対立のクロニクル：2日で都市全体をハックする方法

情報セキュリティの専門家とネットワーク攻撃者との戦いは、ハリウッド映画だけの美しいショーのように見えることが長い間知られています。 しかし、実際には、実際の攻撃とセキュリティコンテストの両方は、数学的なオリンピックに似ていることが多く、その美しさはごくわずかしか評価できません。



それでも、今年、Positive Hack Days VII会議のメインコンペティションである「 Confrontation 」の主催者は、この論争の的となっている課題を解決するために可能な限りあらゆることを行いました。 そして、成功したと思います。 わずか30時間のコンテストで、ハッカーチームは、無線通信、産業用制御システムの低レベルの脆弱性、単純なブルートフォース、および複雑な多段階侵入スキームを積極的に使用して、近代都市のオブジェクトおよびインフラストラクチャに対する多くの成功した攻撃を実証しました。



この記事では、主要なイベントの年表を復元し、大規模なサイバー注文の一部を要約します。

初日：偵察とウォームアップ

11:00



「対立」の参加者は自分の席に座り、スタンドを勉強します。 攻撃チームは最初のネットワークスキャンを開始します。 ディフェンダーチームは、引き続きセキュリティシステムを構成し、トラフィックの調査を開始します。



そして、通信事業者、2つの会社のオフィス、火力発電所、電気変電所、石油、鉄道会社が営業している都市全体を守る必要があります。 さらに、この都市には多数の最新のIoTデバイスがあります。 「対決」のルールに従って、防御チームはオブジェクトを互いに分散させました。



13:00



ハッカーチームの1人が防御側の宿泊エリアに入ろうと試み、インフラストラクチャとネットワークトポロジに関する資料を残します。



これらのオフライン攻撃はソーシャルエンジニアリングを使用します。 チームの1つは、主催者からの偽のパスを使用して、防御者からデータを取得しようとしています。 記者を装った別のチームの代表者は、「対決」の主催者を「社会的」にしています。



午後2時



2つのチームが最初の重要ではない脆弱性をバグバウンティに送信します。 脆弱性の1つは、スマートホーム管理コントローラーに見つかりました。



16:00



競争はゆっくりと進んでいますが、午後になって攻撃チームはポイントを獲得し始めます。これは、主に都市のデジタルインフラストラクチャでメールアカウントとクレジットカード番号を見つけたためです。 しかし、そのような発見に対する報酬は少なく、100から500のパブリックアカウントです。 Publiはタイプミスではなく、都市の仮想通貨です。 BIZoneはランキングのリーダーです。1社の無防備なWebサイトをハッキングしたために100,000を受け取りました。



午後5時



Team CARKAはTeamViewerでアカウントを見つけます。

都市インフラの輸送管理システムの遠隔制御。 これらのアカウントでディスパッチシステムにログインすることで、ハッカーは日中に信号機を夜間モードに切り替えます。 しかし、トラフィックはあまり変化せず、しばらくするとすべてが通常の動作に戻ります。



19:00



CARKAは最初の場所で急上昇しています。カザフスタンのハッカーグループが市長自身のSMSを傍受することができました。 これらの秘密のメッセージで重大な妥協の証拠が明らかになり、CARKチームは一度に150,000件の出版物を受け取ることができました。 彼らはどうやってそれをしましたか？ 私たちは、osmocom電話またはSDR（両方を使用）を使用してラジオを聴きました。



午後10時



CARKAチームとBizoneチームは、スタンドで空襲を組織し始め、利用可能なすべてのものに接続しようとします。



00:00



最も警戒しているディフェンダーチーム-Jet Security Team-は、都市通信のインフラストラクチャにサーバーとワイヤレスアクセスポイントをインストールする試みを最初に阻止します。 攻撃側のVulnersチームは、防御者のトラフィックを確認してアクセスポイント経由で管理できるようにするために、鉄片を「隙間に」入れたいと考えていました。



02:00



ジェットセキュリティチームの防御チームは、市の産業システムのスタンドに物理的に接続する複数の試みを阻止します。 すでに言及したチームに加えて、ハッカーグループのKanzasCityShuffleは、このような攻撃で注目されました。







初日テーブル

2日目：すべてを壊します！

夜はハッカーの時代であり、攻撃者はそれを証明しました。 いくつかのチームが400万人以上の市民を市の銀行から盗みました。 RdotおよびCARKAチームは、以前に盗んだユーザー資格情報を使用して攻撃したため、リモートバンキングサービスシステムを使用して大量の資金を引き出すことができました（280万-Rdot、130万-CARKA）。



