「対立」PHDays、または「すべてを見る目」と呼ばれた理由

先週、 Positive Hack Days 7カンファレンスが開催されましたが、その枠組みの中で、伝統的な（2回目、なぜ伝統ではないのか）Defenders and Attackersの戦い-The Standoff-がすでに行われています。



要するに...参加者はSOC、市警、悪役をプレイできます。 そして、ユーザーがディフェンダーとしてプレイする場合、彼らにはさまざまな保護手段が与えられ、悪役は都市の一部で獲得しています。 牛を奪うことができ......

対決メンバー

参加者の役割のより詳細な説明は、主催者のWebサイト（Positive Technologies）にあります。

準備する

対立の参加者の最初の一般的な説明会は4月12日に行われ、主催者は「幽霊」と防衛が必要な都市を建設する計画について話しました。 オフィスセグメントの1つでSOCの役割を果たしました 。 このセグメントの擁護者はSPANチーム（Servionica Palo Alto Networks）でした。







彼らは訓練された専門家と優秀な人であることが判明しました。彼らと一緒にすぐに共通の言語を見つけ、ゲームのサイトで一緒に作業しました。



私たちの2番目のタスクは、都市のインフラストラクチャに対する攻撃を特定および分析するために、都市を監視することでした。







主催者は、VMwareに基づいた仮想インフラストラクチャで、市のオフィスセグメントを完全に調達しました。



イベント開始の約3週間前に、ネットワークマップのスキャンと構築のためにMaxPatrol 8を使用して仮想マシンにアクセスできました（主催者のおかげです）。 1719ページのpdfレポートが作成されました。



1週間、監視ツールをインストールしてテストしました。 使用する予定でした：

• オフィスのIDS。
• 市のIDS。
• トラフィックを記録および分析するためのMoloch。
• ネットワークトラフィックの異常を検出するネットワークアナライザー。
• 都市の交通量の異常を識別するネットワークアナライザー。
• 主要なOfficeサーバーを監視するためのHIDS（ホストIDS）。
• ログ分析、監視、分析のためのTIAS。

すべてが正常に機能しました。 監視グループのシフトシフトをペイントしました。



Pentesterは、「私は30時間サイトにいて、楽しい時間を過ごします」と言いました。



PRの男性は、「PHDaysが一酸化炭素バナーを作成する唯一の機会だ」と述べた。







準備ができていると感じました。

始まった！

そうでもない。



「みんな、センサーにトラフィックはありません！」私たちのモットーであり、約11-30で始まった対立の最初の8時間の主催者への呼びかけです。



残念ながら、技術的な問題により、トラフィックが両方のIDSに送信されたのは午後7時でした。

• DMZからのトラフィックのみがOfficeに送信されましたが、すべてのトラフィックのミラーが必要でした。
• Officeの外部境界のトラフィックと、仕様のないさらに複数のvlan'ovのトラフィックがGorodskayaに送信されました。

ボリュームと観測されたイベントの観点から、すべてのトラフィックがミラーリングされたわけではないことは明らかでした（ただし、トラフィックは最大限まで要求されました）。 Molochのトラフィックミラーについてで、話す価値はありません。 そして、それなしでは、異常の分析は意味をなしません。



実際、イベントの1週間前に行ったすべての作業は、サイト上で新たにやり直す必要がありました。 それにもかかわらず、主催者の管理者に感謝する必要があります。



さまざまな支持者が、HIDSエージェントを監視用に配備しようと長い間試みてきましたが、インフラストラクチャの定期的な低下と、リポジトリへの接続のためのインフラストラクチャからのインターネットアクセスの欠如により、これは不可能でした。



制御されたインフラストラクチャに直接アクセスすることはできず、誰もがVPNを介して登りましたが、これも喜びを追加しませんでした。 悲しみ悲しみ切望...しかし、悲しいこれで終わります！

1. 攻撃者が同じ状況にあったことを忘れないでください。攻撃者にとっては、スペースと自由が重要です-時々、防御者よりもずっと悲しく座っていました。
2. 少なくともいくつかのトラフィックが受信されました-これは、すでに作業できることを意味します！
3. 相互作用の擁護者は開かれており、ギャップは重なります。そのため、今日はすべてがそれほど悪くありません。

もう1つの興味深い話は、仮想化ファームでのリソースの動的割り当てです。 2人のSOCアナリストが並んで座っていました。 彼らの仕事は仮想マシンにもあります。 1人は飛行しており、もう1人は静かにモニターを宣誓し、コンソールがスローダウンするのを見たことがないと言っていました。







