Sodelovanje podjetja CYBER-SEC na vaji Crossed Swords 2024
Podjetje CYBER-SEC d.o.o. se je decembra 2024 udeležilo ugledne vaje Crossed Swords, ki jo organizira NATO Cooperative Cyber Defence Centre of Excellence, mednarodni in interdisciplinarni center za kibernetsko obrambo. Vaja je omogočila udeležencem, da so se preizkusili v simuliranih kibernetskih napadih in obrambi, ter pridobili dragocene izkušnje na področju zaščite kibernetskih sistemov.
Na tej pomembni vaji je podjetje CYBER-SEC d.o.o. zastopal Žan Urbančič, ki je sodeloval z več kot 200 udeleženci iz 40 različnih držav, vključno z državami članicami NATA in drugimi državami, ki niso del NATA. Vaja je dala priložnost za obvladovanje kibernetskih groženj, kar je še posebej pomembno v današnjem svetu, kjer kibernetski napadi postajajo vse bolj sofisticirani in pogosti.
Vaja vključuje kibernetsko poveljniško središče z načrtovalskimi strokovnjaki, vojaškimi kibernetskimi operaterji, strokovnjaki za digitalne forenzike ter specialisti iz drugih enot, ki sodelujejo ali delajo z nacionalnimi kibernetskimi silami. Scenarij vaje poteka v več različnih izmišljenih državah, kjer je prijateljska država v oboroženem sporu z nasprotnim državnim subjektom.
Posebnost vaje je tudi v tem, da jo podpirajo akademski krogi in industrijski partnerji, ki omogočajo razvoj scenarijev, ki so čim bolj verodostojni in podobni resničnim izzivom, s katerimi se srečujemo v kibernetskem prostoru.
Sodelovanje podjetja CYBER-SEC d.o.o. na vaji Crossed Swords je še dodatno utrdilo našo strokovnost in prisotnost v mednarodnih kibernetskih obrambnih operacijah ter omogočilo pridobitev dragocenih izkušenj, ki jih bomo lahko uporabili za zaščito naših strank pred vse bolj zapletenimi grožnjami v kibernetskem prostoru.
Sodelovanje podjetja CYBER-SEC na vaji Crossed Swords 2024: Uspehi in Izzivi
Sodelovanje podjetja CYBER-SEC d.o.o. na vaji Crossed Swords 2024 je bilo polno pomembnih uspehov, pa tudi izzivov, ki so nas spodbudili k še večji inovativnosti in strokovnosti v kibernetski obrambi.
Uspehi:
Visoka strokovnost in usklajenost ekipe: Žan Urbančič in ostali člani naše ekipe so se izkazali z izjemno usklajenostjo in hitro odzivnostjo pri reševanju simuliranih kibernetskih napadov. Naša sposobnost hitrega in natančnega odziva na spremembe v scenariju vaje je bila ključna za dosego naših ciljev.
Sodelovanje v mednarodnem okolju: Vaja je združila strokovnjake iz več kot 40 držav, kar nam je omogočilo izmenjavo znanja in izkušenj s kolegi iz različnih držav in področij. Ta mednarodna izmenjava je še okrepila našo pozicijo kot vodilnega ponudnika kibernetskih varnostnih storitev.
Poglobljeno razumevanje kibernetskih groženj: Udeležba v simulacijah, ki so vključile napade na kritične infrastrukture, je omogočila boljše razumevanje, kako se kibernetske grožnje razvijajo v realnem času. Naša ekipa je pridobila dragocena znanja, ki jih bomo uporabili za zaščito naših strank pred podobnimi grožnjami.
Izzivi:
Kompleksnost napadov: Scenariji, ki so bili del vaje, so bili izjemno kompleksni in vključujejo večplastne napade, ki so zahtevali hitro prilagajanje naših strategij. To je predstavljalo izziv za našo ekipo, saj so morali strokovnjaki ne le hitro zaznati napad, ampak tudi izvajati taktične in tehnične ukrepe za omilitev škode.
