![](https://habrastorage.org/getpro/habr/upload_files/a91/7c6/6f7/a917c66f77d223df4de8e0aa41dbeaa8.png)
Введение
Привет! Извиняюсь за долгий выпуск продолжения нашего "экшн-сериала", после The Standoff 2020 я (@clevergod) и все ребята "ушли в работу с головой", и новость о весеннем марафоне The Standoff 2021 выбила из колеи.
Кто пропустил первые 2 части, предварительно ознакомьтесь, чтобы "не смотреть кино с конца":
Итак, в этой части: продолжим погружаться внутрь сети, увидим что находится за первичкой, как мы справлялись с “отфутболиванием”, когда даже организаторы попросили создать учетную запись в захваченном домене, как мы сделали самую масштабную майнинг-ферму и про разлив нефти… погнали...
PS. просьба не забывать, что с момента победы прошло уже больше полугода и некоторые нюансы могут быть поданы с небольшим искажением, т.к. данная статья создавалась “на горячую”, затем была заброшена и в итоге написана с нуля. Также материала, в том числе скриншотов с разных подсетей и серверов настолько много, что если выпускать каждый месяц по статье, хватит на пару лет. Я постарался выбрать только то, что позволит отследить наше шествие...
![](https://habrastorage.org/getpro/habr/upload_files/607/888/87b/60788887b1ed295e5bc0a875f7710683.png)
Office 5 - Nuft 100
Вся суть изложения во всех подробностях осложняется тем, что организаторы PT ( Positive Technologies) реализовали настолько масштабный кибер-полигон, в котором мы неоднократно путались и прыгали с вектора к вектору. Вдобавок в прошлом 2020 году, в отличие от 2021 года, организаторы, команды защитников и зачастую команды противников вели невероятно ожесточенные сражения друг с другом как внутри сегментов сети, так и на периметре на первичных точках входа. Также на лету редактировался состав подсетей и Вам, как зрителю, будет очень сложно понять весь масштаб; но мы постараемся пояснить.
Напомню, первичный скан всех 6-ти подсетей содержал как минимум 10 машин внутри каждой, итого - уже более 60-ти хостов. Внутри первого взятого вектора была еще целая офисная сеть, состоящая из леса доменов, первичных, вторичных и read-only контроллеров, различных wsus, db, backup, file server, exchange, rdg, sharepoint и других серверов. Это множится на еще пару десятков хостов, за которыми находились пользовательские ПК, субдомены и связующие сервисы, а также SCADA. И это мы оцениваем по владениям только одного офиса. В качестве затравки к новой статье скажу, что в 2021 у нас было 3 полностью взятых офиса, и там была просто паутина из сервисов.. А пока вернёмся в 2020 год.
Риски
Вот такие риски можно было реализовать в домене Nuft:
![](https://habrastorage.org/getpro/habr/upload_files/46c/a60/04b/46ca6004b55ce86554e1a170c6b92a71.png)
Что мы знали о сетях?
![](https://habrastorage.org/getpro/habr/upload_files/51d/b59/755/51db59755d1b7a3a1254782ba7956fce.png)
Что мы имели в наличии?
![](https://habrastorage.org/getpro/habr/upload_files/2f6/9dd/fad/2f69ddfad39efbb4d61f50e572ebe383.png)
Огромное спасибо хотел выразить Саше (@MOD_ON), который не только помогал с инфраструктурой, но и был нашим “художником”, выполняя схематичное отражение всех наших движений. Без него мы бы попросту плутали по кругу.
![](https://habrastorage.org/getpro/habr/upload_files/6d5/3d0/ba3/6d53d0ba3f1bb55661eeaea6207e8d6b.png)
Вход в сеть
После получения RCE на 139 и 167 хостах во внешней сети офиса Nuft.gqs, мы бросились на поиск сетевых маршрутов и на сканирование внутренних сетей и сервисов.
![](https://habrastorage.org/getpro/habr/upload_files/41f/2e9/07d/41f2e907d7f20446cd8413250b87b3eb.png)
Со 167 машины нас в 100500 раз выпилили и даже удалили БД; видимо лучше ни себе ни людям,
![](https://habrastorage.org/getpro/habr/upload_files/216/fe9/f82/216fe9f82c3f460fb3950770d5a364cf.png)
но имея один шаткий вектор, мы нашли подсеть 172.20.61.0/24 и незамедлительно захотели ее тщательно исследовать.
