Хабрахабр

«Противостояние» на PHDays 8 — взгляд со стороны SOC

В мае этого года прошла конференция Positive Hack Days 8, на которой мы вновь поучаствовали в роли SOC в уже традиционном Противостоянии (The Standoff).

Атакующие — молодцы! В этом году организаторы учли прошлые ошибки и Противостояние началось в срок. Нападали практически непрерывно все 30 часов, поэтому нашей ночной смене не удалось даже вздремнуть.

image

О мероприятии мы рассказывали в нашей прошлогодней статье, но кратко освежим.

Защитники могут обороняться в одиночестве, а могут воспользоваться услугами экспертных центров мониторинга (SOС) и держать оборону «смотря в оба». Битва проходит между Защитниками и Атакующими. Защитникам так же выделяют средства обороны и защиты от хакеров-злодеев.

В этом году организаторы построили 7 объектов, которые надо было защищать:

  • Офисы
  • Телеком-оператор
  • ТЭЦ
  • Нефтяная компания
  • Железнодорожная компания
  • Банк
  • IoT устройства

image

И участвовали 3 команды SOC:

  • Перспективный мониторинг
  • Angara Technologies Group
  • Ростелеком

image

Фактически, единственным правилом было не атаковать непосредственно инфраструктуру, на которой «крутилось» Противостояние. Хакеры могли развлекаться по своему усмотрению. А в конце и вовсе отключили системы антифрода в городе. К тому же организаторы периодически «подыгрывали» нападающим, разворачивая дырявые сервисы.

«Майнер крутится, биткоин мутится» — по меткому замечанию члена казахстанской команды Царка. Для хакеров была разработана специальная криптовалюта и майнеры, которые они могли внедрять в скомпрометированные объекты.

Защитниками этого сегмента стали уже знакомые нам по прошлогоднему мероприятию ребята из Сервионики. В этом году мы вновь выступили в роли SOC для одного из офисных сегментов.

Для обороны мы использовали:

  • ViPNet IDS для DMZ.
  • ViPNet IDS для локальной сети.
  • ViPNet HIDS (host IDS) для контроля ключевых серверов Офиса.
  • ViPNet Threat Intelligence Analytics System (TIAS) для анализа логов, мониторинга и аналитики.

И конечно же, в наших сенсорах, мы используем собственные разработанные правила, в которые также входят сигнатуры на новейшие атаки, напугавшие весь мир!
За период Противостояния аналитиками SoC Перспективный мониторинг зафиксировано порядка 2 млн. событий, выявлено 30 инцидентов информационной безопасности.

Расстановка сил на карте сражения выглядела следующим образом:

image

  • Office-R2 — пограничный маршрутизатор объекта Офис 1, через который осуществлялось подключение к двум интернет-провайдерам F-telecom и Backup ISP.
  • Office-FW1 — межсетевой экран для разграничения доступа между сегментами локальной сети и внешними ресурсами (DMZ).
  • Office-R1 — использовался для маршрутизации внутри офисного сегмента.

За поддержку инфраструктурных объектов Офиса 1 отвечали наши коллеги — команда «Сервионика». Наша же задача заключалась в информировании, когда у ребят что-то пойдёт не так.

Атакующие пытались пробить внешний рубеж через эксплуатацию веб-уязвимостей. После старта игры, основная масса событий происходила вокруг DMZ-зоны. Атакующие запустили сканеры DirBuster и Acunetix и прошлись по адресам в DMZ. Началось всё по традиции со сканирования.

110. Злоумышленник с ip 100. 127 упорно пытался установить соединение с БД MySQL интернет-магазина на защищаемом узле 100. 255. 100. 64. Все попытки перебора были успешно заблокированы со стороны сервера. 167.

Через некоторое время традиционно начали подбирать пароли к SSH и RDP.

64. На узле 100. 183 при сканировании атакующим с адресом 100. 100. 255. 110. На сервере отсутствовало обновление MS17-010 docs.microsoft.com/en-us/security-updates/SecurityBulletins/2017/ms17-010. 17 обнаружена уязвимость в SMB. О чём защитники были своевременно проинформированы.

Данные события были одними из самых частых за время Противостояния. Примечательно, что проверку на возможность эксплуатации уязвимости в EternalBlue проводили огромное количество раз. Несмотря на то, что прошел уже год с момента массового заражения, до сих пор остаётся огромное количество уязвимых к этой атаке машин. Но это и не удивительно.

image

Также атакующие массово пытались провести эксплуатацию уязвимости CVE-2014-6271 (удалённое выполнение кода в Bash).

00 первого дня зафиксировали успешную эксплуатацию уязвимости SambaCry на узле 100. В районе 16. 100. 64. Защитники потеряли доступ к этому узлу до следующего дня. 167. 110. Атакующий с адресом 100. 176 после эксплуатации провёл разведку периметра с помощью NMAP и забрал outfile с данными по сканированию. 255.

100. В ночь от скомпрометированного узла устанавливались соединения на 443-й порт узла 100. 202. 100. Предположительно, на узел 100. После сброса всех сессий активность закончилась. 100. 100. 64. 202 был залит майнер со взломанного 100. 167. 100.

image
Главный инструмент расследования — лист бумаги и ручка

На него проводились попытки эксплуатации уязвимости eternalblue, подбирали пароль к ssh и пытались заливать shell через /zabbix/zabbix.php. Ночью атакующие активно взялись за взлом системы мониторинга Zabbix.

image

100. Утром второго дня зафиксировали подозрительную активность с защищаемого узла 100. 202. 100. 64. С него устанавливалось соединение к ip из внешней сети 100. 242 и отправлялись подозрительные сертификаты. 100. Также украли файл с базой данных bd.frm. Проведённое расследование показало, что на этом узле сбрутили пароль от ssh и залили майнер. Мы сразу среагировали на эту машину, посмотрели сессии, а там ещё сидит хакер. В целом, злоумышленник «спалился» на самоподписанном сертификате. Тёпленький.

64. Практически параллельно с этим был обнаружен взлом ещё одного узла 100. 242 (WordPress). 100. Для логина «Shaggy» подобрали пароль. На нём были довольно интересные credentials. И он оказался… конечно же «Scooby».

image

Сканировали 20, 25, 80-й порты. После компрометации с данного узла проводили разведку периметра. Хакера выгнали, тачку забрали.

В общем, действовали по классической схеме. До последнего хакеры пытались проводить атаки типа sql-injections, брутили FTP, RDP, SSH.

image

Конечно, в этот раз нам не удалось «выйти сухими из воды». «Противостояние» удалось! Однако, данное мероприятие принесло бесценный опыт. Атакующим удалось частично пробить защиту офиса. Полученные сведения помогут лучше понять современные векторы атак и принять меры по противодействию им на практике.

Показать больше

Похожие публикации

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»