Яркие и не очень моменты из повседневной деятельности по ИБ.
Ведь ИБ это так не популярно, так неважно.Сарказм.
Не все, но наиболее запомнившиеся.
Ведь ИБ это так не популярно, так неважно.Сарказм.
Не все, но наиболее запомнившиеся.
ОРГАНИЗАЦИОННЫЕ(3)
1.Времена ещё зелени беспросветной.Был у нас один отдел, который занимался контролем скажем так финансовых документов.Постоянные проверки сверки, рассчёт.Человек относительно высокой должности взял документы, в которых были выявлены нарушения и попытался в активной форме шантажировать начальство.
Реакция:Вызвать необратимое удаление файлов с флешки, закрыть доступ к общим документам.Уже точно не помню как решал этот вопрос из-за " зелени беспросветной", но использовал такую утилиту как SDelete.Решилось всё на техническом и организационном уровнях.
2.Заместитель начальника нашего отдела написал телегу на сайт президенту, о том как у нас в структуре всё круто.При этом проговорился людям из отдела безопасности(не занимающихся компьютерами, а больше организационной и профилактической деятельностью).На следующий день коллеги из ФСБ сидели в кабинете у начальника и вопрошали, о том что это такое было.
Реакция:Вызвать необратимое удаление файлов с флешки, закрыть доступ к общим документам.Уже точно не помню как решал этот вопрос из-за " зелени беспросветной", но использовал такую утилиту как SDelete.Решилось всё на техническом и организационном уровнях.
2.Заместитель начальника нашего отдела написал телегу на сайт президенту, о том как у нас в структуре всё круто.При этом проговорился людям из отдела безопасности(не занимающихся компьютерами, а больше организационной и профилактической деятельностью).На следующий день коллеги из ФСБ сидели в кабинете у начальника и вопрошали, о том что это такое было.
Реакция:Было не при мне и соответственно ничего по этому поводу написать не могу.Решилось всё на организационном уровне.
3.Случай произошёл вот буквально недавно, хотя у него есть предыстория.Ещё когда устроился на работу.Рядом с нашим кабинетом находится кабинет менеджеров.Один из них находился под наблюдением с помощью программы LanAgent.С работой которой я поимел нехилый геморрой и даже выговор за забитие на проблему.Я не до конца знаю причину и предпосылки случившегося, да это в прочем и не важно.
Реакция: Полное блокирование рабочей станции пользователя.Было решено с помощью Kaspersky Security Center.Последующее изъятие компьютера.Изъятие домашненго ноутбука(вообще невиданный доселе момент).Разговор с пользователем.Его сдача дел и последующее увольнение.Моих технических действий 1/3, всё остальное организационная работа вышестоящих начальников и уполномоченных лиц.
UPD:Человека вроде как оставили на работе.Вывели за штат и на удалённую деятельность из дома.Количество неприязни от окружающих к этому человеку зашкаливает.Слухи у нас очень быстро распространяются.В процессе решения вопрос о макимальном урезании его в правах и взаимодействиии только с одним поставщиком.Может оставили в качестве двойного агента, хотя навряд ли.
UPD2:Всё оказалось тривиальней.Данный человек работал с основания предприятия и вел некоторое количество проектов.После увольнения руководство переосмыслило свои действия и поняло, что если эти проекты не закончить, то они очень много потеряют от произошедшего ицидента(про подрезание прав выше).Ну это всё понятно.Что надо было сказать человеку, чтобы он согласился остатся ex.вернуться.Порча трудовой красной записью?
UPD:Человека вроде как оставили на работе.Вывели за штат и на удалённую деятельность из дома.Количество неприязни от окружающих к этому человеку зашкаливает.Слухи у нас очень быстро распространяются.В процессе решения вопрос о макимальном урезании его в правах и взаимодействиии только с одним поставщиком.Может оставили в качестве двойного агента, хотя навряд ли.
