Abastecerse de café y pastillas para el dolor de cabeza: cómo prepararse para los ciberejercicios y ganar
Continúe tomando café y analgésicos, reconsidere globalmente sus tácticas en el proceso y defienda su posición hasta el final. Los chicos de Jet CSIRT cuentan cómo su equipo SuperJet logró ocupar el primer lugar en la capacitación internacional en línea para mejorar la ciberresiliencia global Cyber Polygon 2024.
La experiencia de los chicos será útil para los participantes del principal campamento en línea sobre ciberseguridad práctica Cibercampamento 2024que tendrá lugar del 3 al 5 de octubre. Representantes del equipo SuperJet participaron en el desarrollo de escenarios de misión. Cibercampamento 2024así que descubre trucos de primera mano.
Todos los equipos de Cyber Polygon 2024 actuaron como un equipo azul: investigaron el incidente utilizando técnicas informáticas forenses clásicas y un enfoque de búsqueda de amenazas. El equipo de SuperJet dirigido por Pavel Ivanov, analista líder del grupo de investigación cibernética Jet CSIRT, Jet Infosystems, investigó un ataque dirigido a una organización de inteligencia artificial. En este escenario, MercuryLark lanzó una aplicación innovadora que utiliza tecnologías de aprendizaje automático, pero varios meses después del lanzamiento, el rendimiento del modelo comenzó a deteriorarse. Era necesario encontrar el motivo del deterioro de la calidad del producto, estudiar la infraestructura de la empresa y detectar rastros de su compromiso para poder reanudar su correcto funcionamiento en 24 horas.
Al final El equipo SuperJet obtuvo 3450 puntos de 4020 posibles: este es el mejor resultado entre 309 equipos de más de 65 países.incluidos el Reino Unido, Francia, EE. UU., Suiza, Bélgica, etc. Los equipos incluían representantes de diversas industrias, incluido el sector financiero, el comercio electrónico, la educación, la auditoría y consultoría, la medicina y el sector público.
En este artículo, los chicos de Jet CSIRT comparten consejos que serán útiles para los participantes. Cibercampamento 2024 (tener tiempo ¡registro!).
“Éstas son nuestras tareas diarias”. Cómo prepararse para la formación en ciberseguridad online
Pavel Ivanov: “Participé en Cyber Polygon 2021 y luego los sistemas de seguridad de la información utilizados en la infraestructura vinieron al rescate. Este año tuvimos que confiar en registros sin procesar, código abierto y nuestro propio conocimiento. Decidimos de antemano quién sería responsable de qué y qué herramientas usaríamos. La investigación de incidentes en sí es nuestra tarea diaria, por eso confiamos en nuestra experiencia laboral acumulada”.
Alexander Perevalov: “Recopilamos muchas herramientas útiles, instalamos un rastreador de investigación y organizamos el trabajo en una máquina virtual”.
“Vaya en orden y busque “banderas”. Jet CSIRT: sobre las tácticas para completar tareas
Pavel Ivanov: “Íbamos a seguir el método clásico de análisis de artefactos, pero rápidamente nos ahogamos en el proceso”.
Alexander Perevalov: “Un análisis exhaustivo de los artefactos proporcionados y la introducción de toda la información en el rastreador de investigación resultó ser una solución subóptima”.
Artem Semagin: “Cuando investigamos los registros y notamos todas las acciones sospechosas, sin prestar atención a las preguntas planteadas, vimos que les estábamos dando a nuestros oponentes una ventaja: otros equipos avanzaban en puntos y nosotros estábamos marcando tiempo. .
Alexander Perevalov: “Después de unas horas, dejamos de intentar restaurar toda la pintura”.
Valeria Schott: “Nos dimos cuenta de que estábamos perdiendo el tiempo. Por lo tanto, revisamos nuestras tácticas y comenzamos a confiar simplemente en las preguntas: caminábamos en orden, buscando “banderas”.
