Pro Standoff очень коротко

У всех лагает? У меня 502.....

Ребят, мне холодно. Замерзаю...

Как думаете мы запомнимся, как дважды подряд чемпионы, если выиграем? - Тут такое дело, смотри, как DETEACT пишет историю!

Парни мне тут тесно, я как в центре цыганского табора. Одни жалуются, другие пакостят, а третьи получают плюшки.

Аж прослезился, мне что-то подобное только мама про шапку говорила. Так мило =)

У меня инет упал. Совсем упал. Ща раздам всем с мобилки. Правда скада все равно недоступна =(

4 день standoff, а у меня в голове промелькнула мысль о том, как красиво на ней смотрятся эти шортики и рубашка в клетку. Девушка из Innostage подошла ко мне, приветливо улыбнулась и повесила медальку с цифрой 1 на мою шею.

Наконец подошли к концу эти 4 дня в гнетущей обстановке красного цвета, громкой музыки, невоспитанных и нетактичных гостей, а также постоянного стресса от звуков, сдающихся рисков. Антураж в наш угол, по всей видимости, подбирали с 13 района, а не мистера робота.

Читателю может показаться, что обстановка потрясающая, атмосферная, тематическая. Возможно со стороны это и так.
Как участник, смею заверить, что световые мигания, резкие громкие звуки, которые символизируют о том, что какая-то команда сдала риск, гости конференции, без стестения заглядывающие в твой монитор, в совокупности доставляют определенный дискомфорт и мешают сконцентрироваться. Так что всем, кто принимал участие непосредственно на конференции, огромный респект за выдержку и стальные нервы.

Info start

Сам Standoff предполагает набор очков двумя способами:

1 - BugBounty - просто ищем серьезные косяки(rce,sqli,lfi,lfr,ssti,ssrf) в web-приложениях и сдаем их.

2 - это сдача серьезных рисков, которые могут нанести финансовый, репутационный, либо иной ущерб компании.

Таким образом команды набирают очки сдавая узявимости и реализуя серьезные риски.

Так же есть 3 популярных способа попасть и закрепиться внутри сети компании.

1 - RCE в web приложении, как уже писал раннее.

2 - Phishing.

3 - После получения кредов, иногда можно зайти в сеть по VPN

Info end

К тому времени, когда мне прилетел первый отстук с фишинга, в нашей копилке была пара тысяч очков с ББ. Отстучали почти все офисы, наверно потому что от моего документа веело добром.

В то время другие команды слали что-то из ряда APT заготовок.

Еще к нам приходил какой-то бородатый дядька и отвлекал от процесса.

После внешнего пробива всегда стоит цель закрепиться и остаться в системе, как можно дольше. Как бы смешно не звучало, но Defender усовершенствовал методы своей защиты и доставлял определенные хлопоты, с которыми приходилось считаться и на лету менять нагрузки, поднимать привилегии, прописывать исключения, чтобы обойти детище мелгомягких. В конечном итоге в каждом офисе была примерно такая картина.

Второй важной задачей является найти учетные данные привилегированных пользователей, которые могут способствовать дальнейшему продвижению в домене. Либо использовать косяки в самом домене, такие как мисконфиги ADCS, различные уязвимости noPac, zerologon,ms17-010,bluekeep и пр. Помимо сканеров и ручных проверок, собирать и обрабатывать информацию помогает BloodHound. Например одной из приоритетных целей всегда являются админы LAPS.

Все продвижения по сети сопровождаются изучением новых маршрутов с каждого нового скомпрометированного хоста. Сеть сегментированна и нет прозрачности в том, как она построена. Лишь догадки и логические заключения. Главная задача - это добраться до критических узлов каждой компании(SCADA или банковский процессинг) и реализовать риски.

Реализация рисков всегда сопровождалась видео подтверждением на большом дисплее в центре зала.

Одним из самых ярких рисков на Standoff является подмена транслируемого видео на экране башни в созданном городе. Для такого случая в нашей команде есть специальный контент.

Возможно не все заметили, но во время standoff на гитхабе засветились 2 примечательные вещи.

Это были биконы чужих CS, но нашлись и те, кто их потестил =) Чего только не сделаешь ради победы. Виртуалки со снапшотами очень помогают кстати в таких делах.

В завершение хочу сказать, что Positive Technologies, на мой взгляд, очень выросли в плане организации этого мероприятия и за это им огромное уважение. Город увеличился в размерах, задания жизненные и интересные, организация рабочих мест тоже на уровне. Можно закрыть глаза на некоторые нюансы и от всей души поблагодарить всех ребят, которые принимали участие в организации данной конференции! Проделана огромная работа и это видно. От нашей команды и от меня лично Спасибо!

Отдельно хочется отметить все команды, которые ломали город и не пакостили другим. Уровень уважения к соперникам изрядно вырос. И хотя отправка доков на VirusTotal подбешивала, общее настроение было положительным. Всегда находились компромисы между коллективами в одном офисе и это радовало.

Ну и конечно огромная благодарность от меня всем членам команды Codeby.

Тут у читателя может возникнуть чувство неудовлетворенности и неполноты полученной информации. Спешу заверить, что у нас найдутся писатели, которые захотят расписать все уязвимости подробнее, как это делали в прошлые годы.
Про себя хочу сказать, что являюсь больше сказочником, а не техписарем. Определенно некоторые вещи обязательно возьму на заметку и использую в своих будущих коротких рассказах.
А данное повествование является скорее легким ознакомительным чтивом, нежели подробным отчетом обо всем произошедшим за 4 дня.
Спасибо за уделенное время!