Ce use case est un résumé des Blitz WarGames, qui ont été organisés pendant la TEHTRIS Week en France.
Nous nous sommes associés à Whaller pour fournir à nos joueurs une plateforme souveraine en français afin qu’ils puissent travailler en équipe tout au long de la journée.
A propos de l’événement :
Dans le cadre d’un exercice fait entièrement à distance, une cyberguerre a été simulée entre une équipe rouge (attaquants) et une équipe bleue (défenseurs) pendant la journée. La nature asynchrone de l’exercice visait à consacrer une matinée entière aux attaquants (sans interruption de la part de l’équipe rouge) et à permettre à l’équipe bleue d’investiguer dans l’après-midi.
4 joueurs de l’équipe rouge ont affronté 7 joueurs de l’équipe bleue aidés par l’équipe violette de TEHTRIS le 14 juin 2023.
Partenariat avec Whaller
Afin d’inclure des acteurs de différentes entités et d’assurer une communication fluide tout au long de l’événement, TEHTRIS s’est associé à Whaller, une société française qui partage l’éthique et les valeurs de TEHTRIS. Whaller a été la première entreprise à obtenir le label » Sovereign Solution » (Privacy Tech) qui certifie les éditeurs de logiciels français qui s’impliquent pour la protection des données.
Nous remercions à nouveau notre partenaire pour cette opportunité de jouer avec eux !
Dans la peau des agresseurs…
L’équipe rouge tombe sur un message récemment publié sur le dark web et y voit une opportunité de gagner de l’argent…
Appel à l’aide !
Notre équipe bleue est alertée après que le client a remarqué des activités suspectes sur la XDR Platform : en tant qu’équipe de réponse aux incidents, elle doit enquêter…
L’infrastructure des Blitz WarGames : le réseau de l’entreprise victime
La WebApp a été configurée en mode détection uniquement, tandis que le système Windows ciblé a été configuré en mode remédiation. L’objectif est d’illustrer l’importance des paramètres de configuration lors du déploiement d’outils de cybersécurité sur une infrastructure.
Déploiement des Blitz WarGames en suivant la chaîne de la cyber kill chain
Reconnaissance (TA0043)
Outils d’analyse
L’équipe rouge a utilisé plusieurs outils pour scanner et ainsi recueillir des informations permettant de continuer à cibler, tels que Nmap (Network Mapper), un outil open-source de découverte du réseau qui peut être utilisé pour identifier les hôtes du réseau et les ports ouverts dans les systèmes trouvés, Fuzz Faster U Fool (FFUF), un fuzzer web, ou Nikto, un scanner de vulnérabilité de serveur web populaire qui peut trouver des vulnérabilités et lister le CVE associé à ces vulnérabilités.
Avec nmap, ils ont trouvé 3 hôtes avec des ports ouverts.
Se laisser distraire… par les Honeypots !
Ces scans ont fourni des informations sur TEHTRIS Deceptive Response, un Honeypot mis en place pour distraire les attaquants et servir de système d’alarme précoce pour les analystes en cybersécurité. Et cela a parfaitement fonctionné !
L’équipe rouge a perdu du temps à enquêter sur le Honeypot, ce qui a renforcé les signaux pour l’équipe bleue : un accès à un leurre doit toujours être investigué.
L’équipe violette est finalement intervenue pour les guider dans l’exercice :
On continue
Une fois remise sur les rails et concentrée sur le bon hébergeur, l’équipe rouge a trouvé la version du site web :
… et a découvert qu’il était vulnérable à CVE-2023-29809, une vulnérabilité d’injection SQL permettant aux attaquants d’exécuter un code arbitraire.
Le point de vue de l’équipe bleue
Du côté de l’équipe bleue, les Honeypots ont parfaitement joué leur rôle et ont servi d’alarme précoce :
Le balayage du réseau par Nmap et Fuzz Faster U Fool, et le balayage des vulnérabilités du serveur web Nikto ont été détectés par TEHTRIS NTA :
Accès initial (TA001)
Exploitation de CVE-2023-29809
L’équipe Red a exploité la vulnérabilité d’injection SQL (T1190) en utilisant SQLMap (outil populaire qui automatise le processus de détection et d’exploitation des injections SQL).
Cela leur a permis d’accéder à la table des utilisateurs stockée dans la base de données du site web et aux identifiants d’accès…
… pour établir une connexion SSH sur le serveur Linux de la victime.
Équipe d’intervention en cas d’incident : par où commencer ?
Rappelez-vous que l’équipe bleue a été appelée pour faire face à une urgence émanant d’un tiers : dans ce scénario, elle ne connaît pas la nature de l’infrastructure ni les vulnérabilités potentielles.
