Locked Shields, ki jo od leta 2010 organizira Natov Center odličnosti za kibernetsko obrambo (CCDCOE) v Talinu, velja za največjo in najbolj kompleksno “live-fire” kibernetsko vajo na svetu. Letošnja izvedba je združila več kot 4 000 strokovnjakov iz 41 držav, razdeljenih v 17 modrih (obrambnih) ekip, ki so v realnem času branile kritično IT in OT infrastrukturo pred orkestriranimi napadi.
Vaja 2025 je prinesla pomembne novosti: ločen “cloud” segment, vaje s kvantnim računalništvom, ter prepletene izzive z umetno inteligenco, ki so se odražali skozi tehnične in strateške naloge. Hitrost prilagajanja in sodelovanje vseh disciplin – od inženirjev omrežij do pravnih in PR svetovalcev – sta bila ključna dejavnika uspeha.
V sami vaji je bilo uporabljeno več kot 40.000 agentov, ki so se povezovali prek lastno razvitega C2 orodja, ter približno 3.000 agentov prek orodja Cobalt Strike. To kaže na izredno obsežno operacijo – lastno C2 infrastrukturo so uporabili za množično upravljanje kompromitiranih naprav, medtem ko je bil Cobalt Strike najverjetneje uporabljen za bolj usmerjene napade, gibanje po omrežju in napredno izkoriščanje ranljivosti.
2. Vloga in prispevek ekipe CYBER-SEC
Ključne ugotovitve in poslovna dodana vrednost.
Izziv na Windows klientih
Naučena lekcija
Kaj prenašamo k naročnikom
1. Skrite okužbe, ki trajajo dolgo časa (»dwell-time«)
Zaznali smo, da lahko napredna orodja odkrijejo tudi zelo majhne spremembe v sistemu.
V varnostne produkte vključujemo spremljanje sprememb datotek (FIM) in avtomatsko preverjanje sumljivih dogodkov.
2. Ransomware napadi z uporabo sistemskih orodij
Napadalci uporabljajo PowerShell in druge sistemske funkcije za šifriranje podatkov.
Implementiramo ETW lovilnike in napredna ASR-pravila kot dodatni varnostni sloj za okolja z višjim tveganjem.
3. Hitro širjenje C2 nadzornih strežnikov
Z uporabo naprednih orodij in Windows Firewall logi, lahko odkrijemo škodljive povezave
Pomagamo strankam pri postavitvi sistemov za spremljanje izhodnega prometa in jih učimo, kako take napade odkriti.
4. Pomembnost deljenja informacij o napadih (IOC)
Centralno skladišče IoC-jev med modrimi ekipami je dodatno pripomoglo k hitrost blokad najdenih zlonamernih C2 strežnikov
V praksi uvajamo automatizirano IOC-sinhronizacijo (MISP ↔ SIEM)
3. Zahvala in priznanje
Udeležba na Locked Shields 2025 je potrdila, da ekipa CYBER-SEC svojo tehnično odličnost združuje s strateškim razumevanjem sodobnih groženj. Zahvaljujemo se organizatorju NATO CCDCOE in vsem sodelujočim državam za neprecenljivo priložnost. Posebna zahvala gre tudi slovenskemu predstavništvu pri CCDCOE za podporo, ki nam je omogočila, da znanje, pridobljeno v Talinu, še naprej prenašamo na naše naročnike in širšo skupnost.
Podjetje CYBER-SEC D.O.O. je uvrščeno v katalog DIH Slovenije
Z velikim veseljem sporočamo, da je podjetje CYBER-SEC d.o.o. uspešno uvrščeno v katalog DIH Slovenije! Ta dosežek potrjuje naše strokovno znanje in predanost zagotavljanju najvišjih standardov kibernetske varnosti, ki so ključnega pomena za zaščito podjetij in organizacij v današnjem digitalnem okolju.
Naša glavna prednost in dodana vrednost je globoko poznavanje red teaminga, podprtega z 9 mednarodno priznanimi certifikati, ki potrjujejo naše strokovno znanje in visoko usposobljenost na področju kibernetske varnosti. Ta usposobljenost nam omogoča, da svojim strankam zagotavljamo kompleksne in napredne storitve, ki segajo onkraj osnovnih varnostnih preverjanj.