Usklajevanje med več disciplinami: Vaja je zahtevala tesno sodelovanje med različnimi strokovnjaki, kot so vojaški kibernetski operaterji, digitalni forenzičarji in strokovnjaki za omrežno varnost. Usklajevanje med temi različnimi disciplinami je predstavljalo izziv, vendar smo ga premagali s stalnim komuniciranjem in sodelovanjem.
Realistični scenariji in težave pri odzivanju: Ker so bili scenariji zasnovani tako, da so bili čim bolj podobni realnim napadom, so nas nekateri izmed njih presenetili z zahtevnostjo. Naša ekipa je morala hitro prilagoditi svoje ukrepe, kar je bilo izziv, vendar smo ob tem pridobili pomembno izkušnjo za prihodnje naloge.
Vse to pa nas je dodatno motiviralo, da še naprej razvijamo naše sposobnosti v kibernetski obrambi. Izvlečeni zaključki iz vaje Crossed Swords 2024 nam bodo omogočili še boljšo zaščito naših strank in krepitev naše pozicije na trgu kibernetske varnosti.
PXE Boot: Delovanje, ranljivosti in zaščita s pomočjo močnih gesel
PXE (Preboot Execution Environment) boot omogoča računalnikom, da se zaganjajo prek omrežja, kar je še posebej uporabno v velikih organizacijah in podatkovnih centrih. Vendar pa lahko, če napadalec uspe pridobiti dostop do internega omrežja, neustrezno zaščiteni PXE strežniki postanejo tarča napadov. V tem članku bomo podrobneje raziskali, kako PXE deluje, kakšne so njegove ranljivosti in zakaj je uporaba močnih gesel – kot je primer gesla PxeThief – ključnega pomena, še posebej ob integraciji s sistemi, kot je SCCM.
Kako deluje PXE boot
PXE boot proces vključuje več ključnih komponent in protokolov, med katerimi so:
NIC (Network Interface Card): Ni vse strojne opreme enaka. Medtem ko so mnoge potrošniške kartice omejene, sodobni strežniki v podatkovnih centrih običajno že vključujejo PXE-kompatibilne NIC-e.
DHCP: Ko se PXE klient (računalnik) zažene, pošlje zahtevo v omrežje. DHCP strežnik odgovori z dodelitvijo IP naslova in dodatnih omrežnih parametrov, vključno z informacijami o strežniku, ki bo nudil PXE zagonsko sliko.
TFTP (Trivial File Transfer Protocol): Ta preprost, UDP osnovan protokol se uporablja za prenos zagonskega programa (Network Bootstrap Program – NBP) s PXE strežnika na klienta. Zaradi svoje preprostosti, vendar tudi pomanjkanja varnostnih funkcij (nima avtorizacije ali preverjanja pristnosti), predstavlja potencialno ranljivo točko.
PXE Workflow:
Obvestilo o PXE: Klient pošlje omrežno sporočilo, s katerim obvešča, da uporablja PXE.
DHCP odziv: DHCP strežnik dodeli IP naslov in posreduje dodatne PXE parametre, vključno z IP naslovom PXE strežnika.
Seznam strežnikov: Klient prejme seznam razpoložljivih zagonskih strežnikov in operacijskih sistemov.
Prenos zagonske slike: Klient identificira ustrezen strežnik, prejme ime zagonske datoteke in jo prenese preko TFTP protokola.
Zagon operacijskega sistema: Prenesena zagonska slika se izvrši in naloži osnovne komponente operacijskega sistema.
Če strežnik ni opremljen s PXE zmogljivostmi, bo preprosto prezrl PXE kodo, s čimer se prepreči motenje standardnih DHCP in Bootstrap protokolov.
Ranljivosti PXE boot okolij
Čeprav PXE ponuja izjemno priročnost pri oddaljenem zagonu in distribuciji operacijskih sistemov, ima tudi svoje pomanjkljivosti, ki lahko izkoriščajo napadalci, ko pridejo do dostopa do internega omrežja:
Neavtorizirani dostop: Ker TFTP nima integriranih varnostnih mehanizmov (avtentikacije ali avtorizacije), lahko napadalec, ki se znajde v omrežju, preusmeri ali nadomesti originalne zagonske datoteke.
DHCP spoofing: Napadalec lahko ponareja DHCP strežnik, s čimer klientom posreduje napačne PXE strežnike in zagonske slike, ki lahko vsebujejo zlonamerno kodo.