同時に、CARCAは銀行自体の脆弱性を利用して、Rdotチームアカウントからすべてのお金を盗みました。 しかし、彼らは対立のルールに違反しました-銀行がその一部である対立インフラストラクチャを壊さないためです（チームに賞品を発行するために使用されます）。 このため、お金はRdotチームに返されました。



一方、Vulnersチームは別の方法を使用しました。特別なロボットが、市の住民の多くの危殆化した銀行カードから少量（各10ルーブル）を引き出し始めました。 同様の攻撃がグループHack.ERSによって実行されました。

実際には、このような攻撃は、大量の1回限りの窃盗よりも目立たないものです。 ただし、この方法には時間がかかり、この場合は十分ではなく、多くのお金を引き出すことができませんでした。



しかし、銀行からの合計400万件以上の盗難（私たちの町のお金の50％以上）は、真の経済危機を引き起こしました。



テレコムに対する攻撃は午前中も続きました。 Antichatチームは、Asterisk Webベースの管理インターフェイス（VoIPテレフォニーサーバー）をハッキングし、すべてのユーザーのログインとパスワードハッシュを取得することができました。 しかし、電気通信の支持者はこのアクティビティをすぐに発見し、攻撃を防ぐためにすぐにWebインターフェイスへのアクセスをブロックしました。



12:00



ハッカーは産業部門に参入しました。BIZoneチームは、2つの都市企業（火力発電所と石油精製所）の作業を一度に停止しました。 これは、辞書パスワードが使用されたWi-Fiネットワークを介した攻撃のおかげで可能になりました。 産業用ネットワークへのアクセスを取得したハッカーは、火力発電所の電気部分を保護するために使用されるリレーオートメーションシステム（RPA）を発見しました。 ハッカーは、エンジニアリングソフトウェアを使用してこの機器を再構成しようとして1時間を費やした後、攻撃ベクトルを変更することにしました。 必要なエネルギープロトコルを取得し、他のエンジニアリングソフトウェアをダウンロードした後、変電所への電源をオフにすることができました。 その結果、CHPPで働くエンジニアリングスタッフは、ボイラーとタービンの運転を停止しなければなりませんでした。 CHPPの完全な（一時的ではあるが）シャットダウンも、製油所の運転に影響を与えました。AVTの蒸留塔は過熱蒸気なしで放置されました。



このように、Wi-Fiの辞書パスワードを1つ使用することで、BIZoneチームは2つの産業施設を一度に非アクティブ化することができ、ランキングでトップになりました。 悲しいかな、誰も都市のエネルギー部門を保護していません。 したがって、産業施設への攻撃が続く可能性があります。







CHPの停止、最後のヘイズ



13:30



暑くなってきました！ CARKチームは再び銀行から数百万を盗み、再び頂点に達しました。 これはどのようにして生じたのですか？ 定期的なメンテナンス中に、不正防止システムを接続する際、主催者は文字通り銀行を1分間無防備のままにしておく必要がありました。 そして、CARKが多くのお金を引き出すことができたのはこの時でした。 自動化の巧みな使い方があります！



15:30



CARKとBIZoneは1位争いを続けています。 カザフスタンのチームは、盗まれたお金で犯罪者の車を見つけることができました。 ハッカーはosmocom電話を使用して、車のGPSトラッカーから送信されたSMSを傍受しました。 したがって、彼らはあなたがGPSトラッカーを制御できる「ホワイトナンバー」を計算し、次にナンバーを変更し、トラッカーにコマンドを送信して車の座標を伝えました。



ほぼ同時に、BIZoneチームは再び精製所を停止することができました。 以前は、変電所と火力発電所への攻撃を通じてすでにこれを行っていましたが、この場合、発電所に直接攻撃が行われました。 最初に彼らは工場のWi-Fi（パスワード選択）を攻撃し、次に工場のネットワークに入り、生産に使用されているコントローラーを見つけました。 インターネットで見つかったPLCの情報を調べたところ、攻撃者は既知の脆弱性（エクスプロイト）を発見し、AVTのコントローラーを停止することができました。その結果、インストールは制御と監視なしでしばらくの間残りました。







製油所（フラグメント）



16:00



「対立」は終わった。 しかし、審査員はまだ最後に完了したタスクをチェックします。すでに述べたリーダー（CARKAとBIZone）に加えて、他のチームもいくつかの成功しましたが、競争の最後の1時間で「高価ではない」攻撃を行いました。