Poleg tega aktivno sodelujemo na mednarodnih kibernetskih vajah, kot sta Locked Shields in Crossed Swords, kjer pridobivamo najnovejša znanja in tehnike za napredno penetracijsko testiranje. Te vaje nam omogočajo, da ostanemo na čelu razvoja kibernetskih groženj in preizkušamo svoje sposobnosti v realnih, visoko zahtevnih scenarijih. Naša udeležba v teh vajah je še en dokaz naše zavezanosti k zagotavljanju vrhunskih storitev in najnovejših rešitev za zaščito pred digitalnimi grožnjami.
Naš pristop je ročno prilagojen in temelji na celovitem pregledu varnosti, ki presega zgolj avtomatske skene. Verjamemo, da samo s temeljitim in celovitim pregledom varnosti lahko odkrijemo morebitne ranljivosti in slabosti, ki bi jih običajni avtomatski postopki lahko spregledali. Naše poročilo vam ne bo le ponudilo “papir”, ampak vam bo omogočilo konkretne korake za izboljšanje varnosti vašega poslovanja in zaščite pred kibernetskimi napadi.
Izvajanje varnostnih pregledov in penetracijskih testov
Izvajanje varnostnih pregledov in penetracijskih testov je ena izmed ključnih storitev, ki jih ponujamo, da zagotovimo najvišjo raven zaščite vašega poslovanja pred kibernetskimi grožnjami. Varnostni pregledi in penetracijski testi so neprecenljivo orodje, ki vam omogoča, da odkrijete in odpravite ranljivosti, preden jih izkoristijo napadalci.
Varnostni pregledi so temeljita analiza vaših sistemov, omrežij in aplikacij, s ciljem identificiranja potencialnih ranljivosti, ki bi lahko bile izkoriščene v prihodnjih napadih. Pregledi vključujejo oceno različnih komponent vašega IT okolja, kot so strežniki, naprave, aplikacije, omrežja in storitve, ter analizo njihove odpornosti na različne vrste napadov.
Penetracijski testi, znani tudi kot “ethical hacking”, pa so simulacija napadov na vaše sisteme z namenom preizkušanja njihove odpornosti. V okviru penetracijskih testov naši strokovnjaki preizkusijo vaše varnostne mehanizme z uporabo metod, ki jih uporabljajo pravi napadalci. S tem pridobite jasno sliko o tem, kako dobro je vaše podjetje pripravljeno na morebitne napade. Testi vključujejo tako zunanje kot notranje napade, analizo ranljivosti aplikacij, preverjanje varnosti omrežja, socialni inženiring ter druge metode, ki preizkusijo celovitost vaših zaščitnih ukrepov.
Za razliko od avtomatskih orodij, ki pogosto ne zajamejo vseh možnih ranljivosti, naš pristop temelji na ročni analizi, kjer naši strokovnjaki temeljito preučijo vsak vidik vašega sistema in odkrijejo ranljivosti, ki bi lahko ostale neopažene. Po opravljenih testih boste prejeli podrobno poročilo, ki ne vsebuje le tehničnih opisov ranljivosti, ampak tudi konkretna priporočila za izboljšanje vaše varnosti.
Naša ponudba vključuje:
Izvajanje varnostnih pregledov in penetracijskih testov v okviru vavčerjev za kibernetsko varnost.
Podpora pri izvedbi varnostnih pregledov v okviru razpisa P4D – spodbude za digitalno transformacijo.
Zavedamo se, da je zaščita vaših informacij in digitalnih sredstev ključnega pomena za uspeh vašega poslovanja, zato vam pri CYBER-SEC d.o.o. nudimo najvišjo raven strokovnosti in podporo, ki vam bo pomagala pri zaščiti pred vse bolj prefinjenimi kibernetskimi grožnjami. Obrnite se na nas in skupaj bomo poskrbeli za varnost vašega podjetja!