UPD2:Всё оказалось тривиальней.Данный человек работал с основания предприятия и вел некоторое количество проектов.После увольнения руководство переосмыслило свои действия и поняло, что если эти проекты не закончить, то они очень много потеряют от произошедшего ицидента(про подрезание прав выше).Ну это всё понятно.Что надо было сказать человеку, чтобы он согласился остатся ex.вернуться.Порча трудовой красной записью?
К чему это всё?Не знаю.Несмотря на то, что все описанные персонажи преследуют свои цели благие или нет, не мне решать.Но то что под удар ставятся довольно большое количество людей и их рабочие места, репутация структур да и много чего ещё.Можно почитать на эту тему материалы людей чьи имена на слуху, которые находятся практически на острие подобных событий, которые знают тенденции и законодательство.
Обо мне как о человеке во всём этом учавствующем?.Мой рассказ короток и в нём всего 3 случая.Когда говорят реализовать блокирование чего-либо и пресечение данной деятельности просто вот так сходу.У меня случается лёгкий коллапс мозга, потому как без внедрённых продуктов/правильно и грамотно построенной архитектуры, сделать это очень трудно.Я думаю, что как-нибудь к этой нелёгкой теме в работе мы ещё вернёмся.
ТЕХНИЧЕСКИЕ(10)
1.А делов-то.Кто-то стёр, точнее переименовал или стёр конфигурационный файл VPN на шлюзе с FreeBSD и из-за этого отвалилась связь с целым подразделением.Доступа у меня к шлюзу нету, поэтому покопаться в логах не могу.
Реакция: Со стороны отдела на "Там ряд сетевых атак был в 10ых числах"(Scan.Generic.TCP с 11 компьютеров, DoS.Generic.SYNFlood с одного) - Да похер.К сожалению нет времени разгребать данный случай.Почему?-"Я только сервисы успеваю поднимать да на тикеты реагировать, а защитой 'мы' не занимаемся".В этом-то и дело.Заниматься безопасностью некогда.Это очень сильно удручает.
2.Дефейс сайта компании.
Вскрылся довольно неожиданно, когда я зашёл посмотреть пару наших телефонов ну это и не удивительно, если там такое Сквозь горизонт.Интересная вещь получается, что за сайтом компании тоже бы надо послеживать, а не только пинговать.Потеряли часть информации, потому что бекапы сайта просрочились и потёрлись.
3.Неавторизованный доступ к закрытым бекапам серверов одного из подразделений.
Данных по инциденту нет.
4.Западло.
Работала у нас женщина, ну как сказать дама в отделе.Возникла ситуация в которой все мы бывали.Когда нас спрашивают за нашу деятельность, её результаты и последствия.Человек перенерничал и решил найти другую работу, оставив после себя проткнутый иголкой или булавкой кабель питания компьютера.И по стечению обстоятельств попал он в руки ко мне.Казалось проткнуть иголкой кабель и при определённом его положении жилы замыкаются и вы наблюдаете сноп искр, фейерверк, с трёхэтажными матами выбигаете из кабинета, но это так лирическое.Чуть два мощных компьютера не спалил, а это уже потягивает на материальный ущерб.У меня после этого случая осталось впечатление, что это была какая-то такая студенческая злая шутка.Прокол кстати визуально очень трудно определяется.Нашли мы его с электриком не сразу.
5.Удаление бекапов серверов.Компрометация сертификатов удалённого доступа.
Почти APT ну или наверное он и есть.Потому что слишком таргетировано было.Пока на стадии расследования, но картина более или менее вырисовывается.После увольнения одного из ключевых сотрудников нашего отдела.Стихийное и необъяснимое падение ряда ключевых серверов.
Вот тут то на данном этапе и проявляется вся мощь инсайдерства и того что вырезать уволенного сотрудника из большой сети можно очень долго.Точка входа была обнаружена.
Местами удачный, местами неудачный несанкционированный доступ в ряд филиалов.
6.Полгода и более висящая наружу скомпрометированная виртуальная машина из-за дырявого Apache.В итоге на внешнем периметре компании висел сайт какого-то онлайн казино.
