На площадке нового Кампуса УрФУ студенты из вузов Екатеринбурга, Москвы, Санкт-Петербурга, Новосибирска, Мурманска, Саратова, Магнитогорска, Оренбурга, Челябинска, Самары, Тюмени и Томска объединились в красные и синие команды, чтобы состязаться за звания лучших пентестеров и защитников ИТ-инфраструктуры.
UDV Group стала одним из партнеров события и предоставила свои продукты в качестве компонентов киберполигона.
Легенда Киберучений
IT-компания «ТехноБудущее» уже пять лет занимается разработкой программного обеспечения для финансового сектора, но в последнее время она стала мишенью для целевых кибератак — фишинга и попыток внедрения вредоносного ПО. Помимо этого, с увеличением числа удаленных сотрудников и внедрением облачных технологий появляются новые дополнительные уязвимости.
Участники Киберучений из синих команд должны на основе полученных логов, инцидентов безопасности и сетевой активности найти признаки вторжения (расследование инцидентов) и выдать рекомендации для улучшения защиты. Для получения информации об инцидентах и событиях ИБ участники использовали UDV DATAPK Industrial Kit, а данных о сетевой активности — UDV NTA.
Применение продуктов UDV Group
UDV DATAPK использовался для получения логов, их обработки и формирования инцидентов на основе экспертных правил корреляции от лаборатории кибербезопасности UDV Group. Среди защищаемых активов были контроллер домена, несколько АРМ на Windows, сервера Gitlab и Docker registry на Linux. С данных устройств события собирались штатными утилитами безагентным способом.
Пилотная версия UDV NTA использовалась для анализа трафика, который поступал с двух подсетей – ДМЗ (содержал общедоступный веб-сервер, Docker registry и Gitlab) и внутренняя сеть (контроллер домена, несколько АРМ, Gitlab, Docker registry). После атаки на данном решении было обнаружено чуть больше активов, так как сеть обеспечивает большую видимость.
Результаты
После проведения многочасовой атаки UDV DATAPK Industrial Kit выявил десятки инцидентов, которые отражали все стадии атаки, а также несколько десятков тысяч событий, содержащих детали данных инцидентов. Это помогло обнаружить:
- попытки проведения атаки PathTraversal;
- эксплуатацию SQL инъекций;
- запрос на выдачу сертификата для аутентификации от имени доменного администратора и его одобрение;
- вход на АРМ с помощью нового сертификата.
Продукт UDV NTA зафиксировал два десятка инцидентов с этапами атак по матрице MITRE, а также несколько десятков тысяч сессий и несколько сотен переданных по сети файлов, которые использовались участниками для анализа. Также, среди инцидентов были срабатывания подсистемы IDS: например, сканирование блоков IP-адресов и использование эксплойтов. На основе данных событий участники синей команды смогли уверенно утверждать, что на компанию происходила атака, и смогли обнаружить:
- массовое сканирование директорий веб-сервера и хостов внутренней сети;
- получение учетных данных с помощью атаки DCSync;
- попытки подключится через RDP;
- передачу reverse-shell через HTTP (также этот файл был выгружен и проанализирован с помощью службы проверки подозрительных файлов и ссылок VirusTotal).
Таким образом, решения от UDV Group позволили участникам Киберучений своевременно и эффективно провести расследование и выстроить цепочку действий атакующих.