Sodelovanje podjetja CYBER-SEC na vaji Crossed Swords 2024
Podjetje CYBER-SEC d.o.o. se je decembra 2024 udeležilo ugledne vaje Crossed Swords, ki jo organizira NATO Cooperative Cyber Defence Centre of Excellence, mednarodni in interdisciplinarni center za kibernetsko obrambo. Vaja je omogočila udeležencem, da so se preizkusili v simuliranih kibernetskih napadih in obrambi, ter pridobili dragocene izkušnje na področju zaščite kibernetskih sistemov.
Na tej pomembni vaji je podjetje CYBER-SEC d.o.o. zastopal Žan Urbančič, ki je sodeloval z več kot 200 udeleženci iz 40 različnih držav, vključno z državami članicami NATA in drugimi državami, ki niso del NATA. Vaja je dala priložnost za obvladovanje kibernetskih groženj, kar je še posebej pomembno v današnjem svetu, kjer kibernetski napadi postajajo vse bolj sofisticirani in pogosti.
Vaja vključuje kibernetsko poveljniško središče z načrtovalskimi strokovnjaki, vojaškimi kibernetskimi operaterji, strokovnjaki za digitalne forenzike ter specialisti iz drugih enot, ki sodelujejo ali delajo z nacionalnimi kibernetskimi silami. Scenarij vaje poteka v več različnih izmišljenih državah, kjer je prijateljska država v oboroženem sporu z nasprotnim državnim subjektom.
Posebnost vaje je tudi v tem, da jo podpirajo akademski krogi in industrijski partnerji, ki omogočajo razvoj scenarijev, ki so čim bolj verodostojni in podobni resničnim izzivom, s katerimi se srečujemo v kibernetskem prostoru.
Sodelovanje podjetja CYBER-SEC d.o.o. na vaji Crossed Swords je še dodatno utrdilo našo strokovnost in prisotnost v mednarodnih kibernetskih obrambnih operacijah ter omogočilo pridobitev dragocenih izkušenj, ki jih bomo lahko uporabili za zaščito naših strank pred vse bolj zapletenimi grožnjami v kibernetskem prostoru.
Sodelovanje podjetja CYBER-SEC na vaji Crossed Swords 2024: Uspehi in Izzivi
Sodelovanje podjetja CYBER-SEC d.o.o. na vaji Crossed Swords 2024 je bilo polno pomembnih uspehov, pa tudi izzivov, ki so nas spodbudili k še večji inovativnosti in strokovnosti v kibernetski obrambi.
Uspehi:
Visoka strokovnost in usklajenost ekipe: Žan Urbančič in ostali člani naše ekipe so se izkazali z izjemno usklajenostjo in hitro odzivnostjo pri reševanju simuliranih kibernetskih napadov. Naša sposobnost hitrega in natančnega odziva na spremembe v scenariju vaje je bila ključna za dosego naših ciljev.
Sodelovanje v mednarodnem okolju: Vaja je združila strokovnjake iz več kot 40 držav, kar nam je omogočilo izmenjavo znanja in izkušenj s kolegi iz različnih držav in področij. Ta mednarodna izmenjava je še okrepila našo pozicijo kot vodilnega ponudnika kibernetskih varnostnih storitev.
Poglobljeno razumevanje kibernetskih groženj: Udeležba v simulacijah, ki so vključile napade na kritične infrastrukture, je omogočila boljše razumevanje, kako se kibernetske grožnje razvijajo v realnem času. Naša ekipa je pridobila dragocena znanja, ki jih bomo uporabili za zaščito naših strank pred podobnimi grožnjami.
Izzivi:
Kompleksnost napadov: Scenariji, ki so bili del vaje, so bili izjemno kompleksni in vključujejo večplastne napade, ki so zahtevali hitro prilagajanje naših strategij. To je predstavljalo izziv za našo ekipo, saj so morali strokovnjaki ne le hitro zaznati napad, ampak tudi izvajati taktične in tehnične ukrepe za omilitev škode.
Usklajevanje med več disciplinami: Vaja je zahtevala tesno sodelovanje med različnimi strokovnjaki, kot so vojaški kibernetski operaterji, digitalni forenzičarji in strokovnjaki za omrežno varnost. Usklajevanje med temi različnimi disciplinami je predstavljalo izziv, vendar smo ga premagali s stalnim komuniciranjem in sodelovanjem.