Вырубил машину, так как она вобще не использовалась.Посмотрел что за уязвимости были на Apache.Копирнул к себе, пылится на диске.
7.Бесчисленный брутфорс ssh пограничных маршрутизаторов, шлюзов, почтовых релеев и т.д.
Было в новогодний период с 2014 на 2015.Попыток перебора до 100k.Больше всего с Китая.
Скорректировал правила.
8.Отдаём жёсткие диски с дефектами по гарантии, но данные не удаляем с них.
Удалось предотвратить лично, а то чесслово так бы и отдали не удаляя, вместе со всей корпоративной информацией.
9.Гостевыей wi-fi, вовсе не такой гостевой, а ведущий во внутренние сети компании.
Некорректная фильтрация на самой AP и последствия расширения сети.В итоге с гостевой сети можно делать всё что угодно в локальной.
10.DoS/DDoS.
Вот уже второй день штурмуют пограничный маршрутизатор.Примечательно, что в первый день его очень просто завалили.
Понаписали сетевых правил на входящий трафик.
Поставил в разрыв межу провайдерским оборудованием и нашим ids.Весьма примитивную, но помогающую прояснить что к чему.Не буду рассказывать как она сделана, хотя наверное как-нибудь всё-таки расскажу.Статистику по атакующим хостам напишу позже.В целом как и с пунктом 7 она будет очень показательна.С данным явлением столкнулся впервые.
В первый раз волну отбили.Благо используемое пограничное оборудование, хоть что-то может.В целом synflood.
Следующие мои действия:
получение списка атакующих адресов
их анализ и унификация(география, ответное выборочное сканирование в целях понять с чего валят, ну и мало по палу почему валят, какие уязвимости на атакующих устройствах).Тут верно должен быть мой вопрос к автору Shodan Джону Мэтерли на PHD V о легитимности моих действий по отношению к атакующим.К нему, потому что узлы Shodan мной были не раз уличены в попытках позаходить на разные сервисы со списками паролей и логинов.И вроде как сканирование на уязвимости без ведома сканируемой стороны преступление, в прочем как и наверное сама атака.Вопрос двойных стандартов.
Случайно ли это всё?. Ботнет в гостях чему удивляться. Каждый день как будто бы сталкиваешься.Не в Qrator'е работаю.Есть череда непонятных сокращений в компании.Может сотрудники скинулись с отходных на ботнетик. Почему бы и нет.
Время атак.Как-то совсем невзначай первая атака совпала с моим уходом из офиса.
ЗАДРОТСТВО. Нас атакуют, но нам насрать.Чем нам поможет собранная тобой информация?Она бесполезна.Вот и весь расклад.
В первой атаке, вернее в части её реализации было выявлено порядка 1400 уникальных адресов.
Вторая атака оказалась весьма особенной и повторилась дня через четыре или около недели.На L2TP, хотя пытались проредить и всё остальное пробрасываемое на внешку. По каким-то невыясненным причинам пограничный маршутизатор просто залипал при обработке соединений.И самое забавное атака ушла и правила отключили(не я), тот кто настраивал.
После небольшого усовершенстования правил и их обучения удалось побороть.
Во второй атаке анализ адресов я не проводил.Это же задроство. В бан листе было порядка 32000 адресов.То есть в сравнении 1400 и 32000.Для меня ощутимо.
DoS/DDoS тесты при конфигурировании оборудования вобще и не только пограничного не принято проводить.Генераторами пакетов, утилитами находящимися в публичном доступе.Профилями DoS в сканерах безопасности.Смотреть на реакцию или не реакцию этого самого оборудования.Всё это не принято.
Касательно атакующих устройств, что brutforce, то ddos удивить трудно.Много маршрутизаторов, voip шлюзов, беспроводных точек(очень много Ubiquiti), дырявого PfSense и аналогов, много embedded устройств(камеры, какие-то промышленные контроллеры), adsl модемов(причём один раз попался реально древний годов 2000), ipkvm... В общем что я вам рассказываю.Читаешь вроде как аналитические отчёты, смотришь статистики, но пока лично не увидишь верится с трудом.
