락쉴드 Locked Shields #7 Day 1

락쉴드 Locked Shields #7 Day 1

 

6시 40분 Z, Day 1 이 시작하기 전에, 'ISP에서 새로운 이야기가 업데이트되었다. 이것은 첫 번째 hacktivist 공격에 대한 컨텍스트를 제공하기 위해서였다. 몇 분 7시 Z 후, 화이트 팀은 모든 블루 팀에서 간단한 상태를 요청하고 Gamenet에 대한 전체 VPN 액세스가 열렸다.

** 웹 공격
DMZ에있는 웹 포털에 대한 defacements와 7시 반 Z에 : 빨강 팀은 캠페인을 시작했다.
블루 팀은 분명히 defacements 제외한 모든 BT5에 효과가 있었다, 이러한 스크립팅 공격에 대해 조치를 취할 수있는 시간이 없었다.
BT5의 웹 서버는 점수 봇과 레드 팀 멤버가 위치했던 레드 존에서 접근하지 않았다.
그러나, 이 팀의 잘못이 아니라 인프라 네트워크 문제로 인해 발생 된 것으로 보인다.
9시 Z 이전 계획 RBN의 역할 사람은 자신의 해킹 클라이언트 데이터베이스를 훔쳐 시작 :
1. BT1, BT2, BT4, BT6, BT8 및 BT9의 고객은 1 일 (14시 50분 Z)에서 동안 나중에 한 번 BT5 자신의 데이터를 잃었다. 12:15 Z.에서 09:00 Z와 BT3에서 BT7 : 나머지 데이터베이스는 2 일에 처음 나왔다
2. BT1, BT2, BT3, BT8 및 BT9의 고객은 바로 시작, BT4, BT5, BT6 나중에 1일에  BT7에서 해킹 하였다.

레드 팀은 공격의 각 유형 두 시간마다 반복 할 수 있었다.
두 번째 변조 라운드 11:00 Z에 시작하고 모든 블루 팀에 성공했다.
그러나 , 다른 레드 팀 구성원은 서로 다른 목표를 공격했다. 다른 사이트는 훼손되었다

세 번째 변조 라운드 13:00 Z.에 시작
이전 라운드에 비해 유의 한 차이가 없었다 - 모든 팀이 훼손되었다.
이번에는 목표 제외한 모든 BT5와 BT9에 대한 달랐다. 그것은 레드 팀 보고서에 따르면,  BT5에 대한 공격은 14시 40분 Z.에 수행되었다
BT5 웹 응용 프로그램 방화벽을 사용했다, 즉시 좋은 모니터링 및 고정 문제 (3 분 특정 SQL 주입 시도 후, 취약점이 수정)을 가지고 있었다.
하지만, 레드 팀은 BT5의 보호 메커니즘을 모두 우회 드디어 가능했다.
웹 공격 팀에서 좋은 피드백을받은 다른 팀 BT4 ( '공격 후에 좋은 반응을 고정 일')와 BT8 ( '좋은 반응 고정. 좋은 활동 모니터링')이었다.

** 네트워크 공격

라우터의 구성을 취득하는 스위치에 대한 최초의 성공적인 공격은 BT1에 07.37Z에서보고 되었다.
1 일 동안 레드 팀은 또한 BT2, BT5 및 BT9의 네트워크 장치를 손상시킬 수 있었다.
다른 팀은 기본 암호 (예 : 시스코 등 : 시스코) 변경 후 SNMP 액세스는 레드 팀을 방해하는 구성을 수정.
그러나 2 일에 레드 팀 BT4와 BT6에 대하여 보고 , 목적달성에 주목해야한다.
Day 1 에 불가능 하다고 질문 했다. 
하나의 옵션은 팀의 VM을 재배치 있다고 할 수 있다.  아직 BT4 또는 BT6 자신을 되돌리는 요청 하셨을 것이라고 증거는 없었다.