Realistični scenariji in težave pri odzivanju: Ker so bili scenariji zasnovani tako, da so bili čim bolj podobni realnim napadom, so nas nekateri izmed njih presenetili z zahtevnostjo. Naša ekipa je morala hitro prilagoditi svoje ukrepe, kar je bilo izziv, vendar smo ob tem pridobili pomembno izkušnjo za prihodnje naloge.
Vse to pa nas je dodatno motiviralo, da še naprej razvijamo naše sposobnosti v kibernetski obrambi. Izvlečeni zaključki iz vaje Crossed Swords 2024 nam bodo omogočili še boljšo zaščito naših strank in krepitev naše pozicije na trgu kibernetske varnosti.
PXE Boot: Delovanje, ranljivosti in zaščita s pomočjo močnih gesel
PXE (Preboot Execution Environment) boot omogoča računalnikom, da se zaganjajo prek omrežja, kar je še posebej uporabno v velikih organizacijah in podatkovnih centrih. Vendar pa lahko, če napadalec uspe pridobiti dostop do internega omrežja, neustrezno zaščiteni PXE strežniki postanejo tarča napadov. V tem članku bomo podrobneje raziskali, kako PXE deluje, kakšne so njegove ranljivosti in zakaj je uporaba močnih gesel – kot je primer gesla PxeThief – ključnega pomena, še posebej ob integraciji s sistemi, kot je SCCM.
Kako deluje PXE boot
PXE boot proces vključuje več ključnih komponent in protokolov, med katerimi so:
NIC (Network Interface Card): Ni vse strojne opreme enaka. Medtem ko so mnoge potrošniške kartice omejene, sodobni strežniki v podatkovnih centrih običajno že vključujejo PXE-kompatibilne NIC-e.
DHCP: Ko se PXE klient (računalnik) zažene, pošlje zahtevo v omrežje. DHCP strežnik odgovori z dodelitvijo IP naslova in dodatnih omrežnih parametrov, vključno z informacijami o strežniku, ki bo nudil PXE zagonsko sliko.
TFTP (Trivial File Transfer Protocol): Ta preprost, UDP osnovan protokol se uporablja za prenos zagonskega programa (Network Bootstrap Program – NBP) s PXE strežnika na klienta. Zaradi svoje preprostosti, vendar tudi pomanjkanja varnostnih funkcij (nima avtorizacije ali preverjanja pristnosti), predstavlja potencialno ranljivo točko.
PXE Workflow:
Obvestilo o PXE: Klient pošlje omrežno sporočilo, s katerim obvešča, da uporablja PXE.
DHCP odziv: DHCP strežnik dodeli IP naslov in posreduje dodatne PXE parametre, vključno z IP naslovom PXE strežnika.
Seznam strežnikov: Klient prejme seznam razpoložljivih zagonskih strežnikov in operacijskih sistemov.
Prenos zagonske slike: Klient identificira ustrezen strežnik, prejme ime zagonske datoteke in jo prenese preko TFTP protokola.
Zagon operacijskega sistema: Prenesena zagonska slika se izvrši in naloži osnovne komponente operacijskega sistema.
Če strežnik ni opremljen s PXE zmogljivostmi, bo preprosto prezrl PXE kodo, s čimer se prepreči motenje standardnih DHCP in Bootstrap protokolov.
Ranljivosti PXE boot okolij
Čeprav PXE ponuja izjemno priročnost pri oddaljenem zagonu in distribuciji operacijskih sistemov, ima tudi svoje pomanjkljivosti, ki lahko izkoriščajo napadalci, ko pridejo do dostopa do internega omrežja:
Neavtorizirani dostop: Ker TFTP nima integriranih varnostnih mehanizmov (avtentikacije ali avtorizacije), lahko napadalec, ki se znajde v omrežju, preusmeri ali nadomesti originalne zagonske datoteke.
DHCP spoofing: Napadalec lahko ponareja DHCP strežnik, s čimer klientom posreduje napačne PXE strežnike in zagonske slike, ki lahko vsebujejo zlonamerno kodo.