そのため、Hack.ERSチームはSIPテレフォニーユーザーのお金を盗むことができました。アカ​​ウントを破壊することで、ハッカーは有料の短い番号への呼び出しを使用して「収益化」しました。 しかし、攻撃者は競争の最後にのみこの機会を発見したため、引き出した金額（約300,000）でリーダーになることはできませんでした。



そして、競争の最後の最後のTrue0xA3チームは、単純な方法でも具体的な結果につながることを証明しました。 単純なユーザーの1人のホームルーターをクラックした攻撃者は、これが自宅のコンピューターに大企業の財務諸表を保存する会計士であることを発見しました。 この攻撃により、チームは50万人になりました。



また、KanzasCityShuffleチームがスマートホームをハッキングし、AntichatチームがWebカメラにアクセスできることも判明しました。 さらに、一部のチームは、バグバウンティプログラムで他の多くの重大な脆弱性を発見して返しました。 したがって、すべてのタスクの検証は、戦闘終了後2時間以内に行われます。







スマートホームモデル（フラグメント）

結果：保護はどこにありますか？

コンテストの最初の3つの場所は、 CARKA 、 BIZone 、およびRdot.orgが獲得しました 。 最終的な評価はここにあります 。 一般的に、今年のハッカーは、非常に幅広いインテリジェンスと攻撃ツールを非常に短時間で使用して、その栄光を極めました。



確かに多くの人が疑問を抱くでしょう。ディフェンダーはどこにいたのでしょうか？ ここでは、現在の「対立」を準備する際に、主催者は昨年の問題を考慮に入れたことを説明する価値があります。これは、防衛があまりにも準備され、「すべてのナッツを締めた」ことが判明したときです。 したがって、現在の競争では、防御力が弱いだけでなく、より現実的でした。 特に、防御側はセキュリティコストの危機的削減という厳しい条件に置かれました。各チームは、10,000枚の仮想パブリッシュの量で保護具を購入するための固定予算を持っていました。 さらに、一部の施設とインフラストラクチャは完全に保護されずに放置されていました-実際の生活で起こっていることです。



「GSMに対する攻撃の場合、防御側は影響を与えることはできませんでしたが、何が起こっているのかを見ることができました」と、Positive Technologiesの通信システムセキュリティ研究グループの責任者であり、対立の主催者の1人であるPavel Novikov氏は述べました。 -私たちは彼らに無線の空気のダンプを与えましたが、彼らは何も見つけませんでした。 さらに、私たちの考えによれば、防御者はSIPを介したお金の引き出しを防ぐことができます。 おそらく、彼らは熱心に音声通話を生成した私たちのチェッカーによって混乱していました：各瞬間に5-10の同時音声接続がありましたが、その中で防御者がハッキング活動を考慮することは非常に困難でしたが、これはまさに現実の世界で起こっていることです。 考えられる2番目の理由は、この方法でお金を引き出すという攻撃者による検出の遅れであり、防御者にも対応する時間がありませんでした。 一方、テレコムの支持者は、アスタリスクサーバーのハッキングを防ぐことができました。 この問題における非常に高い効率に注意する必要があります。」



「対決」のために産業施設のスタンドを組織した自動制御システムの安全性の専門家イリヤ・カルポフは、製油所への攻撃が発生した場合、防御者はそのような状況でできる限りのことを行ったと述べました。 「彼は、ディフェンダーがインシデントに即座に対応することを許可しませんでしたが、パスワードをすばやく変更することにより、攻撃者が繰り返し攻撃をタイムリーに停止することを許可しました。」



PHDays Mikhail Levinの組織委員会のメンバーである「対立」のフロントマンによると、今年のコンテストは本当に成功し、「ハッカーの復ven」は言葉だけでなく、実際にも行われました。このようなサイバーバトル形式は、参加者と観客の両方にとって興味深いものです。 そして最も重要なことは、このイベントにより、情報セキュリティの問題に一般大衆の注意を引くことができることです。

参加者の印象

上に書かれているのは、主催者からの競争の様子です。 それでは、参加者自身が「対立」について考えていることを聞いてみましょう。攻撃者の主要なチームであり、防御の代表者でもあります。







CARKチーム（フォワード）：

「印象はとても良いです。 実際、私たちは勝利さえ期待していませんでした。私たちにとって、それは「対立」自体への最初の参加であったため、参加することを目指して行きました。 しかし、最終的に勝つことが判明しました。 1日目の終わりに、なんとか1位になったとき、私たちは最も勇気を出しました。 もう降りたくはなかったので、チーム全員で夜を過ごすことにしました。 ある瞬間、私たちは非常に幸運でした-特に、銀行が稼いだ5分間の窓から2日目になったとき、市民から再びお金を盗むことができました。 SCADAシステムをハッキングすることは少し困難でしたが、GSMへの攻撃でこれを補いました。



