Další ročník a nové výzvy
Jako každý rok i tento jsem se účastnil kybernetického cvičení Locked Shields. Letošní rok se tým starající se o detekci Red Teamu rozšířil dvojnásobně, jestli to dvojnásobně zvýšilo šanci na eliminaci Red Teamu (útočníků) se dopředu těžko posuzuje.
Přípravnou fázi jsme strávili laděním našeho stroje určeného na detekci útočníků a hledání vzorců chování Green Teamu (stará se o bodové hodnocení dostupnosti, prostupů). V neposlední řadě také promýšlením strategie, kterou použijeme proti útočníkům.
Jakmile došlo na hru, každý věděl co dělat. Rozdělili jsme si síť podle segmentů (interní, DMZ a SCADA) tak, abychom si nedělili pozornost mezi více segmentů.
I tak se nám, jako vždy, nedaří v DMZ. Ta je děravá jako ementál a my defacto jen pomáháme dohledat jakým způsobem k tomu došlo – což je možné do chvíle než se útoky přesunou na HTTPs. Pak jsme úplně odkázáni na data z koncové stanice.
Kde se cítíme lépe je interní segment, RT se snaží kompromitovat koncové stanice, exfiltrovat uživatelské údaje a pivotovat po doméně. Zpravidla se nám daří identifikovat domény a IP adresy patřící útočníkům a blokovat tak jejich aktivity. Nicméně i to má svá omezení a limity. Letos nám hodně pomohl EDR (Endgame), díky kterému jsme byli schopni v určitou chvíli zabít všechny instance Powershellu na infikovaných stanicích a donutili hrát RT podle našich pravidel.
Samostanou kapitolou je vždy SCADA, sestávající se ze 4 různých segmentů (čištění vody, elektrárna,…). Specifická zařízení, protokoly,… znamenají komplikaci ve chvíli kdy musíme odhalit paket, který je pozměněný. Většina nástrojů (Wireshark je vyjímka) totiž neumí tyto pakety správně parsovat.
Osvědčily se nám JA3 otisky, Alexa TOP level domain list a důkladná příprava.
Skončili jsme na pěkném 2. místě, takže to rozšíření týmu k něčemu asi bylo. Uvidíme za rok.