Pomanjkanje šifriranja: Prenos podatkov med PXE klientom in strežnikom poteka brez šifriranja, kar omogoča prestrezanje podatkov in morebitno vbrizgavanje škodljivih sprememb.
Integracijske ranljivosti: Sistemi, kot je SCCM, ki uporabljajo PXE za oddaljeno nameščanje operacijskih sistemov, so še posebej občutljivi, saj morebitna kompromitacija lahko vpliva na širok spekter poslovnih sistemov in naprav.
Pomen uporabe močnih gesel:
Glede na omenjene ranljivosti je zaščita PXE okolja nujna. Eden izmed ključnih varnostnih ukrepov je uporaba močnih gesel, ki preprečujejo nepooblaščen dostop in manipulacijo s strežnikom. Geslo simbolizira pristop k tej zaščiti – močno, edinstveno in strojno zahtevano geslo, ki oteži napadalcem uporabo orodij in tehnik za prevzem nadzora nad PXE strežniki.
Prednosti močnih gesel pri PXE:
Preprečevanje zlorab: Močno geslo zmanjšuje možnosti, da bi napadalec lahko preusmeril PXE promet ali zamenjal zagonske datoteke.
Integriteta sistema: Zavarovani PXE strežniki pomagajo zagotoviti, da le overjeni uporabniki in sistemi (npr. SCCM) lahko izvajajo kritične operacije, kot je distribucija operacijskih sistemov.
Zmanjšanje tveganj: Uporaba robustnih gesel in dodatnih varnostnih ukrepov (npr. segmentacija omrežja in nadzor dostopa) zmanjšuje možnosti vdora in nadaljnjih kompromitacij.
Integracija s SCCM
Microsoftov System Center Configuration Manager (SCCM) pogosto uporablja PXE za distribucijo operacijskih sistemov in avtomatizacijo namestitev na številnih napravah znotraj organizacije. V kombinaciji s PXE omogoča SCCM centralizirano upravljanje, vendar hkrati prinaša dodatne varnostne izzive:
Avtomatizacija in obseg: Ker SCCM pogosto deluje na velikem številu naprav, lahko kompromitiran PXE strežnik hitro vpliva na celotno infrastrukturo.
Varnostni nadzor: Integracija močnih gesel in pravilno konfiguriranih varnostnih politik je ključna, saj mora SCCM zagotoviti, da so samo pooblaščene naprave in uporabniki deležni zagonskih slik.
Redni pregledi in posodobitve: Upravljalci morajo redno preverjati in posodabljati varnostne nastavitve PXE strežnikov ter integracijske točke s SCCM, da se preprečijo morebitne ranljivosti.
Generiranje in prenos šifriranih datotek:
Napadalec začne z generiranjem in prenosom šifrirane datoteke, imenovane “media variables file”, s strežnika MECM, ki se nahaja na naslovu 10.7.10.41. Pri tem uporablja izbran omrežni vmesnik – v tem primeru je naveden adapter Red Hat VirtIO Ethernet Adapter. Poleg tega je ciljna naprava prav tako 10.7.10.41, kar nakazuje, da napadalec neposredno cilja na MECM strežnik.
Pridobivanje lokacij datotek prek ConfigMgr:
Napadalec pošlje zahtevo ConfigMgr-ju, da posreduje lokacije za prenos dveh ključnih datotek:
Media variables file (ki vsebuje konfiguracijske in šifrirane varijable)
BCD (Boot Configuration Data)
Sporočila kažejo, da strežnik odgovori z natančnimi lokacijami, na primer:
Med prenosom se opazi, da napadalec ne najde ciljanega MAC naslova, zato uporabi “broadcast”, s čimer pošlje eno paketno sporočilo, prejme pa dva paketa (od katerih enega zanesljivo prepozna kot odgovor). Poleg tega se opozarja, da je pri PXE boot konfiguraciji najdeno prazno geslo, kar nakazuje na ranljivost v zaščiti zagonskega okolja.