Pomanjkanje šifriranja: Prenos podatkov med PXE klientom in strežnikom poteka brez šifriranja, kar omogoča prestrezanje podatkov in morebitno vbrizgavanje škodljivih sprememb.
Integracijske ranljivosti: Sistemi, kot je SCCM, ki uporabljajo PXE za oddaljeno nameščanje operacijskih sistemov, so še posebej občutljivi, saj morebitna kompromitacija lahko vpliva na širok spekter poslovnih sistemov in naprav.
Pomen uporabe močnih gesel:
Glede na omenjene ranljivosti je zaščita PXE okolja nujna. Eden izmed ključnih varnostnih ukrepov je uporaba močnih gesel, ki preprečujejo nepooblaščen dostop in manipulacijo s strežnikom. Geslo simbolizira pristop k tej zaščiti – močno, edinstveno in strojno zahtevano geslo, ki oteži napadalcem uporabo orodij in tehnik za prevzem nadzora nad PXE strežniki.
Prednosti močnih gesel pri PXE:
Preprečevanje zlorab: Močno geslo zmanjšuje možnosti, da bi napadalec lahko preusmeril PXE promet ali zamenjal zagonske datoteke.
Integriteta sistema: Zavarovani PXE strežniki pomagajo zagotoviti, da le overjeni uporabniki in sistemi (npr. SCCM) lahko izvajajo kritične operacije, kot je distribucija operacijskih sistemov.
Zmanjšanje tveganj: Uporaba robustnih gesel in dodatnih varnostnih ukrepov (npr. segmentacija omrežja in nadzor dostopa) zmanjšuje možnosti vdora in nadaljnjih kompromitacij.
Integracija s SCCM
Microsoftov System Center Configuration Manager (SCCM) pogosto uporablja PXE za distribucijo operacijskih sistemov in avtomatizacijo namestitev na številnih napravah znotraj organizacije. V kombinaciji s PXE omogoča SCCM centralizirano upravljanje, vendar hkrati prinaša dodatne varnostne izzive:
Avtomatizacija in obseg: Ker SCCM pogosto deluje na velikem številu naprav, lahko kompromitiran PXE strežnik hitro vpliva na celotno infrastrukturo.
Varnostni nadzor: Integracija močnih gesel in pravilno konfiguriranih varnostnih politik je ključna, saj mora SCCM zagotoviti, da so samo pooblaščene naprave in uporabniki deležni zagonskih slik.
Redni pregledi in posodobitve: Upravljalci morajo redno preverjati in posodabljati varnostne nastavitve PXE strežnikov ter integracijske točke s SCCM, da se preprečijo morebitne ranljivosti.
Generiranje in prenos šifriranih datotek:
Napadalec začne z generiranjem in prenosom šifrirane datoteke, imenovane “media variables file”, s strežnika MECM, ki se nahaja na naslovu 10.7.10.41. Pri tem uporablja izbran omrežni vmesnik – v tem primeru je naveden adapter Red Hat VirtIO Ethernet Adapter. Poleg tega je ciljna naprava prav tako 10.7.10.41, kar nakazuje, da napadalec neposredno cilja na MECM strežnik.
Pridobivanje lokacij datotek prek ConfigMgr:
Napadalec pošlje zahtevo ConfigMgr-ju, da posreduje lokacije za prenos dveh ključnih datotek:
Media variables file (ki vsebuje konfiguracijske in šifrirane varijable)
BCD (Boot Configuration Data)
Sporočila kažejo, da strežnik odgovori z natančnimi lokacijami, na primer:
Med prenosom se opazi, da napadalec ne najde ciljanega MAC naslova, zato uporabi “broadcast”, s čimer pošlje eno paketno sporočilo, prejme pa dva paketa (od katerih enega zanesljivo prepozna kot odgovor). Poleg tega se opozarja, da je pri PXE boot konfiguraciji najdeno prazno geslo, kar nakazuje na ranljivost v zaščiti zagonskega okolja.
