На Positive Hack Days 2 команды Positive Technologies и Innostage совместно организовали одно из крутейших ИБ-соревнований сейчас — Всероссийскую студенческую кибербитву (для своих — ВСКБ). В этом материале расскажем, как готовились атакующие и защитники, как проходила сама кибербитва и с чем из неё вышли все причастные.

Студенческая кибербитва отличается от большинства CTF-чемпионатов тем, что задача атакующих команд – проведение полного цикла кибератаки и реализация недопустимого события, а задача команд защитников — обнаружение и раскручивание всей цепочки произведённой атаки.

Красные на полигоне: инфраструктура Standoff 365 и интро Positive Technologies

Главным новшеством на студенческой кибербитве в этом году стало участие красных (атакующих) команд, а также инфраструктура, максимально приближенная к той, которую лучшие белые хакеры исследовали на кибербитве Standoff 13. За этими новациями стояла команда Positive Technologies — эксперты Standoff и направления Positive Education.

Все студенческие команды действовали бок о бок участниками основной кибербитвы: они делили общие пространства, могли общаться и перенимать опыт.

Всего на отборочные мероприятия красных команд ВСКБ подали заявки более 50 вузов, в том числе такие, как МГТУ им. Н.Э. Баумана, НИУ ВШЭ, университет ИТМО, РТУ МИРЭА и др. Отбор участников проходил в течение месяца на онлайн-полигоне Standoff 365 — платформе для профессиональных исследователей безопасности, среди которых есть действующие пентестеры ведущих команд ИБ-компаний России.

Чтобы пройти отбор, соискателям нужно было набрать определенное количество баллов, выполняя задания на онлайн-полигоне. В процессе участники применяли реальные техники атак, а также знакомились с форматом кибербитвы, общались с коллегами, взаимодействовали с организаторами и техподдержкой. В результате в финале собралась чертова дюжина: 13 лучших команд по итогам отбора стали участниками ВСКБ.

Как и в реальных условиях, команды исследователей анализировали инфраструктуру полигона без дополнительных вводных. При этом эксперты использовали традиционный для Standoff формат «интро»: тимлиды Positive Technologies, участвующие в организации кибербитв, проводили демо, объясняли правила, особенности, верхнеуровневое устройство инфраструктуры битвы и отвечали на вопросы.

«Многим студентам хорошо знаком формат CTF. Для погружения в наш контекст с капитанами каждой команд вуза была проведена коммуникация, уточнялись проблемные и непонятные моменты, отправлялись гайды и информационные материалы об инфраструктуре Standoff и формате кибербитв. Мы старались сделать “вход” в кибербитву для студентов максимально легким и понятным», — говорит комьюнити-менеджер Standoff 365 Карина Зайцева.

Тройка призеров среди красных команд по итогам ВСКБ выглядела так:

• Team8 (Краснодарское высшее военное училище имени генерала армии С. М. Штеменко)

• N0N@me13 (Академия ФСО России)

• LaCringe (Дальневосточный Федеральный Университет)

Подготовка синих: менторство Innostage и Киберполигон

Несмотря на достаточно большой багаж теоретических знаний, студентам направлений информационной безопасности часто не хватает профильной практики. По сравнению с прошлой ВСКБ в Казани на Kazan Digital Week мы в Innostage усилили процесс подготовки команд: в течение полутора месяцев проводили встречи и тренировочные сессии с будущими участниками кибербитвы со стороны защитников.

Из более 50 заявок со всей России для участия в ВСКБ мы отобрали 8 команд: эксперты опирались на резюме и опыт участников. В курсе подготовки было 9 блоков: 6 теоретических и 3 практических. Среди тем — знакомство со средствами защиты информации, системы управления информационной безопасностью, сетевое обнаружение аномалий, веб-приложение firewall и другие.

Тренировки проходили на киберполигоне Innostage, практической площадке, где у студентов была возможность применить полученные знания в реальных условиях. Для обучения Innostage использует реальный аналитический контент, на котором можно разбирать направления и техники атакующих.

