С 5 по 7 октября на суперфинале в СПбГУТ собрались победители и призеры финальных туров региональных отборочных этапов олимпиады по кибербезопасности. Среди более 500 участников в OpenBonch 2022 смогли попасть только 64 студента, которые и представили 15 вузов со всей страны.
ИТМО представили студенты первого и второго курса магистратуры факультета безопасности информационных технологий: Тимур Абдуллин, Никита Челноков, Герман Риттер, Дмитрий Сибирцев и капитан Георгий Геннадьев. В составе команды «ITMO)))» они успешно раскрыли уже не одно киберпреступление: в апреле этого года — на олимпиаде по информационной безопасности «КиберСПбГУТ 2022», а в июне — на международных киберучениях, которые впервые прошли на Петербургском международном экономическом форуме. Также в свободное время ребята выигрывают разные CTF-соревнования, участвуя в них как команда FaKappa.
На OpenBonch 2022 все киберпреступления смоделировали с помощью цифрового двойника классического офиса, который имитировал инфраструктуру одной из IT-компаний. Злоумышленники проникли в систему и зашифровали важную для сотрудников информацию. В течение четырех часов участники должны были выписать все шаги киберпреступников, избавиться от вредоносных программ, восстановить поврежденные файлы, а также найти и расшифровать «флаг» — произвольную фразу, которую организаторы соревнований оставили в одной из виртуальных машин цифрового двойника.
С решением всех задач команда «ITMO)))» справилась за три часа. Раскрыть всю последовательность действий участникам помогли собственные знания, как атаковать корпоративную инфраструктуру (на работе, а также в других киберучениях ребята часто играют за «красную» команду, которой нужно взломать систему), и программа MaxPatrol SIEM, которая позволяет построить полную модель цифровой инфраструктуры, а также собирать и анализировать информацию обо всех событиях, которые в ней происходят. А чтобы предотвратить действия шифровальщика, студенты использовали стандартные утилиты Linux и Windows.
Прочитайте также:
Студенты ИТМО стали победителями олимпиады по информационной безопасности «КиберСПбГУТ 2022»
В итоге команда узнала, что с помощью уязвимости Log4shell атакующий проник на корпоративный сайт компании. Далее он воспользовался еще одной уязвимостью — ProxyLogon, которая позволяет исполнять код на сервере Microsoft Exchange. Так злоумышленник получил удаленный доступ на почтовый сервер. Затем он планировал сдампить процесс lsass.exe — то есть создать копию участка оперативной памяти, где на данный момент работает эта программа, и получить учетную запись ivanov, но у организаторов соревнования не запустился скрипт. По легенде киберпреступник всё-таки получил учетную запись и возможность вводить новые доменные компьютеры. Он произвел атаку sAMAccountName Spoofing (noPac) и захватил доступ над контроллером домена. Затем, совершив атаку DCSync, он получил все учетные данные в домене произвел эксфильтрацию всех почтовых ящиков с помощью учетной записи почтового сервера, а также запустил шифровальщик на файловом сервере и на сервере корпоративного сайта.
Но организаторы киберучений не запустили один из скриптов — дамп процесса lsass.exe. Как отметил капитан команды ИТМО Георгий Геннадьев, это усложнило дело, так как участникам не хватало информации, чтобы продолжить киберрасследование.
Капитан команды «ITMO)))» Георгий Геннадьев на награждении победителей олимпиады по информационной безопасности «КиберСПбГУТ 2022». Источник: www.sut.ru
«Дамп процесса lsass.exe — это очень шумное действие, так как большинство антивирусов и EDR-решений детектят именно его. По нему было бы гораздо легче отследить последовательность действий атакующего. Отсутствие дампа заставило нас подольше поискать залитый с помощью уязвимости ProxyLogon шелл и соответственно понять, что эксплуатировалась именно эта уязвимость. Также это повлияло и на расследование последующих действий — не было четкого понимания, какие учетные данные были получены. Нам пришлось пропустить один шаг, а потом к нему вернуться», — отметил он.
Тем не менее участники команды «ITMO)))» смогли завершить расследование киберинцидента, даже несмотря на неработавший скрипт. В итоге им удалось набрать 89 баллов и стать первыми на OpenBonch 2022. А уже в ноябре команда ИТМО будет участвовать в отборочном этапе на кубке CTF России.
Киберсоревнование OpenBonch 2022 проходило в рамках федерального проекта «Информационная безопасность» национальной программы «Цифровая экономика Российской Федерации» при поддержке Национального киберполигона. Также в тройку победителей соревнований вошли студенты Северного (Арктического) федерального университета имени М. В. Ломоносова и Казанского национального исследовательского технического университета им. А. Н. Туполева. Все призеры получили именные сертификаты и подарки.