11.Фрод через DISA/IVR.
Деталей нет так как, системы мониторинга трафика и совершаемых звонков были в процессе внедрения и настройки.Послужило отличным поводом для того, чтобы перенастроить всё как надо.Результаты от внедрения конечно очень большие.
12.Брутфорс от провайдера.
Когда начинаешь ставить промежуточное оборудование непрофессионального уровня в многоwan'овый поток между провайдером и сервисами компании, анализировать протоколы что приходят в потоке, писать нормальные правила для файрвола, нормальные regexp'ы.В общем всё то что должно быть сделано, но делать на нормальном уровне некому.
Одним из предметов разбора был ssh.Одно из написанных правил зарубило ip адрес из диапазона адресов что и наш.Забавные вещи.Решил проверить.
Оказалось на вредоносном адресе висел интерфейс удалённого управления ipkvm Supermicro.Ну а кто в курсе давнишнего полного набора уязвимостей?Репортнул провайдеру, постарался грамотно разложить что и как.Редкий случай(у меня), когда можешь оправить образец трафика, скриншоты, рекомендации к устранению/к безопасности.Благо вопросом по этому типу устройств занимался в прошлом плотно, да и сейчас иногда приходится.Один из главных моментов кому писать, тех.диру и диру.Ответ в течении 15 минут.Закрыто сразу же.Доброе дело сделано, наверное.
Самым интересным аспектом в этом случае является, не репорт и белая шляпа, а как раз тот самый брутфорс. Набор команд доступный с ipkvm Supermicro вобще никакой, если смотреть под прямым углом.Я к тому что организация транспорта через него и прогон трафика оставляют множество вопросов о способе организации брутфорса.Есть ещё над чем подумать.
13.DDoS от компании занимающейся защитой от этих самых атак.(Не Qrator)
На выходных кто-то очень не хило проредил периметр и часть важных сервисов. Благо кустарно настроенные средства и меры защиты позволили не только устоять, сохранить диапазон адресов атакующих, но и записать трафик атаки. В общем, чем дальше, тем моё скромное:"записывать трафик идущий на важный сервис" начинает нереально тащить в случае 12 и 13.Самым большим удивлением было то, что диапазон атакующих прям как влитой - целая подсеть 254 адреса остались в логах и принадлежали компании занимающейся защитой от DDoS.
Написал им в саппорт письмо с приложением образца трафика.Мне кажется они не ответят.Не знаю почему.
О причинах?На одной площадке провайдера с нами располагаются ещё какие-то крупные проекты(крупнее нашего, кстати надо поинтересоваться с кем рядом работаем-то), которые частенько подвергаются атакам.Как-то год назад даже оборудование провайдера полностью ложили, ну и нас зацепляло само собой.Видимо кто-то пользуется услугами, но что-то не так настраивает.Предположений на самом деле может быть сколь угодно много.
В общем неприятно, но за нагрузочное тестирование спасибо.
...
2.Дефейс сайта компании.
Вскрылся довольно неожиданно, когда я зашёл посмотреть пару наших телефонов ну это и не удивительно, если там такое Сквозь горизонт.Интересная вещь получается, что за сайтом компании тоже бы надо послеживать, а не только пинговать.Потеряли часть информации, потому что бекапы сайта просрочились и потёрлись.
3.Неавторизованный доступ к закрытым бекапам серверов одного из подразделений.
Данных по инциденту нет.
4.Западло.
Работала у нас женщина, ну как сказать дама в отделе.Возникла ситуация в которой все мы бывали.Когда нас спрашивают за нашу деятельность, её результаты и последствия.Человек перенерничал и решил найти другую работу, оставив после себя проткнутый иголкой или булавкой кабель питания компьютера.И по стечению обстоятельств попал он в руки ко мне.Казалось проткнуть иголкой кабель и при определённом его положении жилы замыкаются и вы наблюдаете сноп искр, фейерверк, с трёхэтажными матами выбигаете из кабинета, но это так лирическое.Чуть два мощных компьютера не спалил, а это уже потягивает на материальный ущерб.У меня после этого случая осталось впечатление, что это была какая-то такая студенческая злая шутка.Прокол кстати визуально очень трудно определяется.Нашли мы его с электриком не сразу.