Uporaba TFTP za prenos:
Napadalec prejme navodila za uporabo TFTP ukazov, s katerimi naj prenese obe datoteki. V nadaljevanju pa se avtomatska eksploatacija sproži, kjer se uporablja privzeti TFTP klient (na primer Windows TFTP, ki je del Windows Features).
Dešifriranje datoteke:
V postopku napadalec dobi tudi niz bajtov gesla (v heksadecimalni obliki:
0x020002004d0005005800610062005300e3fffaff) in ga uporabi za dešifriranje media variables file. Uspešno dešifriranje omogoči:
Shranitev dešifriranih podatkov v datoteko variables.xml
Izpis ključnih certifikatov (datoteka, ki vsebuje _SMSTSMediaPFX) skupaj s certifikatom in pripadajočim geslom
Identifikacija MECM Management Point:
Iz dešifriranih medijskih variabel se izlušči URL strežnika za Management Point. Ta URL je ključnega pomena, saj preko njega napadalec nadaljuje komunikacijo in pošilja avtentikacijske zahteve.
Uvoz certifikata in generacija podpisov:
Certifikat iz _SMSTSMediaPFX se uspešno uvozi v Windows Certificate Store.
Na podlagi tega certifikata napadalec generira več avtentikacijskih podpisov, kot so CCMClientID, CCMClientTimestamp in ClientToken, kar mu omogoča pošiljanje pristnih zahtev MECM strežniku.
Pridobitev politik in konfiguracijskih datotek:
Napadalec preko MECM Management Point zahteva:
Politike dodelitve, kjer se najde kar 47 URL-jev za različne konfiguracije.
Konfiguracijo za Network Access Account, ki je potrebna za dostop do omrežnih virov.
Konfiguracijo za Task Sequence, ki določa postopke in poverilnice za namestitev operacijskega sistema (v tem primeru “Install_win10_OS_image”).
Dešifriranje in razkritje poverilnic:
Network Access Account: Po dešifriranju konfiguracije se izluščijo občutljivi podatki, kjer so prikazani uporabniško ime in geslo:
Uporabniško ime: sccm.lab\\sccm-naa
Geslo: 123456789
Task Sequence konfiguracija: V okviru Task Sequence se identificirajo dodatni credential polji:
V koraku “Apply Windows Settings”:
OSDRegisteredUserName (npr. uporabniško ime, ki je lahko povezano z operacijskim sistemom)
OSDLocalAdminPassword (npr. vrednost: EP+xh7Rk6j90)
V koraku “Apply Network Settings“:
OSDJoinAccount in OSDJoinPassword, kjer ponovno najdemo isti račun sccm.lab\\sccm-naa in geslo 123456789
Te informacije omogočajo napadalcu popoln vpogled v konfiguracijo namestitve operacijskega sistema in dostop do omrežnih virov.
Zaključek
PXE boot okolja prinašajo izjemne prednosti pri oddaljenem zagonu in distribuciji operacijskih sistemov, vendar pa niso brez varnostnih pasti. Ko napadalec pridobi dostop do internega omrežja, lahko slabše zaščiteni PXE strežniki postanejo tarča zlonamernih napadov, kot so DHCP spoofing in zlonamerni prenosi prek TFTP. Uporaba močnih gesel – kot je priporočeno geslo PxeThief – ter dosledna varnostna politika, vključno z integracijo in pravilnim konfiguriranjem sistemov, kot je SCCM, so ključni koraki za zaščito celotnega okolja.
Z varnostjo na prvem mestu in nenehnim nadzorom omrežja lahko organizacije učinkovito zmanjšajo tveganja, povezana s PXE boot okolji, ter zagotovijo stabilno in varno distribucijo operacijskih sistemov.
EDR SentinelOne pod drobnogledom: Mimikatz v realnem okolju (23.03.2023) (RAZISKOVALNO DELO!)
Uvod
V nenehno razvijajočem se področju kibernetske varnosti imajo rešitve za zaznavanje in odzivanje na napade na končnih točkah (EDR), kot je SentinelOne, ključno vlogo pri obrambi pred naprednimi grožnjami. Vendar napadalci nenehno razvijajo nove metode za obvoz teh varnostnih rešitev. Namen tega prispevka je osvetliti eno izmed takšnih tehnik ter poudariti pomen razumevanja metodologij napadalcev za utrditev obrambe.