![](https://habrastorage.org/getpro/habr/upload_files/a48/c19/d62/a48c19d62fdc44651c5fc7a856aa8b29.png)
![](https://habrastorage.org/getpro/habr/upload_files/ae0/2fa/09c/ae02fa09cc89efd7eb625418eece6c48.png)
Далее мы увидели целую череду серверов и начали проводить первичный анализ.
В этом домене, судя по данным Zabbix, должно быть еще 89 хостов.
![](https://habrastorage.org/getpro/habr/upload_files/331/943/452/3319434527b3873b5a6c800ba3b2c6f0.png)
Сюрприз
Анализируя окружение, мы поняли, что не только не первыми попали в эту подсеть, но и то, что внутри уже идет жестокая “борьба за власть” на разных серверах, в т.ч. на PDC AD (основном контроллере домена).
![](https://habrastorage.org/getpro/habr/upload_files/99e/0f8/1e1/99e0f81e1451495935c25180ab961046.png)
![](https://habrastorage.org/getpro/habr/upload_files/6ed/56f/1f2/6ed56f1f2cc3f9528ed598ec98b6eb83.png)
![](https://habrastorage.org/getpro/habr/upload_files/26d/374/85f/26d37485fdc1d708258a41808166a491.png)
![](https://habrastorage.org/getpro/habr/upload_files/558/51b/412/55851b41285715c61232fc7c9206156e.png)
Пришлось пустить в ход все возможные привески, боковые движения и весь подручный и наработанный на CTF-площадках и из реальных “боевых условий” инструментарий. В какой-то момент даже пришлось установить свой софт на машины из полигона.
![](https://habrastorage.org/getpro/habr/upload_files/5c0/f9c/079/5c0f9c0794b976eb33aef0a18f9c920b.png)
Первый риск
14.11.2020 - пока все воевали, мы выполнили свой первый риск!19:04 Реализован риск Команда атакующих Codeby реализовала риск «Утечка конфиденциальной информации и ценных документов» - Нефтяное месторождение
И одновременно еще один:
19:04 Реализован риск Команда атакующих Codeby реализовала риск «Утечка конфиденциальной информации и ценных документов» - Нефтехимический завод
![](https://habrastorage.org/getpro/habr/upload_files/f0d/535/c96/f0d535c963403ac71202e101aeb9294e.png)
Спустя некоторое время ребята “веберы” реализовали еще 2 риска:
21:17 Реализован риск Команда атакующих Codeby реализовала риск «Сбой системы продажи билетов. Сбой внутренних систем регистрации пассажиров, систем управления логистикой» - Аэропорт *2
22:48 Реализован риск Команда атакующих Codeby реализовала риск «Сбои в работе онлайн-касс» - Парк развлечений
![](https://habrastorage.org/getpro/habr/upload_files/0d9/cb3/f48/0d9cb3f48f176a982fae1f9abd653e94.png)
По итогу дня мы реализовали 4 бизнес-риска, но в рамках разведки, проникновения, удержания и вечных сражений была еще целая ночь без сна впереди…
![](https://habrastorage.org/getpro/habr/upload_files/c12/cbc/24f/c12cbc24f71dd654b80d19510abb8ed2.png)
Майнинг - начало
Ночь принесла новые проблемы: часть ребят ушла спать, и в это время нас вынесли из домена в десятый раз… Немного отчаявшись, мы переключились на другой домен, в котором творилась такая же чехарда. Собрав коллективный разум в кучу, прикинув, какие доступы у нас есть, и сколько времени уйдет на реализацию, мы решили не распыляться на иные вектора. Часть тех, кто бодрствовал, отправились на захваченный домен (пусть и похожий на общежитие, но уже родной), остальные занялись веб-уязвимостями и майнингом, который в том момент времени только запустили. Пока мы разбирались с криптой, другие команды не теряли времени и сразу пошли в отрыв...