 

** 클라이언트 공격
1일의 아침 동안, 클라이언트 측 팀은 기밀 메모를 훔치는 내부 영역에서 윈도우 7 워크 스테이션을 손상에 집중했다.
exe 확장자 이름의 파일에 대한 링크를 ​​클릭하고 실행했다 (블루 팀 회사의 일반 컴퓨터 사용자를 시뮬레이션 하는 사람 임).
어떤 경우에는 클라이언트 측 소프트웨어 취약점의 악용 연습했다.
레드 팀은 AV 시그니처 탐지를 피하기 위해 점점 더 많은 인코딩을 추가 난독없이 페이로드와 함께 시작했다.
분명히 자신의 IDS는 RDP를 통해 액세스를 차단했다.

메모를 훔쳐뿐만 아니라, 측면 작업은 SCADA 시스템의 암호를 캡처하는 로그와 같은 키의 미래 목표를위한 네트워크의 액세스를 유지할 수 있었다.
레드 팀은 손상된 호스트 시스템 권한을 사용하여 액세스 권한을 얻었다.
Pass-the-hash 네트워크 덤프를 통해 피벗을 허용하고 추가 해시를 해독하고 새 계정을 만들 수도 있다.
몇 번 레드 팀 멤버는 채팅 채널을 혼합하고 사람에 의해 관찰되었다 'cdx12'에 새 계정을 발표했다.
오후 레드 팀 때문에 성공하지 못했다. 블루 팀은 드디어 대책을 적용 할 기회가 있었다.
레드 팀의 세션은 운영 체제 패치를 중지했다.
12:00 Z 레드 팀의 목적으로 피싱 캠페인을 시작했다 :
첫째, 가짜의 Outlook 웹 액세스 '페이지에서 자격 증명을 훔치다.
둘째 실행 파일을 실행하도록 Blondes 을 속이고. Meterpreter 세션을 성공적으로 실행 
자격 증명을 성공적으로 BT1, BT2, BT3, BT5, BT8 및 BT9에서 획득하였다
피싱 캠페인에 사용 된 악성 코드는 BT1, BT2 및 BT3 (모든 Z 12 정도)에 성공적으로 보고되었다.
그것은 다른 블루 팀이 너무 능숙하지 않았다 BT4-BT6 및 BT7-BT9에 초점을 방어하거나 레드 팀 구성원의 단지 더 나은 있었기 때문에 명확하지 않다.
사용자 수준의 타협이 달성 된 경우에도, 레드 팀은 시스템에 권한을 에스컬레이션 할 수 있습니다.

 

** 다양한 공격
1일 날 레드 팀에 의해 수행된다.
웹 상점에 대한 가용성 공격 (PHP 해시 테이블의 DDoS 공격) 12시 5분과 12시 20분 사이에 실시하였다. 이들은 BT1, BT2, BT4와 BT6에 성공적으로 보고되었다.
NB : 1일 날 약 2 시간 동안, 모든 레드 팀 IP 때문에 컨트롤 룸에서 방화벽 설정의 실수 (네트워크 주소 변환)로 NAT 하였다. 레드 팀은 주소가 차단되었던 블루 팀 네트워크에서 시스템을 만질 수 없었다.

 

사업 - 다음과 같은 추가 작업이 1일 날에 블루 팀에게 주어진 졌다 :
1. 고객은 새로운 웹 사이트를 호스팅 하는 요청에 대한 이메일을 보냈습니다.
2. 고객은 언론에 놀라운 기사를 읽은 후, 자신의 데이터의 보안에 대한 해명을 요구했다.
3. 기자는 사건에 대한 보도에 코멘트, 특히 변조를 제공하는 블루 팀에게 물었다. 미디어 팀은 응답에 따라 뉴스 포털 기사를 발표했다.

****** 첫날의 결론

첫날부터 주요 결론은 다음과 같다.
1. 그들 중 일부는 훨씬 더 어려운 해킹했지만 웹 공격은 모든 팀을 상대로 성공했다.
2. 그것은 구체적으로 탐지하고 공격으로부터 복구하는데 걸린 기간을 측정하지 않았지만, 실제 비즈니스에 미치는 영향을 추정 할 때에 중요 할 것이다.
3. BT1은 항상 그들에게 예방을 위한 더 적은 시간을 주는 첫 번째 대상이 되었다.
4. 자신 또는 그린 팀의 잘못을 하거나, 자신의 시스템을 가지고 블루 팀은 점수 테이블에서 처음으로 높았다. 그러나 그들은 시스템이 온라인 상태가 되었을 때 여전히 나중에 같은 공격에 직면했다.