2日でシステムを理解し、それらをクラックする時間が必要な場合、私たちは良い経験を得て、チームをストレスの多い状態でテストしました。 私たちの大きなプラスは、チームメンバーがさまざまな分野（GSM、リバースなど）を専門にしていることです。 たとえば、一部のチームでは、ガイドラインはWebを介した攻撃のみでした。」

BIZoneチーム（フォワード）：

「私たちは最初に大きな任務を引き渡しました。そのため、私たちは長い間リーダーを握っていました。結局、私たちにとって異常に簡単であるように思えました。



私たちに行われた物理的な攻撃に注意する必要があります。午前3時ごろ、個人アカウントを除くゲームインフラストラクチャ全体にアクセスできなくなりました。 スイッチの1つに問題があるという回答を受け取った私たちのチームの多くのメンバーは就寝しましたが、午前中に状況は変わりませんでした。私たちは誰もが問題を抱えていると判断し、SCADAおよびIoT物理アクセスサービスに切り替えました。 しかし、午後2時ごろには、このような深刻な問題しかなかったことが判明し、主催者との調査により、内部ネットワークにアクセスできるツイストペアケーブルがスイッチの間違ったポートにプッシュされたことがわかりました。 その結果、ほぼ12時間、メインのゲームインフラストラクチャにアクセスできませんでした。



また、午前中にすべてのチームのポイント数が10倍になったときも非常に驚きました（銀行から多すぎる金額が引き出されたために発生した金額）。 私たちのチームが翌日にタスクを解決したとき、最初の日は800,000 PUB、2日目は8,000,000 PUBと見積もられ、その結果、2,000,000が私たちに転送されました。私たちにとってポイントは最初の場所に十分でしょう。 しかし、このような不透明なアニメーションがいくつ作成されたかは、まだ興味深いです。」

Rdot.Orgチーム（フォワード）：

「主催者は防御側に有利な不均衡を解消し、タスクをより具体的にしようとしたため、印象は昨年よりも優れています。 ただし、競争の形式は依然として複雑すぎて、完全に実現することはできません。 特に、サービスの可用性は低かった。 準備されたタスクは面白くて多様であることがわかりますが、競争形式が不完全であるため、それらに密接に対処することはできません。 CTF形式が最も簡潔で実用的な競争形式として長年にわたって検証されてきたのも不思議ではありません。

Jet Security Team（ディフェンダー）：

「初めて（チームとソリューションのクラスの両方-そして、私たちは古典的な防衛チームまたはSOCではありません）、私たちは対立に参加しました。 そして、もちろん、印象は予想を上回りました。 私たちの参加は、まず第一に、私たち自身の間に懐疑論を引き起こしたことをすでに認めることができます：新しい解決策、新しい形式...しかし、結果はそれ自体を物語っています。



残念なことに、このイベントの形式では、ハッカーによる夜間攻撃に対応できませんでした。初日、詐欺対策ソリューションは、状況に関する主催者への観察と通知のモードでしかありませんでした。 しかし、翌日、「相当額の資金を引き出すことを許可しない」という課題は110％解決されました。 さらに、おそらく最も重要なことを管理しました。限られたリソースと時間で潜在的な緊急の問題を解決する準備をテストしました。 また、使いやすさの観点から、Jet Detective製品の開発に関するいくつかのアイデアを得ました。



私たちのアクティブな作業の短い時間の間、攻撃者が分析システムを回避しようとする時間がなかったのは残念です（そして、攻撃者にとってより「難しいゲーム」のための十分なオプションがありました）。 そして、私たちが用意したいくつかのトリックやトラップでさえ、それらは機能していましたが、結果を適用するのに必要ではありませんでした。



それでも、来年に向けて準備を進めていると言いたいです。 そして、2018年には、攻撃者は初日ほど単純な生活を送ることはないと確信しています。 30時間以上、おそらく60時間の本当の「対立」が私たちを待っていることを願っています。」