![](https://habrastorage.org/getpro/habr/upload_files/0da/f2e/dbe/0daf2edbe206c5dbd081c78f5ee3dffa.png)
Чтобы Вы понимали, что это не простой процесс, в котором для достижения успеха нужен невероятный и ежесекундный контроль, я приведу скриншоты ниже. Наш Саша заморочился настолько, что производил сравнение в Excel таблице практически в реальном времени процесса майнинга, т.к. более одного майнера на хосте не работало и другие команды также запускали своих и кикали наших, возникала необходимость мониторинга и контроля:
![](https://habrastorage.org/getpro/habr/upload_files/e5d/b4c/20a/e5db4c20a68fd6333325daf4312a1452.png)
Постоянно приходилось смотреть за результатами других команд:
![](https://habrastorage.org/getpro/habr/upload_files/482/269/cd6/482269cd686ec14f9e41fb326b8a3b59.png)
Закреп и разведка
Но вернёмся к инфре. Не смотря ни на что, мы успели забрать дамп с домена:
![](https://habrastorage.org/getpro/habr/upload_files/3a9/016/bb9/3a9016bb920412a83cf502d24cd29099.png)
Дальше нашли возможность пробраться в закрытый домен через пользовательскую сеть
![](https://habrastorage.org/getpro/habr/upload_files/c2d/988/16e/c2d98816e12692d25c917577198d46b0.png)
![](https://habrastorage.org/getpro/habr/upload_files/7c4/f61/632/7c4f616324086fdf35be0372a2611caa.png)
И уже почти “нащупали” скаду, нас в очередной раз дропнули по всем фронтам…
![](https://habrastorage.org/getpro/habr/upload_files/9dc/0ad/3f9/9dc0ad3f961d455f260649e2a8b776c5.png)
После наверное 20-го выпиливания, мы решили, что нужно положить конец этому безрассудному поведению ряда команд и начать вести аналогичную игру в “короля горы”. В скриншотах ниже отображена лишь малая часть той боли, которая заставила нас местами паниковать. Вот представьте себе: участвуя в The Standoff 2019, нам даже не дали возможности пощупать внутрянку, но здесь мы пробиваемся в DMZ. Но мало того, что не понимаем куда двигаться, в отличие от опытных команд, которые ранее были внутри и сдавали риски, нас еще подрезают во всем.
А потеря доверительных отношений в домене - это самое ужасное, что может произойти. На все наши обращения к организаторам по соблюдению правил игры, честной, интересной и конкурентной борьбы поступали отписки, в духе “мол ну как-то так ребята, крутитесь…”
![](https://habrastorage.org/getpro/habr/upload_files/e54/867/62b/e5486762b8e535451ff4d240ac196cd0.png)
В какой-то момент кто-то из команд противников просто уронил весь домен:
![](https://habrastorage.org/getpro/habr/upload_files/23c/9e8/5e6/23c9e85e604a6018a7b4dc8808cbd7d1.png)
Нам сменили все креды, поудаляли локальных админов и все наши “закрепы”:
![](https://habrastorage.org/getpro/habr/upload_files/1aa/1a2/502/1aa1a2502cce091a7b325c0d0735e105.png)
Понимаете, когда идет легкая борьба за “власть” - это еще куда ни шло, но когда команды противников начинают откровенно хамить, разрывая доверительные отношения и меняя GPO, это уже ни в какие ворота…
Недоступность RPC сервера и разрушение леса домена:
![](https://habrastorage.org/getpro/habr/upload_files/ab0/18f/eac/ab018feacf8e8e11fe7e1bc7e43156e2.png)
![](https://habrastorage.org/getpro/habr/upload_files/39a/f3c/582/39af3c582b00e89003f7c2e9b4657b95.png)
И когда были заменены все креды на все учетки, в том числе на SA к DB, наше терпение лопнуло и было решено поступить иначе.
У матросов, нет вопросов
![](https://habrastorage.org/getpro/habr/upload_files/32b/ea7/83b/32bea783ba62e3072fca862489c04808.png)
Начинаем анализировать логи (я ж SOC как ни крути) и идем хулиганить, меняя все, что видим: доменных админов, локальных админов. Восстанавливаем связи, появляются новые коннекты, отслеживаем их и дропаем, ставим свои лог-коллекторы, выпиливаем, переписываем GPO, запихиваем свои бек-коннекты на все леса домена. Так мы боролись практически весь вечер и всю ночь...