Pregled napada: Izpis hash-ov z orodjem Mimikatz
Izpis hash-ov je pogosta tehnika po izkoriščanju ranljivosti, ki jo napadalci uporabljajo za pridobivanje višjih privilegijev ali za lateralno premikanje znotraj omrežja. Orodja, kot je Mimikatz, so se pogosto uporabljala v ta namen, kljub napredku EDR rešitev, kot je SentinelOne.
Ključna ideja: Napadalci lahko uporabijo Mimikatz za pridobivanje poverilnic tudi v okoljih, kjer delujejo EDR orodja. Vendar pa imajo sodobni EDR-ji vgrajene zmožnosti za vedenjsko analizo in pregledovanje pomnilnika, ki lahko zaznajo takšne poskuse.
V mojem primeru sem uporabil AES enkriptirano verzijo Mimikatza, ki sem jo vpeljal v sistem z namenom testiranja varnosti. Z omenjeno tehniko sem uspel izvesti izpis poverilnic, ne da bi bil zaznan ali blokiran s strani SentinelOne EDR-ja.
Tehnike izogibanja EDR zaščiti
V tem testu sem uporabil naslednje metode za izogibanje EDR-ju:
AES-enkripcija orodja Mimikatz: Zaradi enkripcije EDR ni prepoznal znanih vzorcev ob zagonu orodja.
Obvod nadzora EDR: V določenem trenutku sem opazil, da EDR ni reagiral na sumljivo vedenje, kar kaže na uspešno obvodno tehniko.
Zaključek
Razumevanje, kako delujejo napadalci, je prvi korak k izgradnji robustne obrambe. Čeprav ta študija primera poudarja izzive, ki jih predstavljajo napredne tehnike izogibanja, hkrati opozarja na pomen večplastne varnosti, rednega posodabljanja varnostnih rešitev in vzpostavitve proaktivne varnostne kulture.
Z odgovornim deljenjem znanja lahko skupaj dvignemo raven kibernetske varnosti in otežimo delo zlonamernim akterjem.
Omejitev odgovornosti
Problem je bil javljen na SentinelOne in vrjetno tudi odpravljen. Ob tem želim poudariti, da so vsi postopki, opisani v tem blogu, izvedeni izključno v raziskovalne in učne namene. Obvod ali napad na varnostne sisteme, kot je SentinelOne, brez dovoljenja in v skladu z zakoni je nezakonit in neetičen. Moje dejavnosti niso bile usmerjene v škodovanje, temveč v razumevanje, kako se lahko izboljša varnost in zaščita pred napadi v realnem okolju.
UPRAVLJANJE SOGLASIJ
Za zagotavljanje najboljše izkušnje uporabljamo tehnologije, kot so piškotki, za shranjevanje in/ali dostop do informacij na napravi. S privolitvijo za uporabo teh tehnologij nam omogočite obdelavo podatkov, kot so vedenje pri brskanju ali enolični identifikatorji na tem spletnem mestu. Če ne podate privolitve ali jo prekličete, lahko to negativno vpliva na določene funkcije in lastnosti.
Funkcionalnosti
Always active
Tehnično shranjevanje ali dostop je nujno potreben za zakonit namen omogočanja uporabe določenega servisa, ki ga naročnik ali uporabnik izrecno zahteva, ali izključno za namen izvajanja prenosa komunikacije preko elektronskega komunikacijskega omrežja.
Preferences
The technical storage or access is necessary for the legitimate purpose of storing preferences that are not requested by the subscriber or user.
Statistika
The technical storage or access that is used exclusively for statistical purposes.Tehnično shranjevanje ali dostop, ki se uporablja izključno za anonimne statistične namene. Brez sodnega poziva, prostovoljne skladnosti vašega ponudnika internetnih storitev ali dodatnih zapisov tretjih oseb, informacij, shranjenih ali pridobljenih izključno za ta namen, običajno ni mogoče uporabiti za vašo identifikacijo.
Marketing
The technical storage or access is required to create user profiles to send advertising, or to track the user on a website or across several websites for similar marketing purposes.