Даниил Романовский, ведущий аналитик информационной безопасности, ментор команды Innostage:

«Даже у самых продвинутых студентов почти нет практических знаний. Они могут знать о последних технологиях, но у них нет возможности самостоятельно изучить интерфейсы этих инструментов, разобраться, что и куда вводить. Это тоже может замедлять скорость расследования инцидентов и реагирования на них. Поэтому обучение на киберполигоне даёт возможность пощупать реальные инструменты тем, у кого нет другого доступа к ним».

Менторы постоянно находились на связи: проводили вебинары, где разбирали основные вопросы от команд, вели чат, где можно было оперативно получить консультацию.

Кроме непосредственно знаний, во время обучения менторы развивали и софт скилы подопечных. Для таких соревнований, как кибербитва, важна работа в команде, чёткая коммуникация и умение расставлять приоритеты. Тестовые задачи помогали прокачивать эти навыки, что хорошо сказалось на успехе команд. Студенты, которые не стеснялись задать глупый вопрос, показывали лучший результат по итогу подготовки и самой битвы.

Ход битвы: интересные цепочки атак

В 2024 Всероссийская студенческая кибербитва проходила на цифровой модели инфраструктуры объекта OffEnergo, который занимается генерацией электроэнергии, её распределением и сбытом. Работу компании поддерживает административный департамент, обеспечивающий документооборот, и исследовательский центр, который активно занимается научной деятельностью, разработкой и внедрением новых технологий выработки электроэнергии.

На полигоне ВСКБ было заложено 5 недопустимых событий (НС):

• Утечка новой технологии для генерации электроэнергии

• Утечка данных контрагентов

• Утечка персональных данных клиентов

• Захват информационного портала

• Распространение вируса-шифровальщика.

Команды красных реализовали все недопустимые события, поэтому у синих было достаточно работы.

Разберём две интересных цепочки недопустимых событий.

Захват информационного портала

Действия Атакующих.

1. Атакующие с ip адреса 10.117.2.53 с помощью метода PUT протокола HTTP загрузили файл fdhugfjhgdjhfgd.php на портал www.student.stf. Это был их первоначальный доступ.

2. Атакующие передают свои команды методом POST при обращении к загруженному файлу через переменную feature. Сама же команда находится в теле запроса и выглядит следующим образом: cmd=ls&cwd=%2Fvar%2Fwww%2Fhtml%2Fuploads. В это же время в SIEM наблюдается запуск команды /bin/sh -c ls /var/www/html/uploads от имени УЗ www-data, что позволяет защитникам сделать вывод об успешно работающем веб-шелле атакующих.

3. Атакующие провели локальную разведку, проверили директории и запустили утилиту wget, при помощи которого с публичного файлообменника был скачан файл X5coXCyREV2a, – так атакующие загрузили следующую стадию вредоноса.

4. Файл был переименован в stf_malware_battle_7_a57682d420.bin

5. После чего с помощью стандартной команды chmod 777 атакующие выдали файлу права на исполнения.

6. Далее файл был переименован в stf_malware и был запущен из папки /tmp/, тем самым позволяя Атакующим полностью скомпрометировать машину.

Действия Защитников.

1. Проанализировали трафик в WAFe и обнаружили PUT и POST запросы к порталу.

2. Проанализировали данные в SIEM-системе: отследили работу с хоста под УЗ "www-data": переименование файла, выдача права на исполнение и запуск файла.

Время расследования инцидента со стороны «синих» — полтора часа.

Утечка персональных данных клиентов

Действия Атакующих

1. Атакующие «пробили периметр» с помощью социальной инженерии. Они отправили фишинговое письмо с вредоносным вложением и завладели хостом 10.147.0.133 (bbradford.student.stf)

2. Вложение из письма было открыто - вредоносный Word документ. Из него по цепочке процессов запустилась командная оболочка powershell.exe, содержащая маяк Атакующих

3. Далее они повысили свои привилегии с помощью утилиты из линейки «картошек». В частности, была проэксплуатирована GodPotato.