Artem Semagin: “Habiendo decidido reaccionar consecuentemente, empezamos a alcanzar a nuestros rivales y al final pudimos sortearlos”.
Pavel Ivanov: “Esto fue de gran ayuda, porque las preguntas en sí mismas parecieron guiarnos a lo largo de la investigación y nos ayudaron a comprender el contexto del incidente”.
Pavel Ivanov, capitán del Jet CSIRT, explica cómo completar las tareas. ¡Cuidado, spoilers!
Comenzamos nuestra investigación con ELK y análisis de eventos del segmento de usuarios. Habiendo descubierto en uno de los hosts rastros de deshabilitación del software antivirus, desinstalación de Sysmon y el agente de recopilación de telemetría, profundizamos en el análisis de la imagen del disco del host. Para ello utilizamos un conjunto de herramientas preparado, que incluye FTK Imager y Arsenal Image Mounter. Para acelerar el análisis, recopilamos una clasificación del disco montado usando KAPE y comenzamos a estudiar los artefactos resultantes. Se eligieron las herramientas de Eric Zimmerman (EZ Tools) para analizar artefactos forenses.
En primer lugar, al analizar la clasificación, estudiamos los artefactos de evidencia de ejecución. Pudimos encontrar rastros del ataque en los archivos AmCache, AppCompatCache y Prefetch. Por supuesto, no podríamos prescindir de analizar el registro, la tabla MFT, UsnJournal y otros artefactos. Y para un análisis conveniente y rápido de los eventos, utilizamos la utilidad hayabusa, que también destacó varios rastros de un ataque utilizando el conjunto integrado de reglas Sigma.
Como resultado, se pudo establecer que el acceso inicial se obtuvo a través de un RCE interesante: una vulnerabilidad en Telegram Desktop, que no habíamos encontrado previamente en nuestras investigaciones.
La vulnerabilidad se debe a un error tipográfico en la lista de extensiones de archivos ejecutables: por ejemplo, en lugar de pyzw (un archivo como la aplicación Python Zip), se especificó pywz en el código con extensiones prohibidas. Cuando los usuarios recibían un archivo .pyzw y hacían clic en él, el atacante podía engañar al usuario para que enviara un archivo .pyzw con un tipo mime falso.
Tras un análisis más detallado, se determinó que los atacantes utilizaron el marco Mythic C2 y arrojaron credenciales. Habiendo logrado afianzarse en el host a través de LOLAPPS y pasando por un proxy de calcetines, los atacantes comenzaron a atacar el dominio. El compromiso se produjo a través de AD CS; como resultado del ataque, una cuenta del servicio gitlab quedó comprometida.
Al analizar los eventos de gitlab en ELK, encontramos cambios en la canalización CI/CD a través de la cual los atacantes desarrollaron el ataque. Para comprender las acciones de los atacantes, se analizó el repositorio en sí, en cuyo historial de confirmaciones se ocultaba el desarrollo posterior del ataque: los atacantes cambiaron al almacenamiento secreto y al registro de imágenes.
A continuación, analizamos la imagen del contenedor comprometido: el análisis de la imagen del contenedor se puede realizar usando la utilidad container-diff o incluso manualmente, usando un bloc de notas, viendo los cambios en cada capa.
Luego investigamos los eventos del tetrágono observando los registros ELK de la fuente k8s. Tanto los eventos de creación de pods como los eventos de los propios contenedores nos ayudaron. En esta etapa del desarrollo del ataque, los atacantes eligieron técnicas interesantes: reconocimiento usando kubectl y creación de un contenedor privilegiado con posterior escape al propio nodo. Y las herramientas utilizadas fueron kdigger, kube-hunter, kubescape, peirates.
El acorde final fue el compromiso del sistema de orquestación de datos del flujo de aire y el cubo S3. Aquí el análisis se realizó nuevamente utilizando ELK y los eventos correspondientes de las mismas fuentes.
