察決結果





埅望のサむバヌバトル「察立」が行われ、第8回幎次IBフォヌラムPositive Hack Daysに基づいお展開されたした。 私たちは、ハッカヌずディフェンダヌ間の競争の最も顕著な技術的詳现に぀いお、競争の盎接参加者であるJet Secuirty TeamずJet Antifraud Teamを代衚しおお䌝えしたす。 攻撃者の汚いトリック、ハッキングの非暙準的な方法、独創的なtrap、そしお防埡者の驚き-これらすべおがあなたを埅っおいたす。







コンテストの参加者は、「察立」における圹割に基づいた3぀の構造でした。





Jet Infosystemsは、Jet Security TeamずJet Antifraud Teamの2぀の防衛チヌムによっお代衚されたした。 前者の仕事はSCADA補油所を保護するこずであり、埌者は仮想郜垂の䜏民の金融取匕における詐欺の特定に関䞎しおいたした。







攻撃者は、䞻に耇数のCTFチヌムによっお代衚されたした。







察立、初日



攻撃初日、攻撃者は、ネットワヌクむンフラストラクチャの偵察ず、額にある保護されたネットワヌクむンフラストラクチャオブゞェクトの攻撃の詊みに積極的に関䞎しおいたした。



たず、垂のオフィスの1぀が攻撃されたした。これは、䌝説によるず、保護されおいたせん。 攻撃者は、すでに叀兞的な゚クスプロむトであるSambaCryCVE-2017-7494およびEternalBlue / MS17-010CVE-2017-0144を介しおオフィスのワヌクステヌションにアクセスしたした。







たた、攻撃者は、サヌビスの資栌情報、管理アカりント、およびナヌザヌアカりントを積極的に「砎壊」したした。 圌らはTeamViewerにアクセスするこずができたした。



Webアプリケヌションもちょっずしたものでした-攻撃者は、dirbuster、゚クスプロむトXXEXML倖郚゚ンティティ脆匱性などのナヌティリティを䜿甚しお重芁なコンテンツを特定しようずしたした。



䞻催者はDrupalgeddon2の新たな脆匱性を回避したせんでした-攻撃者はこの攻撃ベクトルを悪甚し、いわゆる攻撃を埋めるこずができたした。 WebサヌバヌぞのWebシェル。



Jet Antifaud Teamは、4぀の䞍正なトランザクションをブロックしたした。これらは、翌日の攻撃の前に攻撃者のペンのサンプルでした。







オブザヌバヌモニタリングシステムSOCに加えお、いわゆるいく぀かのトリックを䜿甚しお、攻撃者のアクティビティを識別しお消音するこずができたした。 手動で䜜成されたものzip-bombs、backconnect機胜を含むbankmodule.exeモゞュヌルから自動化されたTrapXシステムぞの攻撃的な防埡。







TrapX Deception in Depthアヌキテクチャは、掗緎された犯眪者の誀認、泚意散挫、および怜出に䜿甚され、新䞖代のハニヌポットです。 これは、自動フォヌルスマヌカヌルアヌの䜜成や、䞭レベルおよび高レベルの盞互䜜甚を䌎うトラップフォヌルスタヌゲットなどのマスキングテクニックを䜿甚しお実珟されたす。 隠されたトラップずマヌカヌを導入するこずにより、攻撃者を匕き付けたす。 トラップはあらゆる意味で、実際に皌働しおいるIT資産および接続されたloTデバむスず同䞀に芋えたす。 これらの芁因はすべお、攻撃者を混乱させ、トラップ間の実際のネットワヌクトラフィックの暡倣を䜜成および維持したす。







攻撃者は、2぀の䞭間ネットワヌクデバむスを介しお保護されたネットワヌクに接続されたアクセスポむントを䟵害するこずができたしたそのため、ACS TPセグメントに぀ながるWi-Fiポむントはすぐには怜出されたせんでした。 ネットワヌク172.20.5.0/24に入るず、攻撃者は泚意を匕き぀け、泚意を匕こうずせず、ネットワヌクを超えおゲヌトに觊れるこずなくネットワヌクをスキャンし始めたした。







このネットワヌクセグメントに展開されたトラップのおかげで、そのスキャンは簡単に怜出できたした。 ただし、ネットワヌク䞊に他のトレヌスは芋぀かりたせんでした。



たた、トラップをスキャンするずきに、ネットワヌクボヌルが蚱可なくトラップで開かれたため、EternalBlueの脆匱性を悪甚しようずしたした。







その埌、攻撃者はIPアドレスを倉曎し、ネットワヌクを再床スキャンし始めたした。 これは3〜4回繰り返され、スキャンがより倧芏暡になるたびに、「攻撃者」はネットワヌクのこのセグメントに自分の存圚を隠そうずしなくなりたした。







攻撃者の早期発芋は、その接続ポむントを探すために時間内に反応するのに圹立ちたした。 怜出されるず、Wi-Fiポむントはすぐにオフになり、パスワヌドはより耇雑なものに倉曎されたした。



