View
3
Download
0
Category
Preview:
Citation preview
Практика использования
продуктов
на The StandOff
Директор экспертного центра безопасности
Positive Technologies (PT ESC) Алексей Новиков
phdays.com #PHDays
The StandOff: что это?
250+участников 3 SOC
5 команд защиты
18 команд нападения
phdays.com #PHDays
The StandOff: инфраструктура
400 cores CPU
6,5 TB RAM
90 TB HDD (Violin)
phdays.com #PHDays
phdays.com #PHDays
The StandOff, технологии: ОС
• Windows Server 2008R2, Windows Server 2012R2, Windows Server 2016
• Windows 7, Windows 10• Ubuntu Server 16.04, Ubuntu Server 18.04, FreeBSD• Ubuntu Desktop 16.04, CentOS 6, CentOS 7, Oracle Linux 7, Debian• Mac OS• Asterisk
phdays.com #PHDays
The StandOff, технологии: soft
• AD, DNS, DHCP, MS Office, Exchange Server 2016, Roundcube, NFS-сервер, Backup Server• Apache Tomcat, IBM WebSphere Application Server, IIS• Apache HTTP Server, NGINX• PHP, phpMyAdmin, Node.js, Java, JDK, JRE, Apache Struts, Python 3• MS SQL 2014, MySQL, MariaDB, H2, Redis, MongoDB, PostgreSQL• iTop, 1C, MS Sharepoint Server 2016, • Git, OpenVPN• VirtualBox, Docker, Portainer, Kitematic• Zabbix, Nagios• WordPress, Drupal
phdays.com #PHDays
The StandOff, технологии: ICS
• PLC: Siemens S7-300/400, Schneider Modicon m168, Schneider Modicon m340, Allen-Bradley, CompactLogix 1769, энергосервис ЭНМВ-1, Yokogawa FCS
• SCADA: Siemens WinCC, TRACE MODE, Schneider, Citect SCADA, CENTUM VP Yokogawa, Rapid SCADA
phdays.com #PHDays
The StandOff: мониторинг инфраструктуры
• MaxPatrol SIEM
• PT Network Attack Discovery
• PT Application Firewall
• PT Industrial Security Incident Manager
• PT MultiScanner
phdays.com #PHDays
The StandOff: MaxPatrol SIEM, типы событий
phdays.com #PHDays
The StandOff: PT Network Attack Discovery
phdays.com #PHDays
The StandOff: Top 20 техник Windows
• T1046 Network Service Scanning
• T1064 Scripting
• T1110 Brute Force
• T1077 Windows Admin Shares
• T1031 Modify Existing Service
• T1190 Exploit Public-Facing Application
• T1086 PowerShell
• T1071 Standard Application Layer Protocol
• T1134 Access Token Manipulation
• T1070 Indicator Removal on Host
• T1089 Disabling Security Tools
• T1003 Credential Dumping
• T1034 Path Interception
• T1082 System Information Discovery
• T1105 Remote File Copy
• T1098 Account Manipulation
• T1039 Data from Network Shared Drive
• T1075 Pass-the-hash
• T1203 Exploitation for Client Execution
• T1035 Service Execution
phdays.com #PHDays
The StandOff: Top 20 техник Linux
• T1190 Exploit Public-Facing Application
• T1100 Web Shell
• T1110 Brute Force
• T1089 Disabling Security Tools
• T1083 File and Directory Discovery
• T1071 Standard Application Layer Protocol
• T1078 Valid Accounts
• T1021 Remote Services
• T1168 Local Job Scheduling
• T1046 Network Service Scanning
• T1064 Scripting
• T1139 Bash History
• T1041 Exfiltration Over Command and
Control Channel
• T1068 Exploitation for Privilege Escalation
• T1087 Account Discovery
• T1082 System Information Discovery
• T1069 Permission Groups Discovery
• T1033 System Owner/User Discovery
• T1065 Uncommonly Used Port
• T1105 Remote File Copy
phdays.com #PHDays
The StandOff: MaxPatrol SIEM, тактики
phdays.com #PHDays
The StandOff: кто первый встал, того и тапки
1. RDG (10.126.140.21|172.22.61.13) MS17-010
2. Открытие сессии Meterpreter
3. Получение удаленного доступа к процессу Lsass.exe (через PowerShell)
4. Создание локальной УЗ и добавление в группу local admin
5. Изменение локального МЭ и правки в реестре
6. Закрытие доступа до 80, 443 портов
7. RDP c RDG на DC-01
8. Загрузка OpenVPN
9. Настройка маршрутизации
phdays.com #PHDays
The StandOff: в большой семье клювом не щелкай
phdays.com #PHDays
The StandOff: в большой семье клювом не щелкай
phdays.com #PHDays
The StandOff: в большой семье клювом не щелкай
phdays.com #PHDays
The StandOff: взлом нефтехранилища
phdays.com #PHDays
The StandOff: взлом нефтехранилища
phdays.com #PHDays
The StandOff: MaxPatrol SIEM + MultiScanner
phdays.com #PHDays
The StandOff: пара интересных фактов
phdays.com #PHDays
The StandOff: пара интересных фактов
phdays.com #PHDays
The StandOff: пара интересных фактов
phdays.com #PHDays
The StandOff: пара интересных фактов
Спасибо
за внимание!
Вопросы?
Алексей Новиков
alnovikov@ptsecurity.com
Recommended