Uporaba TFTP za prenos:
Napadalec prejme navodila za uporabo TFTP ukazov, s katerimi naj prenese obe datoteki. V nadaljevanju pa se avtomatska eksploatacija sproži, kjer se uporablja privzeti TFTP klient (na primer Windows TFTP, ki je del Windows Features).
Dešifriranje datoteke:
V postopku napadalec dobi tudi niz bajtov gesla (v heksadecimalni obliki:
0x020002004d0005005800610062005300e3fffaff) in ga uporabi za dešifriranje media variables file. Uspešno dešifriranje omogoči:
Shranitev dešifriranih podatkov v datoteko variables.xml
Izpis ključnih certifikatov (datoteka, ki vsebuje _SMSTSMediaPFX) skupaj s certifikatom in pripadajočim geslom
Identifikacija MECM Management Point:
Iz dešifriranih medijskih variabel se izlušči URL strežnika za Management Point. Ta URL je ključnega pomena, saj preko njega napadalec nadaljuje komunikacijo in pošilja avtentikacijske zahteve.
Uvoz certifikata in generacija podpisov:
Certifikat iz _SMSTSMediaPFX se uspešno uvozi v Windows Certificate Store.
Na podlagi tega certifikata napadalec generira več avtentikacijskih podpisov, kot so CCMClientID, CCMClientTimestamp in ClientToken, kar mu omogoča pošiljanje pristnih zahtev MECM strežniku.
Pridobitev politik in konfiguracijskih datotek:
Napadalec preko MECM Management Point zahteva:
Politike dodelitve, kjer se najde kar 47 URL-jev za različne konfiguracije.
Konfiguracijo za Network Access Account, ki je potrebna za dostop do omrežnih virov.
Konfiguracijo za Task Sequence, ki določa postopke in poverilnice za namestitev operacijskega sistema (v tem primeru “Install_win10_OS_image”).
Dešifriranje in razkritje poverilnic:
Network Access Account: Po dešifriranju konfiguracije se izluščijo občutljivi podatki, kjer so prikazani uporabniško ime in geslo:
Uporabniško ime: sccm.lab\\sccm-naa
Geslo: 123456789
Task Sequence konfiguracija: V okviru Task Sequence se identificirajo dodatni credential polji:
V koraku “Apply Windows Settings”:
OSDRegisteredUserName (npr. uporabniško ime, ki je lahko povezano z operacijskim sistemom)
OSDLocalAdminPassword (npr. vrednost: EP+xh7Rk6j90)
V koraku “Apply Network Settings“:
OSDJoinAccount in OSDJoinPassword, kjer ponovno najdemo isti račun sccm.lab\\sccm-naa in geslo 123456789
Te informacije omogočajo napadalcu popoln vpogled v konfiguracijo namestitve operacijskega sistema in dostop do omrežnih virov.
Zaključek
PXE boot okolja prinašajo izjemne prednosti pri oddaljenem zagonu in distribuciji operacijskih sistemov, vendar pa niso brez varnostnih pasti. Ko napadalec pridobi dostop do internega omrežja, lahko slabše zaščiteni PXE strežniki postanejo tarča zlonamernih napadov, kot so DHCP spoofing in zlonamerni prenosi prek TFTP. Uporaba močnih gesel – kot je priporočeno geslo PxeThief – ter dosledna varnostna politika, vključno z integracijo in pravilnim konfiguriranjem sistemov, kot je SCCM, so ključni koraki za zaščito celotnega okolja.
Z varnostjo na prvem mestu in nenehnim nadzorom omrežja lahko organizacije učinkovito zmanjšajo tveganja, povezana s PXE boot okolji, ter zagotovijo stabilno in varno distribucijo operacijskih sistemov.
EDR SentinelOne pod drobnogledom: Mimikatz v realnem okolju (23.03.2023) (RAZISKOVALNO DELO!)
Uvod
V nenehno razvijajočem se področju kibernetske varnosti imajo rešitve za zaznavanje in odzivanje na napade na končnih točkah (EDR), kot je SentinelOne, ključno vlogo pri obrambi pred naprednimi grožnjami. Vendar napadalci nenehno razvijajo nove metode za obvoz teh varnostnih rešitev. Namen tega prispevka je osvetliti eno izmed takšnih tehnik ter poudariti pomen razumevanja metodologij napadalcev za utrditev obrambe.
