В ноябре в рамках конференции Moscow Hacking Week прошла ещё одна кибербитва STANDOFF — мероприятие проводится уже 12-й раз. Однако STANDOFF 12 запомнился не только присвоением звания пятикратного чемпиона команде Codeby, но и новыми отраслями — в разработке одной из них мы приняли непосредственное участие. И если вы следите за нашими новостями, то сможете без проблем ответить, что это была за отрасль… Правильно, космос!
Соревнование было поистине масштабным: 15 команд 4 дня нон-стопом взламывали все из представленных областей (не досталось только сборочной инфраструктуре Positive Technologies, за взлом наивысшего уровня которой организаторы пообещали 5 миллионов рублей). Мы также проводили собственные отборочные испытания, давшие возможность победителям отправиться покорять Государство F в составе команды bRedTeam.
Наша отрасль успела пострадать от рук этичных хакеров — в 19 отправленных отчётах было реализовано 16 недопустимых событий, из которых защитники сумели расследовать только 7.
Давайте разберём одну из самых интересных цепочек развития событий — «Отправка сигнала на спутник RUVDS» (событие критического уровня сложности, которое никто так и не реализовал, но не всё так просто, и в конце статьи вы это поймёте).
В этом году «типичный» для атакующих первичный вектор был сменён с простого фишинга на более интересный — на каждом секторе в открытом доступе были так называемые врата (gates), впоследствии дающие возможность проникнуть в локальную инфраструктуру сегментов для реализации недопустимых событий.
▍ Шаг 1. Первичное сканирование и дальнейшая эксплуатация
На узле cosmolink.gates2.stf атакующие путём сканирования могли найти плагин wpDiscuz. К сожалению, CosmoLink не сильно заботилась о своей безопасности — был установлен плагин уязвимой версии, дающей возможность исполнения произвольного кода на узле (CVE-2020-24186).
▍ Шаг 2. Перемещение атакующих во внутреннюю часть сети, закрепление в ней и последующее изучение сервисов
Получив доступ к исполнению произвольных команд, атакующие с помощью пивотинга наладили себе прокси-соединение и принялись изучать ранее недоступный сегмент сети.
Пивотинг (pivoting) — набор техник, позволяющий получить доступ к внутренним ресурсам, минуя сетевую изоляцию, сетевые средства защиты, файрвол и прочие помехи.
На найденном внутри ресурсе video.cosmolink.stf хакеры обнаружили уязвимость в загрузке файлов — можно было «обмануть» сервер и вместе с ожидаемой картинкой загрузить исполняемый произвольный PHP-код:
Такой же техникой, как и выше, участники расширили свой сегмент сети и получили доступ к MS Exchange Server.
▍ Шаг 3. Работа с Exchange и получение прямого доступа внутрь инфраструктуры через VPN
Подобрав пароль к одной из учётных записей, злоумышленники получили доступ к контактной книжке, содержащей имена и фамилии наряду с отделами, в которых работают сотрудники. Этой информации вполне достаточно, чтобы запросить через бота помощи конфигурацию VPN:
Через этот же доступ в корпоративной почте хакеры разослали фишинговые документы и получили сессии от 3 различных пользователей.
▍ Шаг 4. Анализ доменных компьютеров и информационная жатва
На компьютерах была применена не совсем корректная конфигурация — пользователь, открывший вредоносное вложение, имел привилегию SeImpersonate, через которую можно в два счёта повысить себе привилегии до локального Администратора, а это уже даёт возможность вытащить хэши пользователей, в которых неожиданно находятся данные администратора сегмента:
С такими полномочиями можно вполне попробовать залогиниться на соседние компьютеры — и защитники это обнаружили:
На этом узле были найдены данные для входа в один из компьютеров для управления — они располагались в «Моих документах» пользователя A_Shine. Атакующие, естественно, не могли пройти мимо такого подарка судьбы и успешно зашли на критический узел.
На этом этапе райтап мог бы закончиться, ведь недопустимое событие «красные» так и не реализовали. Однако в данном случае им всего лишь не хватило времени — все необходимые доступы уже и так были получены, и атакующие были в шаге от того, чтобы реализовать критическое по важности для компании событие. В любом случае, возможно, им удастся это сделать в следующий раз — и вполне вероятно, что и другие объекты инфраструктуры могут пострадать. Но именно благодаря таким мероприятиям наша жизнь и становится безопаснее, ведь все участники получают бесценный опыт, который позволит в уже совсем близком будущем защитить объекты в космосе от киберугроз с Земли.
Скидки, итоги розыгрышей и новости о спутнике RUVDS — в нашем Telegram-канале ?