5.Удаление бекапов серверов.Компрометация сертификатов удалённого доступа.
Почти APT ну или наверное он и есть.Потому что слишком таргетировано было.Пока на стадии расследования, но картина более или менее вырисовывается.После увольнения одного из ключевых сотрудников нашего отдела.Стихийное и необъяснимое падение ряда ключевых серверов.
Вот тут то на данном этапе и проявляется вся мощь инсайдерства и того что вырезать уволенного сотрудника из большой сети можно очень долго.Точка входа была обнаружена.
Местами удачный, местами неудачный несанкционированный доступ в ряд филиалов.
6.Полгода и более висящая наружу скомпрометированная виртуальная машина из-за дырявого Apache.В итоге на внешнем периметре компании висел сайт какого-то онлайн казино.
Вырубил машину, так как она вобще не использовалась.Посмотрел что за уязвимости были на Apache.Копирнул к себе, пылится на диске.
7.Бесчисленный брутфорс ssh пограничных маршрутизаторов, шлюзов, почтовых релеев и т.д.
Было в новогодний период с 2014 на 2015.Попыток перебора до 100k.Больше всего с Китая.
Скорректировал правила.
8.Отдаём жёсткие диски с дефектами по гарантии, но данные не удаляем с них.
Удалось предотвратить лично, а то чесслово так бы и отдали не удаляя, вместе со всей корпоративной информацией.
9.Гостевыей wi-fi, вовсе не такой гостевой, а ведущий во внутренние сети компании.
Некорректная фильтрация на самой AP и последствия расширения сети.В итоге с гостевой сети можно делать всё что угодно в локальной.
10.DoS/DDoS.
Вот уже второй день штурмуют пограничный маршрутизатор.Примечательно, что в первый день его очень просто завалили.
Понаписали сетевых правил на входящий трафик.
Поставил в разрыв межу провайдерским оборудованием и нашим ids.Весьма примитивную, но помогающую прояснить что к чему.Не буду рассказывать как она сделана, хотя наверное как-нибудь всё-таки расскажу.Статистику по атакующим хостам напишу позже.В целом как и с пунктом 7 она будет очень показательна.С данным явлением столкнулся впервые.
В первый раз волну отбили.Благо используемое пограничное оборудование, хоть что-то может.В целом synflood.
Следующие мои действия:
получение списка атакующих адресов
их анализ и унификация(география, ответное выборочное сканирование в целях понять с чего валят, ну и мало по палу почему валят, какие уязвимости на атакующих устройствах).Тут верно должен быть мой вопрос к автору Shodan Джону Мэтерли на PHD V о легитимности моих действий по отношению к атакующим.К нему, потому что узлы Shodan мной были не раз уличены в попытках позаходить на разные сервисы со списками паролей и логинов.И вроде как сканирование на уязвимости без ведома сканируемой стороны преступление, в прочем как и наверное сама атака.Вопрос двойных стандартов.
Случайно ли это всё?. Ботнет в гостях чему удивляться. Каждый день как будто бы сталкиваешься.Не в Qrator'е работаю.Есть череда непонятных сокращений в компании.Может сотрудники скинулись с отходных на ботнетик. Почему бы и нет.
Время атак.Как-то совсем невзначай первая атака совпала с моим уходом из офиса.
ЗАДРОТСТВО. Нас атакуют, но нам насрать.Чем нам поможет собранная тобой информация?Она бесполезна.Вот и весь расклад.
В первой атаке, вернее в части её реализации было выявлено порядка 1400 уникальных адресов.
Вторая атака оказалась весьма особенной и повторилась дня через четыре или около недели.На L2TP, хотя пытались проредить и всё остальное пробрасываемое на внешку. По каким-то невыясненным причинам пограничный маршутизатор просто залипал при обработке соединений.И самое забавное атака ушла и правила отключили(не я), тот кто настраивал.
