🤴 🍪 👩🏿‍🚒 Preparándose para The Standoff 2021, o Regreso al futuro 👨🏾 ⏳ 🤦🏼

¿Qué harías si tuvieras una máquina del tiempo? No seremos responsables de todos, pero podemos suponer que a los equipos de atacantes, defensores y SOC, así como a otros participantes de The Standoff 2021 , no les importaría ser transportados a la próxima batalla y ver cómo se desarrollarán los eventos en el polígono cibernético abierto más grande del mundo, cuándo y dónde ocurrirá la diversión y quién ganará la batalla.

Queda muy poco antes de The Standoff (y del foro internacional de ciberseguridad " Positive Hack Days 10: The Beginning "): la nueva capacitación cibernética comenzará el 18 de mayo y durará 4 días sin parar. Todas las entradas ya se han vendido PERO no se desanime . Cualquiera podrá seguir la batalla cibernética en directo en The Standoff desde la misma mañana (agréguela a sus marcadores para no olvidarla). Allí también puede escuchar todos los informes de PHDays ; el programa completo del foro está aquí .

No podremos construir una máquina del tiempo tan rápido, así como saber de antemano qué hackers podrán piratear y cómo los defensores repelerán los ataques, pero sugerimos recordar cómo sucedió esto en la última batalla cibernética. Esta es una excelente manera de actualizar sus impresiones y aumentar sus habilidades antes de la próxima confrontación. Todo lo más importante de la capacitación cibernética de seis días The Standoff 2020 está a continuación.

Brevemente sobre The Standoff y sus resultados

Del 12 al 17 de noviembre, se llevó a cabo una capacitación cibernética a gran escala en el campo de entrenamiento The Standoff . En el marco de la competencia, lucharon 29 equipos de ataque y 6 equipos de defensa. Para esta batalla cibernética masiva, se creó un gemelo digital de toda una ciudad. En esta metrópoli se presentaron imágenes de transporte, industrial, infraestructura energética, un centro de negocios e incluso un banco.

Heavy Ship Logistics — , , ;
25 Hours — , , ;
Tube — , , , ;
Big Bro Group — (, );
Nuft — , ;
Bank of FF — .

- , , , . . .


«» .	, .
.	.
	.

The Standoff 47 . , , , , . ; , - , , .

- , , . , , — . , . , ?

. — next-generation firewalls, application firewalls, security information and event management, network traffic analysis . , , - RBK.money. PT Expert Security Center MaxPatrol SIEM, PT Network Attack Discovery, PT Application Firewall, PT SandBox PT ISIM.

The Standoff Codeby, 27 123 . back2oaz, 24 463 . DeteAct (18 508 ).

, IZ:SOC, m6q9 . CT&MM.

, , .

1.

The Standoff , . 9 19 . . , . , . 20 n0x , Nuft. student , PHP-. -, .

, , , , , .

88 . , (40%) SQL- (27%).

2 50 back2oaz Nuft. . , 445, Metasploit Framework .

Figura 1. Elección de una contraseña de administrador local — 1.

, Incognito , , .

Incognito , .

, . , , , .

2 3.

13 n0x SPbCTF - F .

, - , , , , . , , : , - .

CT&MM. PHP 7, , — CVE-2019-11043. -, . n0x - –— . . , price. , .

Nuft. back2oaz , . , , . , , , , . , . ScadaShare. bmc-tools, RDP-, . , , SCADA- — Rapid SCADA — .

back2oaz, , , . , , . Nuft 445/TCP . . , , FactoryTalk View, .

Figura 2. Llamar a lsass.exe para obtener credenciales — 2. lsass.exe

, back2oaz, , n0x, Codeby Antichat Nuft. Antichat n0x , seafile. , n0x Antichat SharpHound, , , , .

Figura 3. Momento en el que se inició la utilidad SharpHound, detectado por MaxPatrol SIEM — 3. SharpHound, MaxPatrol SIEM

, , seafile, , . nuft\atpservice, . PsExec . DCSync, .

Figura 4. Ataque DCSync registrado por PT NAD — 4. DCSync, PT NAD

Hack.ERS -, F. , (GDPR) , . - DeteAct . , , , .

-, , . . . , POST- , , URL- . , SCS, , price .

DeteAct - Bank of FF — . : . . , , . PAN. card2account, CVV-, PAN .

Figura 5. Traducción correcta (interfaz PT NAD) — 5. ( PT NAD)

SPbCTF Tube, .

Figura 6. Pantallas de video City F — 6. F

56 . 9 . TA0002 Execution TA0003 Persistence: .

13 14 18 -, 12 . , Big Bro Group (: ).

4 5. : ,

- 27 , 146 , 115 .

Bank of FF : SPbCTF . , OWA, . The Standoff : .

Figura 7. Carta de suplantación de identidad dirigida a un empleado del banco — 7. ,

, Evilbunnywrote , F.

15 — . 15 16 Tube Big Bro Group .

, , . back2oaz « ». , . , ! . 25 Hours nmap, . - , . back2oaz . Microsoft SQL. sa MS SQL Server. , back2oaz MS SQL Server xp_cmdshell. , - . kek.exe.

Figura 8. Descarga del archivo kek.exe malicioso — 8. kek.exe

back2oaz , SCADA-, . , standoff_shell_x64. SCADA-.

Figura 9. Alerta de PT NAD sobre la carga del shell standoff_shell_x64 — 9. PT NAD standoff_shell_x64

Back2oaz SCADA-. admin, . Windows RDP.

RDP , back2oaz . . , , , .

25 Hours : , , - . ( ) -: , - .

TSARKA - Tube. . -. - , - : recoverPass, . id recoverPass. , recoverPass 1-2 , . .

, , .

, , « Nuft», . Hack.ERS . , back2oaz Codeby, , .

Heavy Ship Logistics, , , . DeteAct Codeby , TSARKA .

6.

: Big Bro Group. ERP- . Hack.ERS. , . , , CVE-2017-3167. , , , — . , CVE-2017-3167, Hack.ERS . Cisco ASA , , . password spraying , ping. ERP-. Hack.ERS PostgreSQL .