その結果、夜間とほぼ1日の監視中に、攻撃を特定し、制御されたセグメントを調査することができました。

記録されたもの

オフィス区分別

1. トラフィックが与えられるとすぐに、アドレス198.18.78.12から、常に誰かが私たちのWebサーバー（198.18.12.177）の1つに侵入し、理解できず常に同じクレジットを使用していました。 チェック済み-アクティビティは奇妙ですが、危険ではありません。 それから一晩中それについて考えます。 彼らが望んだことは謎のままです。 どうやら、攻撃者に何か問題が発生したようです。
2. パラグラフ1の背景 スキャンは常に同じアドレスから行われ、エクスプロイトやその他の汚れた力が落ちました。 特定されたNAT攻撃者。 それはブロックすることが不可能だったのは残念だった-フェアプレイなど。
3. DMZからのサーバー（198.18.12.169）の侵害の疑い-内部リソース（10.25.153.24）のmysqlに対する不健全な関心がそこから生じました。 防御側は答えず、何人が尋ねなかった。 このアドレスからは他に何も見えませんでした。 おそらくシステムチェッカーなど、侵害は確認されませんでした。 彼らは彼を片目で見ました。
4. 監視しながら、同時に独自のDMZを調べました。 XSSは別のWebサーバーで検出されました（198.18.12.179）。 翌日まで、このことについてディフェンダーに迫りました。 xssの実装を大規模に試み始めるとすぐに、すぐに応答し、URLの特殊文字を禁止しました。 どの攻撃者も利用していない-謎！
5. 同じWebサーバー（198.18.12.179）で、pureFTPが記録されました。 SZIはFTPへのエイリアンアクセスをブロックしました。 すべてが順調です。
6. 3番目のWebサーバー（198.18.12.180）でオープンサイトリポジトリ（/.git）が見つかり、防御者に通知されました。 彼らはすぐに閉じた。 チームワーク！
7. 内部ネットワークの00:30頃、10.64.94.0 / 24サブネットがアクティブになりました。 そこから、DMZのブルートフォースサービスがすぐに始まりました。 防御側はこのサブネットをブロックし、他の方法はありませんでした。 *はい、ブロックすることはできませんが、敵を中に残すことはできません。
8. 別のWebサーバー（198.18.12.141）、別の使用可能な/インストールディレクトリ。 攻撃者はサイトをデータベースにドラッグし、ユーザーを侵害する可能性があります。 防御者はフォルダーへのアクセスを閉じました。
9. 深夜、ユーザーセグメントとドメインコントローラーの間で異常なアクティビティが始まりました。 SMBを攻撃しました。 分析の結果、NSD Secret NetのSSIは独自の生活を送っており、メインサーバーと通信しようとしています。 わかりました、誤検知-さらに進んでみましょう。
10. 198.18.12.169で、すべてのソースコードで/ wp_includeが見つかりました。 ディフェンダーは閉じた。
11. 05:00から07:00の小康状態。 ポケマリリ。
12. 8:00から、彼らは新たな活力でスキャンを開始し、もはや隠そうとせず、nmap、sqlmap、nessus、一連の自己完結型スキャナー（まあ、または単にnmapのスクリプト）に恥ずかしくない。 スキャナーは、ユーザーエージェント：go-http-client（自己記述型）によって判断すると特に満足し、まともな一連の脆弱性を調べました。
13. 混乱-悪用、インジェクション、ブルートフォース、スキャン。 たくさんありますが、すべて同じで、役に立たず、面白くないです。
14. 彼らは、ノード198.18.12.143が現れたことを確認しました。 管理者クレジット：123のオープンAPIアクセスを備えたワードプレス（他のどこでも同様）がありました。 2回目の試行から手動でピックアップ。 Zaalerty、すぐに閉じた。
15. FTPへの最後の残忍なアクセスまで。 接続はSZIによって切断されました。

SPANチームのFacebookメンバーから

「私は安全です。何も決めたくありません。カスタム署名を書き、パケットがどのように落ちるかを見てみたいです。」



-ああ、滴を送ってください！

街中

1. 20:26には、10.25.21.23からブルートフォース中隊が成功した172.20.3.147が記録されました。 住所が不明です。 誰にも運がありません。
2. 一般に、smb、snmp、sqlが街中にぶら下がっていました。 攻撃者は彼らのように彼らの上を歩いた。 すべての面でブルートフォース。
3. wordpressがノード203.0.113.169（Telecomオブジェクトのように）で開いており、管理パネルが開いていることを記録しました...白い帽子がなければ、それを自分で壊したでしょう。
4. 最終的に、彼らは10.25.21.24からsmb 172.20.3.147を再び正常に平滑化しました（同じものかもしれませんが、スクリプトをオフにしませんでした）。

何が起こって失敗した

グローバルに評価する場合-仲間を攻撃します！ そして、自動化されたプロセス制御システムが壊れ、銀行が略奪され、「市長」でさえさえ妨害されたようです。 私たちのオフィスに関しては、それは手付かずのままであり、防御側のチームは完全な「評判」で対決を完了しました。



もちろん、攻撃者からのさらなるプレッシャーが予想されました。 彼らの困難は何に関連していましたか？ 次の3つの仮説があります。

1. 彼らは武器庫全体を使いませんでした。 対立は依然としてゲームであり、おそらく、実際のプロジェクトに余裕があるすべてのツールが示されたわけではありません。 そして、よく知られたツールとテクニックは、保護装置によって簡単にブロックされました。
2. 攻撃者（および防御者）は市のネットワークに直接アクセスできませんでした。おそらく兵器庫の一部は単に離陸しませんでした。
3. 攻撃者は、積極的かつ迅速に対処することが困難です。 あなたが額に作用する場合-これは見えますが、それが薄い場合-それはより多くの時間がかかり、スキルの要件はすでに異なっています。

このような大規模な技術的困難があり、交通量が少なかったことは非常に悲しいことです。 しかし、これはまだ分析のためのシックなスペースです！



来年までに、すべての間違いを考慮し、主催者に何を要求するかを理解します。 PHDaysを待っています8。

謝辞

このホリデーを開催してくださったPositive Technologies（特にビクトリア、アレクセイ、ミハイル、タマラ）に感謝します。



防御、経験、チームプレーの良さについてSPANチームに感謝します。



チーム全体のおかげで、あなたはとてもクールです。



また、このレポートを作成してくださった監視チームMaxim Baymaxxのキャプテンに特別な感謝を申し上げます。







現在、すべてを見る目を備えたタブレットが監視センターの壁の1つを飾っています。

その他のブログ記事

UACバイパスまたは3つのエスカレーションの物語



2017年第1四半期の情報セキュリティ監視センターのレポート



SDLのない生活。 冬2017