Co je to sinkholing?

Sinkholing je přesměrování provozu, místo původního cíle do kontrolovaného místa. Kontrolované místo je označováno jako sinkhole. Proč? V rámci kybernetického cvičení Locked Shields jsme pozorovali nežádoucí provoz směřující na specifické domény. Rozhodli jsme se tyto domény směrovat na námi kontrolovaný stroj. Tam jsme prováděli analýzu (šifrované) komunikace.

Infikované stroje komunikovaly šifrovaně, privátní klíč jsme neměli k dispozici a spoléhali jsme na to, že nebudou ověřovat klíč serveru (Použili jsme jednoduchý openssl req -new -x509 -keyout server.pem -out server.pem -days 365 -nodes). Neověřovali, proto jsme byli schopni na koncovém bodu identifikovat obsah požadavků. HTTPs server představoval upravený SimpleHTTPServer Podařilo se nám tak rozkrýt obsah identifikovat nakažené stanice a eliminovat nákazu.

Sinkholing je poměrně efektivní metoda, určitě jsme ji nepoužili naposled.

Other Related Posts:

Locked Shields 2021

Kybernetické cvičení na Home Office

V době pandemie je kybernetické cvičení velkou výzvou. Osobní kontakt musí nahradit chat/videokonference. Zároveň došlo k restrukturalizaci týmu a zavedli jsme SIEM. Všechno tohle by bylo vcelku jednoduché kdyby nebyla pandemie. Pokud něco potřebujete řešit...

16th Apr 2021

Locked Shields 2019

Další ročník a nové výzvy

Jako každý rok i tento jsem se účastnil kybernetického cvičení Locked Shields. Letošní rok se tým starající se o detekci Red Teamu rozšířil dvojnásobně, jestli to dvojnásobně zvýšilo šanci na eliminaci Red Teamu (útočníků) se dopředu těžko posuzuje.
Přípravnou fázi jsm...

12th Apr 2019