Por tercer a帽o consecutivo, los expertos m谩s fuertes en seguridad de la informaci贸n de Jet Infosystems participaron en The Standoff en PHDays. Nuestro Equipo de Seguridad de Jet y el Equipo Antifraude de Jet lucharon hombro con hombro: 隆la batalla cibern茅tica dur贸 hasta 28 horas sin parar! De acuerdo con los resultados de la "confrontaci贸n", 隆nuestros defensores se convirtieron en los mejores, no permitiendo que los atacantes "rompan" toda la ciudad!
Este a帽o, "Confrontation" fue bastante grande: 18 equipos de ataque (隆m谩s de 250 personas!), 5 equipos de defensa cl谩sicos, equipo antifraude y 3 SOC.
Durante 28 horas, los atacantes atacaron la infraestructura virtual (sobre la cual escribir谩n con m谩s detalle sobre Habr茅). Se utilizaron tanto vulnerabilidades comunes como vulnerabilidades de infraestructura de 0 d铆as. Los defensores identificaron r谩pidamente los ataques y las vulnerabilidades parcheadas sobre la marcha.
Los atacantes no se limitaron a esto, usando t茅cnicas de ingenier铆a social para aterrizar detr谩s de los defensores:
La pelea fue muy intensa, se utilizaron todos los medios t茅cnicos y anal贸gicos:
A pesar de esto, el Equipo de Seguridad de Jet y el Equipo Antifraude de Jet resistieron adecuadamente los ataques, y los piratas inform谩ticos no pudieron recoger un solo "p煤blico" - unidades de moneda virtual del banco.
El Equipo de Seguridad de Jet derrot贸 a los equipos de defensa, rechazando obstinadamente los muchos intentos del atacante de entrar en la infraestructura de la oficina de la compa帽铆a de transporte mar铆timo que se le hab铆a confiado. Por primera vez, el equipo estaba formado por especialistas del Centro de Monitoreo y Respuesta de Seguridad de la Informaci贸n de Jet CSIRT, quienes monitorearon de cerca cada incidente y bloquearon oportunamente cualquier amenaza.
Para los defensores, el formato del evento ha cambiado un poco. Anteriormente, todos ten铆an diferentes objetos de protecci贸n (telecomunicaciones, oficina, sistema automatizado de control de procesos) y era dif铆cil compararlos directamente, pero ahora para todos los equipos de defensa, los organizadores prepararon casi las mismas infraestructuras e introdujeron una calificaci贸n 煤nica. Esto definitivamente agreg贸 impulso y estimul贸 a nuestro equipo a la victoria.
Para nosotros, el objeto de protecci贸n ha cambiado. Si antes era un sistema de control de proceso automatizado, y la "superficie de ataque" condicional era peque帽a, ahora defend铆amos la oficina. Hubo intercambio con OWA, un servidor VPN, un servidor terminal expuesto al exterior, muchos servicios web, telefon铆a, etc.
Por tradici贸n, los organizadores brindan acceso al objeto de protecci贸n a fines de abril. Este a帽o se otorg贸 acceso el 26 de abril. Adem谩s, por tradici贸n, una moratoria sobre el trabajo de los defensores generalmente se presenta aproximadamente una semana antes de la "Confrontaci贸n". En consecuencia, el equipo de protecci贸n generalmente tiene un poco m谩s de 2 semanas para estudiar el objeto, desarrollar una estrategia de protecci贸n, implementar SZI, configurar, depurar, etc. Dadas las vacaciones de mayo, las vacaciones planificadas previamente por el equipo, esto tambi茅n agreg贸 impulso y nos estimul贸 a ganar.
Ilya Sapunov, capit谩n del equipo Jet Security.
Seg煤n los t茅rminos de la competencia, el Equipo Antifraude de Jet no fue calificado entre los equipos defensores cl谩sicos debido a las peculiaridades de la decisi贸n antifraude. 隆Los colegas fuera del programa de competencia mostraron una vez m谩s la clase m谩s alta de protecci贸n bancaria en la ciudad virtual F, sin perder un solo ataque de los atacantes!