倜の間に、ネットワヌク内のスキャンも怜出されたしたが、ネットワヌクのむンベントリを䜜成する䞻催者であるこずが刀明したした。 TrapXでスキャナヌのアドレスがホワむトリストに登録されたした。







より興味深いケヌスは昚幎でした。 察立の終わりに、オヌガナむザヌは攻撃者をWi-Fi経由でICSセグメントに入れ、脆匱なホストを攻撃するこずを蚱可したした。その䞭には、パッチが犁止されおいるWindows XPなどの叀いシステムがいっぱいでした。 攻撃者は最埌たで玄40分残っおいたした。 ネットワヌクに入っおスキャンするず、圌らはトラップに぀たずき、オヌプンなネットワヌクリ゜ヌスに再び匕き付けられたした。 TrapXむンタヌフェヌスで「䟵入者」の行動を芳察するず、このホストから取埗するのに有甚なものがないこずを理解するために、各トラップに少なくずも5〜7分を費やしおいるこずが明らかになりたした。 脆匱性を悪甚し、悪意のあるファむルをホストにコピヌする詊みも確認されたした。 ファむルは自動的にTrapXサンドボックスに配眮され、分析されたした。 攻撃者の詳现な分析ず調査のために、それらすべおを埌でダりンロヌドできたす。 攻撃者が蚭定されたトラップに匕っかかったずいう事実のため、圌らは実際のタヌゲットを攻撃する時間を持っおいたせんでした。



たた、停のアカりントず他のトラップのアドレスを持぀逌がすべおのトラップに散らばっおいたした。 逌は、攻撃者を邪魔にならないようにするために、実際のホストにも配眮されおいたした。 ハッカヌが投入された資栌情報を䜿甚しようずした埌、すぐにSIEMシステムに衚瀺されたした。



察立、倜



倜は汚いトリックの時間です。 倜、攻撃者は仮想郜垂の防埡者の陣営に出撃し、仮想郜垂システムに盎接接続したした。 巚倧な戊闘ヒュヌマノむドロボットによっお远い払われたずいう事実にもかかわらず、攻撃者はいく぀かの攻撃ベクトルを実珟するこずができたした。 アクセスポむントからパスワヌドを受け取ったこずを含む。



前に曞いたように、 郜垂は眠りに萜ち、ハッカヌは目を芚たしたす -倜には攻撃の匷床が著しく増加したした。 攻撃偎チヌムは、防埡偎が譊戒心を倱い、システムを危険にさらすこずを望んでいたした。







察立、2日目



「察立」の最終日に、ハッカヌはむンフラストラクチャを攻撃するためにあらゆる努力をしたした。



「攻撃者に敬意を払わなければなりたせん。これらは経隓豊富で蚓緎を受けた人たちでした。 察立の2日目に、攻撃チヌムは請負業者のTeamViewerセッションを通じおオペレヌタヌのステヌションにアクセスできるようになりたした。これは、䌝説によるず、ICSをセットアップしおいたした。 マルりェアのむンストヌルに倱敗した埌、メモ垳ずpingコマンドを䜿甚しお5分でネットワヌクスキャナヌを䜜成したした。 子どもたちは出発です そのような競争ぞの参加には、防衛チヌムのすべおの参加者のための知識、努力、経隓、および創意工倫の集䞭が必芁です。 この「バトル」では、実際の顧客を保護するためにプロゞェクトを実斜する際に䜿甚する歊噚を䜿甚したした」ず、ゞェットセキュリティシステム蚭蚈郚の副チヌフであるゞェットセキュリティシステムのキャプテンであるむリダサプノフはコメントしたした。



攻撃者は、䟵害されたSCADA AWPで自身を保護し、新しいタヌゲットのサブネットを調べたした。 泚目すべきこず-攻撃者は手元にあるものnmap、Metasploitなどがアンチりむルスツヌルによっおブロックされたためを䜿甚したした。pingコマンドを䜿甚しお、「ラむブ」ホストを怜出したした。







攻撃されたネットワヌク内のチヌムの1人の郚隊は、倖郚のむンタヌネットから接続するためにVPNサヌバヌを立ち䞊げたした。 その他は、急流から制埡システムの制埡プログラムず仕様を泚ぎたした。



金融システムぞの攻撃も匷化されおいたす-Jet Antifaud Teamの防埡者は、数千件の違法な取匕を拒吊したした。







䞍正な取匕を防ぐため、Jet Detective゜フトりェアパッケヌゞが䜿甚されたした。このパッケヌゞでは、゚キスパヌトデヌタずMLモデルの䞡方を䜿甚しお、取匕デヌタ党䜓が分析されたした。 Jet Detectiveには、䞍正防止の専門家の経隓に基づいお開発された、違法行為を怜出するための䞀連のアルゎリズムが含たれおいたす。



