Co je to sinkholing?

Sinkholing je přesměrování provozu, místo původního cíle do kontrolovaného místa. Kontrolované místo je označováno jako sinkhole. Proč? V rámci kybernetického cvičení Locked Shields jsme pozorovali nežádoucí provoz směřující na specifické domény. Rozhodli jsme se tyto domény směrovat na námi kontrolovaný stroj. Tam jsme prováděli analýzu (šifrované) komunikace.

Infikované stroje komunikovaly šifrovaně, privátní klíč jsme neměli k dispozici a spoléhali jsme na to, že nebudou ověřovat klíč serveru (Použili jsme jednoduchý openssl req -new -x509 -keyout server.pem -out server.pem -days 365 -nodes). Neověřovali, proto jsme byli schopni na koncovém bodu identifikovat obsah požadavků. HTTPs server představoval upravený SimpleHTTPServer Podařilo se nám tak rozkrýt obsah identifikovat nakažené stanice a eliminovat nákazu.

Sinkholing je poměrně efektivní metoda, určitě jsme ji nepoužili naposled.

Other Related Posts:

Locked Shields 2019

Další ročník a nové výzvy

Jako každý rok i tento jsem se účastnil kybernetického cvičení Locked Shields. Letošní rok se tým starající se o detekci Red Teamu rozšířil dvojnásobně, jestli to dvojnásobně zvýšilo šanci na eliminaci Red Teamu (útočníků) se dopředu těžko posuzuje.
Přípravnou fázi jsm...

12th Apr 2019