Disputa con soporte sobre comas. ¿Qué es lo que más recuerdas?
Pavel Ivanov: “¿Dónde estaríamos sin discutir con el soporte técnico sobre puntos “robados”?” Cyber Polygon 2024 contaba con un validador de respuestas muy estricto que no perdonaba ni la más mínima desviación. Entonces, un par de respuestas inexactas dadas a altas horas de la noche, con dos puntos en lugar de punto y coma (por la noche son realmente indistinguibles), al principio nos molestaron mucho, y luego, por el contrario, nos animaron y motivaron”.
Artem Semagin: “Sí, todos recuerdan el momento en que estábamos ascendiendo en la clasificación y cometimos un error ofensivo: indicamos IP:puerto en lugar de IP;puerto. ¡Pero los errores tipográficos al pasar “banderas” son inevitables cuando analizas registros y artefactos en medio de la noche! Intentamos apelar, pero fue en vano”.
Alexander Perevalov: “Hacia el final incluso dejamos de escribir disputas, porque el soporte nos ignoró por completo. Pero te contaré algo más. Fue bastante inesperado encontrar tareas en k8, que rara vez encontramos en la práctica, por lo que tuvimos que leer rápidamente algunos artículos y buscar activamente en Google para entender de qué estaban hablando. También recuerdo una tarea en la que tenía que extraer un fragmento de código binario de un script de PowerShell, cuando cualquier intento de abrir el script para leerlo provocó que todo se congelara y nada funcionó. ¡Pero lo logramos!”
Llamada en vivo por un día y recursos para BM. Trucos de los miembros del equipo ganador.
Alexander Perevalov: “Es importante seguir el camino marcado por los desarrolladores. Lo más probable es que sea más corto que el que se le ocurrió. Si hablamos de investigaciones en general, entonces anota la cronología más detallada de los acontecimientos, así como el lugar y el método donde y cómo encontraste tal o cual artefacto; probablemente tendrás que volver a ello”.
Pavel Ivanov: “El principal consejo es comprobar si se utilizan dos puntos o punto y coma. Pero en serio, en tareas tan grandes con un conjunto diferente de artefactos, es importante no perder la imagen general del incidente, generar y buscar hipótesis y poder buscar información rápidamente”.
Artem Semagin: “Le aconsejo que establezca comunicación de inmediato. Una llamada en vivo las 24 horas es un desafío. Por supuesto, todos podían desconectarse y conectarse periódicamente, pero siempre alguien tenía que permanecer activo en la investigación. También es importante abastecerse de espacio en el disco duro y recursos para la VM. Para resolver los problemas, los organizadores prepararon una imagen de VM con ELK, pero era casi imposible trabajar en esa VM con la configuración predeterminada”.
“Ya no queda café ni pastillas para el dolor de cabeza”. Cómo fue realmente Cyber Polygon 2024
Artem Semagin: “Fue genial e interesante, pero duro física y mentalmente”.
Pavel Ivanov: “¡No quedó café ni pastillas para el dolor de cabeza, lo que significa que el evento fue lo más agitado posible! Espero que el año que viene los organizadores nos mimen con el mismo guión potente y preguntas interesantes”.
Roman Drankov: “Me gustó la tarea con mucha infraestructura y varios registros para análisis; me gustaría profundizar en ella, pero no tuve suficiente tiempo. También es una pena que el soporte técnico nos haya decepcionado: ¡tenemos que ser más receptivos!”
Alexander Perevalov: “El soporte estaba realmente molesto; no está claro por qué estuvieron sentados en línea todo el día si obviamente no estaban preparados para las disputas. El escenario de la misión niveló la negatividad: fue realmente genial. Gracias a los organizadores: ¡volveremos en un año!”
La composición completa del equipo SuperJet: Pavel Ivanov, Artem Semagin, Valeria Shott, Alexander Perevalov, Maxim Kishmereshkin, Roman Drankov, Pavel Davydov, Daniil Kiryakov.
