Хабрахабр

Противостояние 2019: Jet Security Team заняла первое место в защите

Наши команды Jet Security Team и Jet Antifraud Team сражались плечом к плечу: кибербитва продолжалась нон-стопом целых 28 часов! Третий год подряд сильнейшие ИБ-эксперты «Инфосистемы Джет» приняли участие в The Standoff на PHDays. По итогам «Противостояния» наши защитники стали лучшими, не позволив нападающим «взломать» весь город!
В этом году «Противостояние» было довольно масштабным: 18 команд атакующих (более 250 человек!), 5 классических команд защиты, команда антифрода и 3 SOC.

В ход шли как распространенные эксплоиты, так и выявленные 0-day уязвимости инфраструктуры. В течение 28 часов нападающие атаковали виртуальную инфраструктуру (о чем еще подробно напишут на Хабре). Защитники оперативно выявляли атаки и патчили уязвимости на лету.

Этим нападающие не ограничивались, используя приемы социальной инженерии для десантирования в тыл защитников:

Борьба была очень напряженной, в ход шли любые технические и аналоговые средства:

Несмотря на это, Jet Security Team и Jet Antifraud Team достойно выдержали атаки, а из банка хакеры не смогли забрать ни одного «публя» — единицы виртуальной валюты.

Впервые в составе команды выступили специалисты Центра мониторинга и реагирования на инциденты ИБ Jet CSIRT, которые внимательно следили за каждым инцидентом и своевременно блокировали любые угрозы. Jet Security Team одержала победу среди команд защитников, стойко отражая многочисленные попытки атакующих взломать инфраструктуру вверенного ей офиса морской транспортной компании.

Если раньше у всех были разные объекты защиты (телеком, офис, АСУ ТП) и сравнивать их напрямую было сложно, то теперь для всех команд защитников организаторы подготовили практически одинаковые инфраструктуры и ввели единый рейтинг. Для защитников немного поменялся формат мероприятия. Это однозначно добавило драйва и стимулировало нашу команду к победе.

Если раньше это была АСУ ТП, и условная «поверхность атаки» была небольшой, то сейчас мы защищали офис. Для нас изменился объект защиты. В этом году доступ предоставили 26 апреля. Был Exchange с OWA, VPN-сервер, выставленный наружу терминальный сервер, множество веб-сервисов, телефония и т.п.
По традиции доступ к объекту защиты организаторами предоставляется в конце апреля. Соответственно, у команды защиты обычно чуть больше 2 недель на изучение объекта, разработку стратегии защиты, разворачивание СЗИ, настройку, отладку и т.п. Также по традиции обычно вводится мораторий на работы защитников примерно за неделю до самого «Противостояния». С учетом майских праздников, заранее запланированных отпусков команды, это тоже добавляло драйва и стимулировало нас к победе.

Илья Сапунов, капитан команды Jet Security Team.

Коллеги вне конкурсной программы в очередной раз показали высший класс защиты банка в виртуальном городе F, не пропустив ни одной атаки со стороны злоумышленников! По условиям соревнования, Jet Antifraud Team не оценивалась среди классических команд защитников из-за особенностей решения по противодействию мошенничеству.

Атакующие перестали на удачу отправлять большое количество операций, много подбирали пароли, защищали похищенные аккаунты, пытались замаскировать свои операции под банковских роботов. В этом году атаки злоумышленников стали менее активными, но более продуманными. Однако совокупно успеха это не принесло, а выводить деньги через иные сервисы, такие как телеком, даже не пытались.

Алексей Сизов, капитан команды Jet Antifraud Team.

Атакующим пришлось несладко, но, несмотря на сложные уязвимости и противодействие со стороны защиты, они показали достойный результат:

45 нам раздали сканы MassScan. День начался с того, что в 9. 00 запустили уже готовый чекер метасплойта на предмет MS17-010. Это положило старт нашей работе, мы сразу выписали все хосты с открытым 445 портом и ровно в 10. В этом домене, как и во всех остальных ниже, была включена опция обратимого шифрования, что позволило вытащить все пароли из ntds.dit и сдать их на проверку. В сети bigbrogroup.phd оказался один уязвимый хост, за первые 10 минут мы проэксплуатировали уязвимость, устранили ее, закрепились в системе и получили токен домен-администратора.

00 мы получили доступ в домен CF-Media, проэксплуатировав уязвимость в Nagios и поднявшись через unquoted path в одном из sudo-скриптов. Дальше в 18. Дальнейший путь эксплуатации был аналогичным первому домену. После этого, используя password reuse, мы получили локального администратора на одном из доменных компьютеров CF-Media.

В частности, мы отключили наружное освещение и устроили утечки нефти из нефтехранилища. Ночью мы смогли понять принцип работы нескольких АСУ ТП, и это позволило нам перехватить контроль над 2 скадами и выполнить 2 задания по производственному сегменту. Все это время мы параллельно ломали защищенные сегменты, но каждый раз, как только мы получали RCE, защитники просто роняли сервис и больше его не поднимали. Также мы установили майнер на все подконтрольные нам серверы и рабочие станции, суммарно наш ботнет стоял из порядка 30-45 хостов.

15 нам объявили о результатах OSINT и раздали несколько доменных учетных записей. В 12. Некоторые пытались реально защитить свои сервисы. Часть защитников в этот момент просто уронили OWA и VPN. А в домене, к нашему удивлению, опять было обратимое шифрование. Одной из таких компаний была behealty, защитники которой позволили нам подключиться по VPN и проэксплуатировать MS17-010. 1 млн публей и уверенная победа в соревновании. Итог — еще +1.

Виталий Малкин, руководитель отдела анализа защищенности компании «Информзащита», капитан True0xA3 (победители со стороны атакующих обещали написать подробный разбор соревнования, ждите на Хабре).

От себя хочу отметить что борьба была нешуточная, буквально до последних часов сохранялась интрига — команды ЦАРКА и SNIFF & WATCH не давали расслабиться победителям, и на результат могла повлиять любая мелочь или «Джокер» в рукаве.

Это была эпичная битва, и я рад заслуженной победе коллег.

image

image

image

Теги
Показать больше

Похожие статьи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть