«Противостояние» на PHDays 8 — взгляд со стороны SOC

в 8:46, , рубрики: PHDays, positive hack days, SoC, the standoff, Блог компании Перспективный мониторинг, взлом, взлом и защита, информационная безопасность, кибератаки, перспективный мониторинг, противостояние, центр мониторинга

В мае этого года прошла конференция Positive Hack Days 8, на которой мы вновь поучаствовали в роли SOC в уже традиционном Противостоянии (The Standoff).

В этом году организаторы учли прошлые ошибки и Противостояние началось в срок. Атакующие — молодцы! Нападали практически непрерывно все 30 часов, поэтому нашей ночной смене не удалось даже вздремнуть.

image

Что к чему

О мероприятии мы рассказывали в нашей прошлогодней статье, но кратко освежим.

Битва проходит между Защитниками и Атакующими. Защитники могут обороняться в одиночестве, а могут воспользоваться услугами экспертных центров мониторинга (SOС) и держать оборону «смотря в оба». Защитникам так же выделяют средства обороны и защиты от хакеров-злодеев.

В этом году организаторы построили 7 объектов, которые надо было защищать:

  • Офисы
  • Телеком-оператор
  • ТЭЦ
  • Нефтяная компания
  • Железнодорожная компания
  • Банк
  • IoT устройства

image

И участвовали 3 команды SOC:

  • Перспективный мониторинг
  • Angara Technologies Group
  • Ростелеком

image

Хакеры могли развлекаться по своему усмотрению. Фактически, единственным правилом было не атаковать непосредственно инфраструктуру, на которой «крутилось» Противостояние. К тому же организаторы периодически «подыгрывали» нападающим, разворачивая дырявые сервисы. А в конце и вовсе отключили системы антифрода в городе.

Для хакеров была разработана специальная криптовалюта и майнеры, которые они могли внедрять в скомпрометированные объекты. «Майнер крутится, биткоин мутится» — по меткому замечанию члена казахстанской команды Царка.

В этом году мы вновь выступили в роли SOC для одного из офисных сегментов. Защитниками этого сегмента стали уже знакомые нам по прошлогоднему мероприятию ребята из Сервионики.

Чем защищали

Для обороны мы использовали:

  • ViPNet IDS для DMZ.
  • ViPNet IDS для локальной сети.
  • ViPNet HIDS (host IDS) для контроля ключевых серверов Офиса.
  • ViPNet Threat Intelligence Analytics System (TIAS) для анализа логов, мониторинга и аналитики.

И конечно же, в наших сенсорах, мы используем собственные разработанные правила, в которые также входят сигнатуры на новейшие атаки, напугавшие весь мир!

Что зафиксировали

За период Противостояния аналитиками SoC Перспективный мониторинг зафиксировано порядка 2 млн. событий, выявлено 30 инцидентов информационной безопасности.

Расстановка сил на карте сражения выглядела следующим образом:

image

  • Office-R2 — пограничный маршрутизатор объекта Офис 1, через который осуществлялось подключение к двум интернет-провайдерам F-telecom и Backup ISP.
  • Office-FW1 — межсетевой экран для разграничения доступа между сегментами локальной сети и внешними ресурсами (DMZ).
  • Office-R1 — использовался для маршрутизации внутри офисного сегмента.

За поддержку инфраструктурных объектов Офиса 1 отвечали наши коллеги — команда «Сервионика». Наша же задача заключалась в информировании, когда у ребят что-то пойдёт не так.

После старта игры, основная масса событий происходила вокруг DMZ-зоны. Атакующие пытались пробить внешний рубеж через эксплуатацию веб-уязвимостей. Началось всё по традиции со сканирования. Атакующие запустили сканеры DirBuster и Acunetix и прошлись по адресам в DMZ.

Злоумышленник с ip 100.110.255.127 упорно пытался установить соединение с БД MySQL интернет-магазина на защищаемом узле 100.64.100.167. Все попытки перебора были успешно заблокированы со стороны сервера.

Через некоторое время традиционно начали подбирать пароли к SSH и RDP.

На узле 100.64.100.183 при сканировании атакующим с адресом 100.110.255.17 обнаружена уязвимость в SMB. На сервере отсутствовало обновление MS17-010 docs.microsoft.com/en-us/security-updates/SecurityBulletins/2017/ms17-010. О чём защитники были своевременно проинформированы.

Примечательно, что проверку на возможность эксплуатации уязвимости в EternalBlue проводили огромное количество раз. Данные события были одними из самых частых за время Противостояния. Но это и не удивительно. Несмотря на то, что прошел уже год с момента массового заражения, до сих пор остаётся огромное количество уязвимых к этой атаке машин.

image

Также атакующие массово пытались провести эксплуатацию уязвимости CVE-2014-6271 (удалённое выполнение кода в Bash).

В районе 16.00 первого дня зафиксировали успешную эксплуатацию уязвимости SambaCry на узле 100.64.100.167. Защитники потеряли доступ к этому узлу до следующего дня. Атакующий с адресом 100.110.255.176 после эксплуатации провёл разведку периметра с помощью NMAP и забрал outfile с данными по сканированию.

В ночь от скомпрометированного узла устанавливались соединения на 443-й порт узла 100.100.100.202. После сброса всех сессий активность закончилась. Предположительно, на узел 100.100.100.202 был залит майнер со взломанного 100.64.100.167.

image
Главный инструмент расследования — лист бумаги и ручка

Ночью атакующие активно взялись за взлом системы мониторинга Zabbix. На него проводились попытки эксплуатации уязвимости eternalblue, подбирали пароль к ssh и пытались заливать shell через /zabbix/zabbix.php.

image

Утром второго дня зафиксировали подозрительную активность с защищаемого узла 100.100.100.202. С него устанавливалось соединение к ip из внешней сети 100.64.100.242 и отправлялись подозрительные сертификаты. Проведённое расследование показало, что на этом узле сбрутили пароль от ssh и залили майнер. Также украли файл с базой данных bd.frm. В целом, злоумышленник «спалился» на самоподписанном сертификате. Мы сразу среагировали на эту машину, посмотрели сессии, а там ещё сидит хакер. Тёпленький.

Практически параллельно с этим был обнаружен взлом ещё одного узла 100.64.100.242 (WordPress). На нём были довольно интересные credentials. Для логина «Shaggy» подобрали пароль. И он оказался… конечно же «Scooby».

image

После компрометации с данного узла проводили разведку периметра. Сканировали 20, 25, 80-й порты. Хакера выгнали, тачку забрали.

До последнего хакеры пытались проводить атаки типа sql-injections, брутили FTP, RDP, SSH. В общем, действовали по классической схеме.

Итоги

image

«Противостояние» удалось! Конечно, в этот раз нам не удалось «выйти сухими из воды». Атакующим удалось частично пробить защиту офиса. Однако, данное мероприятие принесло бесценный опыт. Полученные сведения помогут лучше понять современные векторы атак и принять меры по противодействию им на практике.

Автор: Eris

Источник


* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js