.100.167. Все попытки перебора были успешно заблокированы со стороны сервера.
Через некоторое время традиционно начали подбирать пароли к SSH и RDP.
На узле 100.64.100.183 при сканировании атакующим с адресом 100.110.255.17 обнаружена уязвимость в SMB. На сервере отсутствовало обновление MS17-010 docs.microsoft.com/en-us/security-updates/SecurityBulletins/2017/ms17-010. О чём защитники были своевременно проинформированы.
Примечательно, что проверку на возможность эксплуатации уязвимости в EternalBlue проводили огромное количество раз. Данные события были одними из самых частых за время Противостояния. Но это и не удивительно. Несмотря на то, что прошел уже год с момента массового заражения, до сих пор остаётся огромное количество уязвимых к этой атаке машин.
Также атакующие массово пытались провести эксплуатацию уязвимости CVE-2014-6271 (удалённое выполнение кода в Bash).
В районе 16.00 первого дня зафиксировали успешную эксплуатацию уязвимости SambaCry на узле 100.64.100.167. Защитники потеряли доступ к этому узлу до следующего дня. Атакующий с адресом 100.110.255.176 после эксплуатации провёл разведку периметра с помощью NMAP и забрал outfile с данными по сканированию.
В ночь от скомпрометированного узла устанавливались соединения на 443-й порт узла 100.100.100.202. После сброса всех сессий активность закончилась. Предположительно, на узел 100.100.100.202 был залит майнер со взломанного 100.64.100.167.
Главный инструмент расследования — лист бумаги и ручка
Ночью атакующие активно взялись за взлом системы мониторинга Zabbix. На него проводились попытки эксплуатации уязвимости eternalblue, подбирали пароль к ssh и пытались заливать shell через /zabbix/zabbix.php.
Утром второго дня зафиксировали подозрительную активность с защищаемого узла 100.100.100.202. С него устанавливалось соединение к ip из внешней сети 100.64.100.242 и отправлялись подозрительные сертификаты. Проведённое расследование показало, что на этом узле сбрутили пароль от ssh и залили майнер. Также украли файл с базой данных bd.frm. В целом, злоумышленник «спалился» на самоподписанном сертификате. Мы сразу среагировали на эту машину, посмотрели сессии, а там ещё сидит хакер. Тёпленький.
Практически параллельно с этим был обнаружен взлом ещё одного узла 100.64.100.242 (Wordpress). На нём были довольно интересные credentials. Для логина «Shaggy» подобрали пароль. И он оказался… конечно же «Scooby».
После компрометации с данного узла проводили разведку периметра. Сканировали 20, 25, 80-й порты. Хакера выгнали, тачку забрали.
До последнего хакеры пытались проводить атаки типа sql-injections, брутили FTP, RDP, SSH. В общем, действовали по классической схеме.
Итоги
«Противостояние» удалось! Конечно, в этот раз нам не удалось «выйти сухими из воды». Атакующим удалось частично пробить защиту офиса. Однако, данное мероприятие принесло бесценный опыт. Полученные сведения помогут лучше понять современные векторы атак и принять меры по противодействию им на практике.