Pregled napada: Izpis hash-ov z orodjem Mimikatz
Izpis hash-ov je pogosta tehnika po izkoriščanju ranljivosti, ki jo napadalci uporabljajo za pridobivanje višjih privilegijev ali za lateralno premikanje znotraj omrežja. Orodja, kot je Mimikatz, so se pogosto uporabljala v ta namen, kljub napredku EDR rešitev, kot je SentinelOne.
Ključna ideja: Napadalci lahko uporabijo Mimikatz za pridobivanje poverilnic tudi v okoljih, kjer delujejo EDR orodja. Vendar pa imajo sodobni EDR-ji vgrajene zmožnosti za vedenjsko analizo in pregledovanje pomnilnika, ki lahko zaznajo takšne poskuse.
V mojem primeru sem uporabil AES enkriptirano verzijo Mimikatza, ki sem jo vpeljal v sistem z namenom testiranja varnosti. Z omenjeno tehniko sem uspel izvesti izpis poverilnic, ne da bi bil zaznan ali blokiran s strani SentinelOne EDR-ja.
Tehnike izogibanja EDR zaščiti
V tem testu sem uporabil naslednje metode za izogibanje EDR-ju:
AES-enkripcija orodja Mimikatz: Zaradi enkripcije EDR ni prepoznal znanih vzorcev ob zagonu orodja.
Obvod nadzora EDR: V določenem trenutku sem opazil, da EDR ni reagiral na sumljivo vedenje, kar kaže na uspešno obvodno tehniko.
Zaključek
Razumevanje, kako delujejo napadalci, je prvi korak k izgradnji robustne obrambe. Čeprav ta študija primera poudarja izzive, ki jih predstavljajo napredne tehnike izogibanja, hkrati opozarja na pomen večplastne varnosti, rednega posodabljanja varnostnih rešitev in vzpostavitve proaktivne varnostne kulture.
Z odgovornim deljenjem znanja lahko skupaj dvignemo raven kibernetske varnosti in otežimo delo zlonamernim akterjem.
Omejitev odgovornosti
Problem je bil javljen na SentinelOne in vrjetno tudi odpravljen. Ob tem želim poudariti, da so vsi postopki, opisani v tem blogu, izvedeni izključno v raziskovalne in učne namene. Obvod ali napad na varnostne sisteme, kot je SentinelOne, brez dovoljenja in v skladu z zakoni je nezakonit in neetičen. Moje dejavnosti niso bile usmerjene v škodovanje, temveč v razumevanje, kako se lahko izboljša varnost in zaščita pred napadi v realnem okolju.
UPRAVLJANJE SOGLASIJ
Za zagotavljanje najboljše izkušnje uporabljamo tehnologije, kot so piškotki, za shranjevanje in/ali dostop do informacij na napravi. S privolitvijo za uporabo teh tehnologij nam omogočite obdelavo podatkov, kot so vedenje pri brskanju ali enolični identifikatorji na tem spletnem mestu. Če ne podate privolitve ali jo prekličete, lahko to negativno vpliva na določene funkcije in lastnosti.
Funkcionalnosti
Always active
Tehnično shranjevanje ali dostop je nujno potreben za zakonit namen omogočanja uporabe določenega servisa, ki ga naročnik ali uporabnik izrecno zahteva, ali izključno za namen izvajanja prenosa komunikacije preko elektronskega komunikacijskega omrežja.
Preferences
The technical storage or access is necessary for the legitimate purpose of storing preferences that are not requested by the subscriber or user.
Statistika
The technical storage or access that is used exclusively for statistical purposes.Tehnično shranjevanje ali dostop, ki se uporablja izključno za anonimne statistične namene. Brez sodnega poziva, prostovoljne skladnosti vašega ponudnika internetnih storitev ali dodatnih zapisov tretjih oseb, informacij, shranjenih ali pridobljenih izključno za ta namen, običajno ni mogoče uporabiti za vašo identifikacijo.
Marketing
The technical storage or access is required to create user profiles to send advertising, or to track the user on a website or across several websites for similar marketing purposes.