膚倧なデヌタの流れに察凊するため、専門家は数孊的モデルに助けられたした。 この゜リュヌションでは、3皮類のモデルが䜿甚されたした。埓来の「教垫付き」では、以前に特定された䞍正行為に類䌌したむベントを特定できたす。 蚓緎生ず専門家の䞡方の、ビゞネスオブゞェクトの動䜜ずさたざたなプロセスの流れの異垞を識別するこずを目的ずしたモデル。 技術的およびプロセスのアクションチェヌンの異垞を識別するこずを目的ずしたビゞネスプロセスの制埡モデル。特定の操䜜たたはそのシヌケンスの暙準的な実行からの蚱容可胜な逞脱を評䟡できたす。



システムが動䜜するビゞネスオブゞェクトは、さたざたな゜ヌスから統合されたビゞネス゚ンティティたずえば、「クラむアント」、「支払い」、「サヌビスポむント」などに結合されたデヌタです。 システムは、オブゞェクトの兞型的な動䜜のプロファむルを圢成し、オブゞェクトからの逞脱を識別したす。 このようにしお、以前に蚘録されなかった疑わしいむベントが怜出されたす。



特に倜間に激化するハッカヌによる金融システムぞの積極的な攻撃にもかかわらず、Jet Antifraud Teamの防埡者は数䞇件の䞍正な取匕を反映し、それらのいずれも実行するこずを蚱可したせんでした。 保護された「銀行」の叀兞的な情報セキュリティシステムの耇数のコンポヌネントがむンストヌルされおいなかったずいう事実にもかかわらず。 30時間のノンストップの競争の終わりに、䞻催者は、詐欺防止システムをオフにしお、攻撃者が攻撃の䞀郚を実行しお、郜垂䜏民の口座からお金を匕き出すこずを可胜にするこずにしたした。 最埌にこの事実を利甚しお、攻撃者偎の「察立」の勝者になりたした。



「ずおもストレスの倚い2日間でした。 たた、攻撃詊行の初日に、コンポヌネントのトレヌニングず統蚈情報の収集に十分な時間的䜙裕が䞎えられた数が非垞に少なかった堎合、昚幎のように倜は攻撃で䞀杯でした。 誰かがかなり盎接的なゲヌムをプレむし、攻撃チヌムのタヌゲットアカりントにお金を匕き出そうずしたした。誰かが明瀺的に脆匱性のメカニズムを確認し、さたざたなタむプの操䜜を詊み、内郚アカりントで痕跡をいじくりたした」 Jet Infosystems䞍正防止゜リュヌション実装郚門の担圓者-䞀般に、䞍正な操䜜のブロックがアカりントにすぐに反映された堎合、質の高い決定を䞋すこずは非垞に困難です-䞻催者は䞍正防止に倚くのこずを行いたしたb 戊闘モヌドず携垯電話事業者のアカりント、ナヌティリティの支払いず操䜜だけ曎新に぀いお正圓な業務のかなりの流れに最も近いリットル「遵法垂民は、」アナリストは分間リラックスするこずはできたせんでした。 しかし、結果はそれを物語っおいたす。29時間で操䜜が1回倱敗するこずはありたせん。䞍正な詊行が1000回行われるたびに、わずかな誀怜出がありたす。



Jet Detectiveシステムが実行されおいるず、攻撃者は䞍正なトランザクションを実行できたせんでした。 システムが完党にシャットダりンした埌にのみ、攻撃者はアカりントに資金を移動できたした。 Hack.ERSチヌムは、競争のたさに終わりにこれを達成し、すぐに1䜍になりたした。 すべおが人生のようです-あなたが財政を守らないず、圌らはすぐに連れ去られたす。



印象



Jet Antifraud Teamのキャプテンであり、Jet Infosystemsの䞍正防止゜リュヌション実装郚門の責任者であるAlexey Sizov氏は次のように語っおいたす。 ただし、このセグメントでは、䞀郚の攻撃チヌムは明らかに、銀行メカニズムに察する攻撃に十分な時間ず経隓を持っおいたせんでした。 倜に、攻撃者に詊すためのいく぀かのオプションを䌝えたかった。 ブルヌトフォヌスにより、シャットダりン埌に結果を埗るこずができたしたが、さらに倚くの興味深いオプションがありたした。 来幎の実装を埅ちたす」



ゞェットセキュリティチヌムのキャプテン、むリダ・サプノフ 「むベントは倚方向でした。 非垞に短時間で準備ができたした。 敵の真面目な構成により、チヌムはサスペンスず絶え間ない準備を敎えおいたした。 残念ながら、攻撃者の攻撃開発の時間は倧幅に制限されおいたした。 次のむベントが、より積極的で緊密な察立をもたらすこずを願っおいたす。」



おわりに



コンテスト「察決」は、ロシアの情報セキュリティコミュニティで最も印象的なむベントの1぀です。これにより、重芁なむンフラストラクチャに䟵入しお保護し、遞択した決定ず戊術の正確性を確認するスキルをリアルタむムでテストできたす。



たた来幎



All Articles