4. С помощью туннелирования трафика (pivoting), после того как попали в сеть компании на хост bbradford, Атакующие пробили портал компании с помощью SQL-инъекции, как бы с хоста bbradford, и забрали ПДн клиентов.

Действия Защитников

1. Проанализировали данные в SIEM-системе и обнаружили подозрительную цепочку процессов от зараженного документа: winword который запускает rundll32, а следом за ним powershell. Выглядит, как работа макросов.

2. Обнаружили работу утилиты GodPotato.

3. Решили смотреть на сетевую активность с хоста bbradford в PT NAD, увидели большое количество HTTP-трафика и решили изучить его в PT AF. Файрвол в свою очередь увидел SQL-инъекции к порталу portal.student.stf, которые увидели и Защитники.

Время расследования инцидента со стороны «синих» — два часа.

Кто за этим стоит: студенты, менторы и организаторы о ВСКБ

В этом году студенческая кибербитва сполна оправдывала звание всероссийской: команды-финалисты представляли самые разные города, их география охватила практически все часовые пояса страны: Москва, Санкт-Петербург, Ярославль, Мурманск, Краснодар, Нижний Новгород, Казань, Магнитогорск, Омск, Тюмень, Оренбург, Благовещенск, Владивосток.

Среди самих команд тоже были интересные случаи: например, команда красных Gone with the wind из Казанского национального исследовательского технического университета ранее выступала на стороне синих. В этом же году соперниками стали их коллеги, команда BLUE WATER из Казанского федерального университета. Более того, студенты из одного университета стали соперниками друг для друга – команды из ДВФУ И РТУ МИРЭА расположились на обеих сторонах битвы. 

Кибербитва — отличный буст карьеры студента в ИБ. Практический опыт, полученный на соревнованиях, сразу повышает ценность в глазах работодателя, а иногда и обеспечивает место в ведущих ИБ-компаниях

Нина Шипкова, руководитель направления Академия кибербезопасности Innostage:

«ВСКБ – это о стремительном развитии, преемственности, получении навыков менторства и наставничества. Классный кейс, иллюстрирующий такой подход: студенты, прошедшие обучение в проекте Межвузовского SOC в Казани, стали участниками первой ВСКБ, затем прошли собеседование и стали аналитиками Центра противодействия киберугрозам Innostage SOC CyberART, а потом стали менторами команд защитников ВСКБ на PHD 2. Ребята вовлечены и стремятся самостоятельно влиять на отрасль и обучение — нас это заряжает и мотивирует делать ещё больше».

Олег Игнатов, руководитель отдела взаимодействия с вузами Positive Technologies:

Набрать команды в довольно короткие сроки для команды Positive Education было задачей со звездочкой. Так как студенческая кибербитва это новый проект, нам приходилось проводить с вузами большую разъяснительную работу. Мы вели переговоры одновременно с 70 вузами и сузами. Хороший отклик мы получили от академического комьюнити, преподаватели активно откликались и быстро понимали, что для вузов и для самих студентов это отличная возможность измерить уровень своих практических компетенций и понять, насколько они готовы к реальным задачам. Также это импульс для создания собственных лабораторий и полигонов для подготовки комьюнити и специалистов внутри вузов. Безусловно это возможность понять свои слабые места и увидеть, над чем стоит поработать, добрать навыки. Победы в таких соревнованиях так или иначе показывают экспертизу каждого отдельного вуза, тот критерий, за которым всегда пристально наблюдает бизнес как работодатель.

Всероссийская студенческая кибербитва — событие, которое объединяет студентов в ИБ по всей России, обеспечивая им новые возможности. В сентябре мы снова соберем синих и красных на киберполигоне: ВСКБ снова вернется в Казань на Kazan Digital Week. Ждём команды и уже готовим испытания — следите за анонсами.