Este a帽o, los ataques de los atacantes se han vuelto menos activos, pero m谩s reflexivos. Los atacantes dejaron de enviar aleatoriamente una gran cantidad de operaciones, seleccionaron muchas contrase帽as, protegieron las cuentas robadas, intentaron disfrazar sus operaciones como robots bancarios. Sin embargo, esto no trajo 茅xito acumulativo, y ni siquiera intentaron retirar dinero a trav茅s de otros servicios, como las telecomunicaciones.
Alexey Sizov, capit谩n del Equipo Antifraude de Jet.
Los atacantes tuvieron dificultades, pero a pesar de las vulnerabilidades complejas y la oposici贸n de la defensa, mostraron un resultado decente:
El d铆a comenz贸 cuando nos dieron los escaneos de MassScan a las 9.45. Esto marc贸 el inicio de nuestro trabajo, inmediatamente escribimos todos los hosts con un puerto 445 abierto y exactamente a las 10.00 lanzamos el comprobador de metasplit listo para MS17-010. Hab铆a un host vulnerable en la red bigbrogroup.phd. En los primeros 10 minutos, explotamos la vulnerabilidad, la reparamos, la reparamos en el sistema y recibimos un token de dominio de administrador. En este dominio, como en todos los dem谩s a continuaci贸n, se habilit贸 la opci贸n de cifrado reversible, que permiti贸 extraer todas las contrase帽as de ntds.dit y enviarlas para su verificaci贸n.
Adem谩s, a las 18.00 horas obtuvimos acceso al dominio CF-Media, explotando la vulnerabilidad en Nagios y subiendo por la ruta no citada en uno de los scripts de sudo. Despu茅s de eso, usando la reutilizaci贸n de contrase帽a, obtuvimos un administrador local en una de las computadoras de dominio CF-Media. El camino posterior de la operaci贸n fue similar al primer dominio.
Por la noche, pudimos comprender el principio de funcionamiento de varios sistemas automatizados de control de procesos, y esto nos permiti贸 tomar el control de 2 skads y completar 2 tareas en el segmento de producci贸n. En particular, apagamos la iluminaci贸n exterior y organizamos los derrames de petr贸leo del almacenamiento de petr贸leo. Tambi茅n instalamos el minero en todos los servidores y estaciones de trabajo controlados por nosotros; en total, nuestra botnet se situ贸 en unos 30-45 hosts. Todo este tiempo, rompimos simult谩neamente los segmentos protegidos, pero cada vez, tan pronto como recibimos RCE, los defensores simplemente abandonaron el servicio y ya no lo retomaron.
A las 12.15, nos anunciaron los resultados de OSINT y entregaron varias cuentas de dominio. Algunos defensores en este momento simplemente dejaron caer OWA y VPN. Algunos trataron de proteger realmente sus servicios. Una de estas compa帽铆as fue behealty, cuyos defensores nos permitieron conectarnos a trav茅s de VPN y operar el MS17-010. Y para nuestra sorpresa, el dominio nuevamente ten铆a cifrado reversible. El resultado: otros +1.1 millones de p煤blico y una victoria segura en la competencia.
Vitaly Malkin, jefe de an谩lisis de seguridad en Informzashita, capit谩n True0xA3 (los ganadores de los atacantes prometieron escribir un an谩lisis detallado de la competencia, espera a Habr茅).
En mi propio nombre, quiero se帽alar que la pelea fue seria, literalmente hasta las 煤ltimas horas que continu贸 la intriga: los equipos CARK y SNIFF & WATCH no dejaron que los ganadores se relajaran, y cualquier bagatela o "Joker" en la manga podr铆a afectar el resultado.
Fue una batalla 茅pica, y me alegro por la merecida victoria de mis colegas.