![](https://habrastorage.org/getpro/habr/upload_files/ebe/86a/870/ebe86a87047174bc49f6154634fa557e.png)
![](https://habrastorage.org/getpro/habr/upload_files/082/368/5e0/0823685e08773bf192b42961d1599557.png)
Восстанавливаем правопорядок и находим новые сегменты сети, сокращая отставание добычи криптовалюты:
![](https://habrastorage.org/getpro/habr/upload_files/dfb/f78/3d5/dfbf783d5b16cea69be27b8d6a37ca10.png)
В какой-то момент времени мы понимаем, что народу у нас не хватает. Активность ребят в крайние дни оставляет желать лучшего, все устали, вымотались. Лично я очень напрыгался по голосовым каналам в совокупности с постоянными диалогами с капитаном по телефону, параллельно слушая все происходящее во всех каналах, отвлекаясь на рабочие и семейные моменты. Мы абсолютно не понимали за что хвататься, что держать: майнинг, домен или точки входа, на которых к слову было еще жарче. Команда, изначально состоящая из 2 основных направлений “Веберы” и “Инфраструктурщики”, была вынуждена сгруппироваться в одно направление, и в какой-то момент нам свои же ребята кинули картинку-мем:
![](https://habrastorage.org/getpro/habr/upload_files/d05/252/910/d052529107da93a6d9b0b6f040892640.png)
SCADA
Самое ужасное, что могли реализовать организаторы - это уязвимость BlueKeep на хостах со скадой, потому что угадать с нагрузкой, да и еще не положить машину было крайне сложно. Женя с Тимуром бороли этот вектор и прошла просто вечность, прежде чем им это удалось. Приходилось не просто угадывать грум-сайз, но и дампить трафик пока машина уходит в reboot:
![](https://habrastorage.org/getpro/habr/upload_files/2f1/f26/353/2f1f263533beea6c3d75783153ccc7f3.png)
![](https://habrastorage.org/getpro/habr/upload_files/a93/bef/f48/a93beff48f87998ef865d180cba8226f.png)
Кроме проблем с BlueKeep нам не хватало только борьбы за SCADA хосты, и она не заставила себя долго ждать. Нас снова выпирают ребята из команды back2oaz.
![](https://habrastorage.org/getpro/habr/upload_files/cd7/635/36d/cd763536d3c9f0761ffc8bfe3e0073d1.png)
Через Михаила Левина договариваемся работать на скада хостах по 2 часа, меняясь и соблюдая договоренности.
![](https://habrastorage.org/getpro/habr/upload_files/a4e/0b8/0e6/a4e0b80e6aeb5a850503c7142e918447.png)
И реализуем свой первый крупный бизнес-риск - это разлив нефти, а следом еще один!
15.11.2020
10:30 Реализован риск Команда атакующих Codeby реализовала риск «Нарушение процесса производства химических веществ» -Нефтехимический завод
10:40 Реализован риск Команда атакующих Codeby реализовала риск «Остановка процесса производства химических веществ» - Нефтехимический завод
![](https://habrastorage.org/getpro/habr/upload_files/9bf/e68/cc4/9bfe68cc4fa39de1ee0456173d30b518.png)
Но наши противники не желали делить победу, поэтому нагло вытуривают нас, реализуя этот же бизнес риск. Слегка обидевшись, делаем с ними тоже самое, только уже в цикле:
![](https://habrastorage.org/getpro/habr/upload_files/63f/b08/b3f/63fb08b3fa284f1d75ffe1dc86efeb4a.png)
В итоге мы забираем домен NUFT у всех нерадивых, а затем выясняем, что даже организаторы не могут на него попасть, и просят у нас создать для них учетную запись :)
Догоняем лидеров и больше суток держимся на первом месте:
![](https://habrastorage.org/getpro/habr/upload_files/0f2/80d/a7d/0f280da7dd948565061669429ed29ebb.png)
16.11.2020
09:41 Реализован риск Команда атакующих Codeby реализовала риск «Остановка процесса добычи нефти» - Нефтяное месторождение
23:48 Реализован риск Команда атакующих Codeby реализовала риск «Нарушение процесса транспортировки нефтепродуктов в нефтехранилища» - Нефтяное месторождение
Мы наращиваем добычу криптовалюты, но не все идет мягко: агенты майнинг-фермы не хотят работать на большинстве хостов, иногда из-за того, что часть хостов не входят в сегмент, с которого учитывается добыча, иногда из-за технических проблем с коннектом или неработоспособностью агентов:
![](https://habrastorage.org/getpro/habr/upload_files/d87/130/4e0/d871304e08643ed28c1ac8f98f60e459.png)
Таблица лидеров меняется, и мы нагоняем упущенное:
![](https://habrastorage.org/getpro/habr/upload_files/1c3/d02/fe7/1c3d02fe73a2f1ca17fe2baebc3adf8f.png)
Но в целом наша команда опережает самых лютых противников, с которыми, как предполагаем, мы и сражались в том самом, теперь уже нашем домене…
Набираем обороты в добыче и реализовываем еще риски, пробиваясь в другие подсети.