Ils ont donc décidé de vérifier les attaques courantes contre un serveur web, telles que l’injection SQL, la vulnérabilité XSS (cross-site scripting)et l’intrusion dans un fichier local (LFI).
Une injection SQL a été détectée par TEHTRIS NTA.
La connexion SSH est visible dans le SIEM de TEHTRIS, ce qui permet à l’équipe bleue d’obtenir des informations sur l’utilisateur victorh grâce à laquelle les attaquants ont pu s’implanter sur le serveur :
Découverte (TA0007) et accès aux données d’identification (TA0006)
Obtenir des informations sur l’environnement…
Une fois sur le serveur Linux, l’équipe rouge a utilisé LinPEAS pour tenter d’intensifier les privilèges. Ensuite, en naviguant sur la session de victorh, l’équipe rouge a trouvé le fichier admin.zip dans le chemin /home/webadmin/.admin/admin.zip.
Ils ont forcé le fichier zip pour faire apparaître le fichier admin.txt.
…Repéré par l’équipe bleue
L’équipe bleue a trouvé dans les données brutes de TEHTRIS NTA que certains événements indiquaient des transferts de fichiers d’un script bash appelé linpeas.sh utilisant l’utilitaire wget sur le port 8000.
TEHTRIS EDR a déclenché des alertes sur les lignes de commande utilisées par LinPEAS :
L’équipe bleue a constaté que les utilisateurs exécutent la commande group, probablement pour voir si elle appartient aux sudoers. L’équipe bleue pense que la commande find montre que l’utilisateur victorh n’a pas accès à de nombreux dossiers du système.
Ensuite, l’équipe Blue a surveillé certaines commandes scp et cp pour extraire le fichier admin.zip sur le système de l’attaquant.
Tentative de mouvement latéral (TA008) et d’escalade des privilèges (TA004)
Cibler la machine Windows
Dans le fichier admin.txt, l’équipe Red a trouvé les informations d’identification d’une machine Windows (dont l’adresse IP avait été identifiée auparavant par l’analyse nmap) :
Une fois sur Windows, l’équipe rouge a utilisé Metasploit pour intensifier ses privilèges dans l’espoir de mener à bien sa mission. Cependant, ils n’ont pas pu aller plus loin.
Remédiation automatique par TEHTRIS EPP
TEHTRIS EPP a automatiquement tué Metasploit :
vec TEHTRIS NTA, l’équipe Blue a repéré que les attaquants ont utilisé le module Python SimpleHTTP pour transférer le fichier.
Conclusions
L’équipe rouge n’a pas réussi à récupérer le secret demandé par Dark Soldier !
| Mon premier est une partie du corps dont on dit qu’elle reflète le cœur Mon second est un article défini (le plus fréquemment utilisé) Mon troisième est le numéro un dans le pays de tehtris Mon quatrième est en appréciation mais pas en association Mon cinquième est le pluriel latin des paroles de sagesse Mon dernier est l’argot français de l’argent La réponse est ce qui fait avancer tehtris |
Malgré tout, nous avons appris ici de précieuses leçons…
D’une part, la première phase de l’attaque a illustré l’utilité des Honeypots. Agissant comme des pré-alarmes qui ne produisent pas de faux positifs, ils sont d’une aide considérable pour les membres de l’équipe bleue lorsqu’ils identifient les attaquants. TEHTRIS a mis en place un programme de recherche pour surveiller internet et identifier les tendances parmi les acteurs de la menace : pour en savoir plus cliquez ici.
D’autre part, le scénario montre l’importance de configurer correctement les outils de cybersécurité en fonction de l’environnement. La méthodologie utilisée pour affiner la configuration, afin d’améliorer les capacités de remédiation de la XDR, est d’une importance cruciale.
Les solutions de TEHTRIS protègent contre différents types de menaces et jouent un rôle actif dans la protection des données sensibles. La variété des outils permet de surveiller tous types de réseaux informatiques, configurés selon différents paramètres et contraintes, tout en réduisant la surface d’attaque
Retour d’expérience des joueurs
L’évènement était top! Hâte de voir le prochain event 🙂
SOC Engineer – POST Group
Hâte de participer au suivant 😉
Cybersecurity Consultant – TEHTRIS
Rejoignez-nous pour les prochains WarGames
Chez TEHTRIS, nous pensons que les événements de type CTF sont à la fois éducatifs et informatifs. En se faisant passer pour des acteurs de la menace et en s’exerçant à enquêter sur une attaque réelle, nous pouvons tous bénéficier de l’expertise des autres tout en nous amusant !
Vous êtes l’un de nos partenaires ou clients et vous souhaitez participer à un exercice WarGames cette année ? N’hésitez pas à nous contacter pour plus d’informations !