После небольшого усовершенстования правил и их обучения удалось побороть.
Во второй атаке анализ адресов я не проводил.Это же задроство. В бан листе было порядка 32000 адресов.То есть в сравнении 1400 и 32000.Для меня ощутимо.
DoS/DDoS тесты при конфигурировании оборудования вобще и не только пограничного не принято проводить.Генераторами пакетов, утилитами находящимися в публичном доступе.Профилями DoS в сканерах безопасности.Смотреть на реакцию или не реакцию этого самого оборудования.Всё это не принято.
Касательно атакующих устройств, что brutforce, то ddos удивить трудно.Много маршрутизаторов, voip шлюзов, беспроводных точек(очень много Ubiquiti), дырявого PfSense и аналогов, много embedded устройств(камеры, какие-то промышленные контроллеры), adsl модемов(причём один раз попался реально древний годов 2000), ipkvm... В общем что я вам рассказываю.Читаешь вроде как аналитические отчёты, смотришь статистики, но пока лично не увидишь верится с трудом.
11.Фрод через DISA/IVR.
Деталей нет так как, системы мониторинга трафика и совершаемых звонков были в процессе внедрения и настройки.Послужило отличным поводом для того, чтобы перенастроить всё как надо.Результаты от внедрения конечно очень большие.
12.Брутфорс от провайдера.
Когда начинаешь ставить промежуточное оборудование непрофессионального уровня в многоwan'овый поток между провайдером и сервисами компании, анализировать протоколы что приходят в потоке, писать нормальные правила для файрвола, нормальные regexp'ы.В общем всё то что должно быть сделано, но делать на нормальном уровне некому.
Одним из предметов разбора был ssh.Одно из написанных правил зарубило ip адрес из диапазона адресов что и наш.Забавные вещи.Решил проверить.
Оказалось на вредоносном адресе висел интерфейс удалённого управления ipkvm Supermicro.Ну а кто в курсе давнишнего полного набора уязвимостей?Репортнул провайдеру, постарался грамотно разложить что и как.Редкий случай(у меня), когда можешь оправить образец трафика, скриншоты, рекомендации к устранению/к безопасности.Благо вопросом по этому типу устройств занимался в прошлом плотно, да и сейчас иногда приходится.Один из главных моментов кому писать, тех.диру и диру.Ответ в течении 15 минут.Закрыто сразу же.Доброе дело сделано, наверное.
Самым интересным аспектом в этом случае является, не репорт и белая шляпа, а как раз тот самый брутфорс. Набор команд доступный с ipkvm Supermicro вобще никакой, если смотреть под прямым углом.Я к тому что организация транспорта через него и прогон трафика оставляют множество вопросов о способе организации брутфорса.Есть ещё над чем подумать.
13.DDoS от компании занимающейся защитой от этих самых атак.(Не Qrator)
На выходных кто-то очень не хило проредил периметр и часть важных сервисов. Благо кустарно настроенные средства и меры защиты позволили не только устоять, сохранить диапазон адресов атакующих, но и записать трафик атаки. В общем, чем дальше, тем моё скромное:"записывать трафик идущий на важный сервис" начинает нереально тащить в случае 12 и 13.Самым большим удивлением было то, что диапазон атакующих прям как влитой - целая подсеть 254 адреса остались в логах и принадлежали компании занимающейся защитой от DDoS.
Написал им в саппорт письмо с приложением образца трафика.Мне кажется они не ответят.Не знаю почему.
О причинах?На одной площадке провайдера с нами располагаются ещё какие-то крупные проекты(крупнее нашего, кстати надо поинтересоваться с кем рядом работаем-то), которые частенько подвергаются атакам.Как-то год назад даже оборудование провайдера полностью ложили, ну и нас зацепляло само собой.Видимо кто-то пользуется услугами, но что-то не так настраивает.Предположений на самом деле может быть сколь угодно много.
В общем неприятно, но за нагрузочное тестирование спасибо.
...
Комментариев нет:
Отправить комментарий