cydex 2024 connsys

Echipa Connsys a fost invitată pentru al doilea an consecutiv de către Serviciul Român de Informații să participe la CyDEx, cel mai mare exercițiu regional de securitate cibernetică. Acest exercițiu reunește firme de top din domeniul securității cibernetice (Bitdefender, Crowdstrike, Secureworks, Data Core Systems), furnizori de importanță strategică (bănci, telecomunicații, utilități, transport) dar și echipe ale MAPN, DNA, DICOT, MAI, SIE.

Oportunitatea aceasta a fost oferită Connsys datorită statutului de partener de securitate al Microsoft. Acest statut presupune îndeplinirea unei serii de cerințe necesare in fiecare an pentru recertificare (atata ca si companie cat si ca examene pentru echipa) ca si partener:

  1. 5 membri ai echipei trebuie să treacă fiecare 4 examene pe zona de securitate IT legate de soluțiile Microsoft. (know-how)
  2. Este necesar să implementăm pentru 10 clienți noi ultimele soluții de securitate IT de la Microsoft. (experiență)
  3. Trebuie să avem un anumit grad de utilizare pentru soluțiile de securitate Microsoft implementate. (experiență practică)
  4. Suntem invitați (și verificați ca experiență) la exerciții regionale de securitate IT unde se simulează atacuri asupra infrastructurii Microsoft. (experiență practică în condiții reale de atac cibernetic)e fiind insuficiente.

Cuprins

CyDEx 2024

La fel ca și anii trecuți, exercițiul a conținut mai multe scenarii pe parcursul celor trei zile, precum și scenarii OneMan și un track competitiv.

scenarii cydex 2024

De data aceasta echipa Connsys a fost prezentă la două scenarii (2 – VIP targeting și 4 – Cloud security), precum și la cele OneMan.

La unul din scenariile OneMan un utilizator instala un update fals de Office de pe un domeniu care imita site-ul oficial Microsoft. Update-ul, desigur, conținea un malware care exfiltra fișierele și apoi le cripta pentru a cere răscumpărare.

Scenariul 2 (OneMAN) ne punea în fața unei copii a laptop-ului unei persoane importante din companie, cu două simptome: performanțe reduse și suspiciunea că au fost exfiltrate fișiere.

Echipa Connsys a identificat cu succes două căi de acces (un server OpenSSH și o instanță de TeamViewer), precum și faptul că acestea putea fi folosite pentru a exploata sistemul pentru alte scopuri. Pe parcursul exercițiului s-au făcut exfiltrări de date dar și rularea unor programe care nu aveau ce căuta pe acel laptop.

scenariul 2

Vrei să afli mai multe despre serviciile noastre de securitate IT?

Descopera avantajele unui parteneriat cu Connsys.

Scenariul 4 – Cloud security

Punctul de maxim interes pentru Connsys a fost însă scenariul 4, cel axat pe cloud security,  unde trio-ul format din Cosmin Dumitrescu, Adrian Costaș și Eugen Sechel a avut misiunea de a identifica toți pașii a două atacuri cibernetice – unul realizat de un atacator, iar al doilea aparținând unei entități separate, care cumpărase accesul de la primul atacator.

Pentru a pune cap la cap toate evenimentele echipa s-a folosit de Microsoft Sentinel, care centraliza log-urile de pe toate serverele clientului, Microsoft Defender, dar și din serviciile ce rulau în Azure, cum ar fi un Web Application Firewall (WAF).

Scenariul avea 22 de întrebări la care trebuia să se răspundă: 12 legate de primul atac, iar 10 deblocate ulterior, pentru al doilea.

În jurul orei 18 echipa Connsys completa și ultimul răspuns, ajungând să fie a treia echipă care finaliza toate challenge-urile scenariului 4:

top 3

Clasarea in primele 3 echipe este cu atât mai important cu cât Connsys pleca din poziția de underdog în compania unor firme de anvergura Bitdefender sau Secureworks.

Atacul a început cu prima entitate scanând conținutul server-ului web și descoperind o vulnerabilitate. Folosindu-se de aceasta, a reușit să-și creeze un backdoor și să încarce alte script-uri. A scanat infrastructura victimei, reușind să identifice niște date sensibile.

Fișierul ce conținea date sensibile a fost exfiltrat. Pentru a nu fi detectată această exfiltrare, atacatorul s-a folosit de un protocol prin care în mod normal nu se fac astfel de operațiuni. Tehnica se numește „living off the land”, pentru că atacatorul folosește tool-uri legitime, prezente deja în sistem, pentru a-și atinge scopurile.

După copierea fișierului, acesta a fost șters. Atacatorul a plantat o instalare de Anydesk pentru a avea acces facil la infrastructura compromisă. A vândut apoi acel acces către o altă entitate, care la rândul său a accesat sistemele.

Echipa a putut identifica de la ce adresă IP s-a conectat a doua entitate, ce sisteme de acces și-a mai creat, ce informații a reușit să extragă (un fișier cu parole). În cele din urmă a doua entitate descărcase un script cu care criptase conținutul tuturor sistemelor din infrastructură, cel mai probabil cu scopul de a cere răscumpărare.

identify

Toate evenimentele s-au petrecut într-un timeframe foarte scurt (o zi) și prezintă o varietate de tehnici folosite de atacatori pentru a obține acces, a-și asigura o prezență prelungită în infrastructura victimei și pentru a exercita operațiuni de comandă și control pe sistemele compromise.

De obicei obiectivele sunt relativ simple: se exfiltrează date sensibile cu scopul de a le vinde sau a șantaja victima cu vânzarea acestora și se criptează datele de pe sisteme tot cu scopul de a obține foloase materiale pentru deblocarea accesului.

Concluzie

A doua participare a echipei Connsys la CyDEx a însemnat parcurgerea a mai multe scenarii ca data trecută și o clasarea in top 3 echipe,  mai bună compartiv cu anul 2023 (a 4a echipa) la scenariul principal Microsoft Cloud la care ne-am înscris, demonstrând o evoluție a abilităților echipei, o viteză mai bună de reacție dar și o colaborare foarte bună între membrii săi.

Dat fiind contextul curent, în care atacurile cibernetice sunt din ce în ce mai sofisticate și accesibile atacatorilor, experiența obținută în cadrul acestor exerciții, dar și validarea cunoștințelor și a capacității de a răspunde la astfel de atacuri sunt foarte importante pentru echipa noastră.

Ca echipa să poată identifica, investiga și contracara cu succes atacurile cibernetice sub conditii de stress si cu timp limita, este necesar să își antreneze și îmbunătățească abilitățile practice în astfel de experiențe hands-on, cunoștințele pur teoretice fiind insuficiente.

Programeaza un apel video.

  • Fara nicio obligatie comerciala.
  • Analizam nevoile.
  • O discutie scurta cu unul dintre specialisti.

Camil Moldoveanu, Managing Partner

Articole asemanatoare
Servicii de securitate IT - Connsys - Bucuresti

Inspirație și cunoștințe direct în inbox-ul tău.

Înscrieți-vă pentru newsletter-ul nostru lunar și beneficiați de sfaturi și perspective despre modurile de lucru, procesele și securitatea din platforma cloud Microsoft (Office 365, Azure, etc.)