Была невероятно захватывающая игра с сильными конкурентами, которые не давали нам ни минуты спокойствия. Каждый хотел победы, начались скандалы в общем чате, все начали молниеносно сдавать репорты о рисках и багах, но у нас была не просто синица в рукаве, я бы сказал целый птеродактиль...
![](https://habrastorage.org/getpro/habr/upload_files/f78/b18/388/f78b18388763f1b9da2a623d0132f67a.png)
17.11.2020
00:16 Реализован риск Команда атакующих Codeby реализовала риск «Утечка персональных данных пассажиров» - Аэропорт
09:00 Реализован риск Команда атакующих Codeby реализовала риск «Остановка процесса транспортировки нефтепродуктов в нефтехранилища» - Нефтяное месторождение
13:59 Реализован риск Команда атакующих Codeby реализовала риск «Трансляция неавторизованного контента на рекламных видеоэкранах» - Телерадиокомпания
![](https://habrastorage.org/getpro/habr/upload_files/2b4/361/6dd/2b43616dd15a5e14cd4d91a092a7ee0e.png)
Финал
Хочу выразить огромную благодарность Саше, Антону, Богдану, Евгению за очень плотную поддержку и огромную проделанную работу в захвате и удержании доменных сетей, без Вас, ребята, мы бы просто не справились. Так же низкий поклон ребятам, которые занимались точками входа: Мурату(@manfromkz), Олегу, Magichk’у, Сергею, Диме, Паше, Леше и другим ребятам, которые участвовали. Отдельное спасибо Батыру и его NitroTeam - Вы, ребята, добрейшие, отзывчивые и лучшие спецы. Низкий поклон владельцу форума Codeby.net - Сергею, за то, что нас поддерживал и собрал под эгидой форума. Всему форуму за поддержку: читателям, участникам форума, грей и ред командам. Ну и конечно моему френду - Тимуру, за то, что мы рука об руку шли к этой победе, тренировались, набирали команду, находились на связи больше 20 часов в сутки. Ряду ребят из нашей команды после “финального гонга” при очередном входящем звонке я сказал, что слышать не могу их голос, и мы здорово посмеялись. Вы себе можете представить, что по окончанию марафона после награждения, мы всей командой часами продолжали обсуждать наше шествие, допущенные ошибки. Эмоции, которые мы испытали - распирали, и очень стало не хватать продолжения, и это продолжалось еще долгими вечерами...
![](https://habrastorage.org/getpro/habr/upload_files/274/c3b/246/274c3b24612a487f108db52928f06bd2.png)
Организаторам The Standoff 2020 всей команде Positive Hack Days, тем кто освещал и не всегда верил в нашу победу (да, Юлия, мы это помним :)) - большое спасибо за площадку, за атмосферу, за интерес к ИБ сообществу. Вы - большие молодцы.
![](https://habrastorage.org/getpro/habr/upload_files/068/466/07b/06846607b48f8edaaaeac1ee198f9fa9.png)
Послесловие:
Новичкам в сфере ИБ хочу пожелать не лениться, тренироваться, даже когда очень некогда: по ночам, в выходные, в праздники, и уделять саморазвитию время. Ищите векторы, учитесь анализировать, найдите комьюнити по душе. Наш Codeby.net всегда рад помочь в становлении молодых специалистов, все участники открыты помогать друг другу. Всем добра, любви, и чтобы Ваша работа над собой приносила только положительные эмоции!