SPAN（ディフェンダー、ServionikaおよびPalo Alto Networksの代表チーム）：

「対立」は、統合情報セキュリティシステムを構築するための典型的なプロジェクトと比較できます。 実際のプロジェクトと同様に、監査、アーキテクチャの精緻化、情報保護の必要な方法と手段の選択、オーガナイザーとのすべての変更の調整、「戦闘」条件での選択された保護手段のテストと運用の段階を経ました。 一般的に、ネットワークインフラストラクチャの変更を徹底的かつ詳細に監査し、ネットワークトラフィックを完全に制御することに焦点を合わせました。 保護システム構成の戦略と選択は、最近の出来事の影響を受けました。TheShadow Brokersによるエクスプロイト発行の波と、すでに世界的に有名なWannaCryウイルスの出現です。



この目標を達成するために、Palo Alto Networks（NGFW）、Positive Technologies（PT Application Firewall、MaxPatrol8）、SkyBox Security（NA、FA、VC、TM）などの企業から多数のソリューションを選択しました。 LinuxとWindowsを実行するエンドポイント（ホストマシン）の保護は、セキュリティコードによるトラップ（Palo Alto Networks）とSecret Net Studioソリューション、および組み込みのOS保護メカニズムに基づいて実装されました。 これにより、有名なエクスプロイトの使用を防ぐことができました。



夜間を含め、オフィスインフラストラクチャが継続的に攻撃されたことに注意してください。 攻撃者が脆弱なサービスを発見し、それらの脆弱性を探し始めた方法を見ました。 コースのように、かなり標準的な方法で攻撃しました。パスワードをソートし、インターネット上でエクスプロイトを検索し、サーバーおよびルーターに対してそれらを使用しようとしました。 各接続を確認して記録しました。 DMZに対する最も活発な攻撃は、午前0時から午前4時まででした。 その後、午前6時に、攻撃者はオフィスネットワーク内のサーバーセグメントに切り替えました。 まあ、パスワードを選択したり、SQLインジェクションやXSSなどを見つけることもできません。」

SOC「パースペクティブモニタリング」：

「これは、さまざまな監視シナリオを作成するための素晴らしいトレーニング場でした。 残念ながら、技術的な問題が発生し、「対立」の初日の19時にのみセンサーにトラフィックを送ることができました。 トラフィックとイベントを受け取り、攻撃と脆弱性を悪用する試みを見ましたが、それらはすべて簡単にブロックされました。 私たちはディフェンダーのチームと良好な協力関係を築くことができました。彼らは私たちからの情報に迅速に対応しようとしました。



最も不快な驚きは、すべての攻撃が非常に典型的であり、参加者全員が「はい、それはクールだった」と言うことができるようにハイライトがなかったことです。 攻撃者は、秘密を共有したくなかったか、十分な時間を持っていませんでした。



ゲームの主な結論：「対立」の前日にすべてがうまくいくとしても、これは「対立」の日の仕事自体を保証するものではありません。 しかし、真剣に、私たちはビジネスの方法とチームをチェックし、あちこちで特定の成功を達成したという結論に達しました。 とても楽しいです。 情報の提示の厳しさにもかかわらず、視覚化は十分ではありませんでした。

SOC「False Positive」（ソーラーJSOCチーム、思いやりのある友人、ロシアのSOCビルダー）：

「印象はポジティブです。 大規模なイベントのように、PHDays 7はオーバーレイなしではありませんでしたが、一般的に組織のレベルと参加者のインスピレーションの両方が非常に印象的でした。 私たちにとって、このイベントは、合成ではありますが、それでもプロのペンテスターに​​対して興味深い労働条件でコンテンツの有効性をテストする別の機会でした。 昨年、ネットワークシナリオに焦点を当て、それらのテストに成功しましたが、ここではホストとの連携に焦点を当てました。



残念ながら、「内部からの敵」という名前は、新しい企業セキュリティに対するソーシャルエンジニアリングやその他の喜びがあまりなかったため、完全に正当化されませんでした。 それでも、攻撃者、防御者、SOCの両方で自分たちの部隊をテストするという点で、情報セキュリティコミュニティにとって有益な経験であると考えています。



もちろん、このような大規模なプロジェクトでは、パワーのバランスに非常に注意する必要があります。 このイベントで、銀行は攻撃者にとって最も望ましい標的となり、残念ながら他の保護されたインフラストラクチャへの注意を低下させました。 来年、私はさらに多くの火とハードコアを見たいと思います。」

PSハッキングコンテストにあまりにも熱心で、PHDays VIIのレポートを作成する時間がなかった人のために、ほとんどのレポートは録画で見ることができます。 プレーヤーの右側には、興味のあるセクションを選択できるメニューがあります。

www.phdays.ru/broadcast