It тренировъчни сценарии

1. SQL Injection

В този сценарий организацията е директно атакувана от нападател. Серия от пропуски в сигурността при внедряването на средата позволява на атакуващия да използва услуги, достъпни от външната мрежа, за да получи достъп до вътрешни системи, да извлече привилегирована информация и да се намеси в бизнес процесите. С тази атака обучаемите изследват как различни „прости“ грешни конфигурации могат да бъдат използвани от опитен нападател за генериране на критично бизнес въздействие.

2. WMI Worm

При този сценарий обучаемите са изправени пред огнище на червей във вътрешната мрежа. От тях се изисква да анализират потока от атаки, да използват криминалистични инструменти и да извършват основен анализ на зловреден софтуер/обратно инженерство, за да смекчат заплахата. Атаката симулира характеристиките на съвременна бот-мрежа и се фокусира върху развитието на способности за реакция в реално време.
 
3. Apache Shutdown

Този сценарий емулира атака срещу обществено достъпни услуги на дадена организация. Атаката прекъсва работата на услугите и използва основни методи за укрепване на позициите на атакуващия в системата. При този сценарий обучаемите се сблъскват с прекъсване на критични бизнес компоненти и трябва да действат бързо, за да поддържат възможно най-голяма работоспособност и да смекчат атаката. Те също така се запознават с основни нива на други аспекти на веригата на атаката, като домакинство и постоянство.
 
4. Trojan Data Leakage

Фишингът, един от най-широко използваните прословути начини за проникване в организация, се възползва от слабостта на човешкия фактор чрез социално инженерство. Обучаваните изживяват от първа ръка цялата верига от атаки на една успешна фишинг атака, която включва както проникване, така и извличане на чувствителна информация.
 
5. Java Applet NMS Kill

Тази атака емулира атака от тип водна дупка, при която атакуващият седи и чака жертвата да извърши очаквано действие, като например разглеждане на определен уебсайт. Вторият акцент в този сценарий е върху нападателя, който „заслепява очите“ на организацията, като влошава услугите за наблюдение, докато извършва други злонамерени дейности.
 
6. Java Applet Send Mail

Сценарият започва като атака с водна дупка и след това продължава с акцент върху ексфилтриране на вътрешни данни чрез „подслушване“ на всички вътрешни имейл комуникации в компанията.

7. Killer Trojan

Векторът на атака, избран от нападателите в този сценарий, е заразяване на компактдиска за офис инсталация. Това може да бъде извършено чрез намеса във веригата за доставки или чрез подмяна на диска в самата целева компания.

8. Ransomware

При този сценарий системата изпраща имейл, заразен с ransomware. Имейлът се представя като легитимен имейл с прикачен файл в Word. След като нищо не подозиращ служител отвори документа, файловете в системата се криптират и от служителя се иска да плати откуп, за да получи ключа за дешифриране. Обучаемият се обучава да открива и анализира атаката, също така как да реагира на нея, как да проучи имидж, съхранен на CNC сървър и да използва разкритата информация за разрешаване на случая.

9. Trojan Share Privilege Escalation

В този сценарий троянски кон се изпраща по имейл до пощенската кутия на потребителя. Нищо не подозиращият потребител стартира изпълнението на троянския кон. След като троянският кон стартира изпълнението си с потребителски привилегии, то той е с ограничени права. За да повиши своите привилегии, троянският кон локализира скриптов файл в публично достъпен мрежов дял. След това троянският кон инжектира скрипта с команда, която му позволява да създаде нов административен акаунт. Използвайки новия акаунт, троянският кон прониква в сървъра на базата от данни и го използва като шлюз за качване на секретни файлове на уебсайта на организацията и причинява голямо изтичане на публични данни.

10. DDoS SYN Flood

В този сценарий нападателят използва много интернет ботове, за да генерира голямо количество трафик към един от уеб сайтовете на организацията.
Трафикът наводнява и в крайна сметка претоварва капацитета на мрежовите връзки и ресурсите на целевия сървър, парализирайки го и причинявайки отказ на услуга (DoS) на уеб сървъра.

11. DDoS DNS Amplification

В този сценарий атакуващият използва DNS сървъра на организацията, за да проведе много по-широка DNS усилваща атака, базирана на отражение, разпределена атака за отказ от услуга (DDoS).
Нападателят изпраща DNS заявки за търсене с подправен IP адрес на изпращача (целта на атаката) до уязвими DNS сървъри, които поддържат отворени рекурсивни препредавания, като нашия DMZ-DNS сървър.
Големият брой DNS отговори се изпращат „обратно“ към целта, сякаш тя ги е поискала, наводнявайки мрежовата връзка (надвишавайки нейния капацитет) и ресурсите на целта на атаката, парализирайки сървъра и причинявайки отказ на услуга (DoS).

12. DB Dump via FTP Exploit

В този сценарий системата емулира атака, като използва известна уязвимост във ftp сървъра на Pro FTP daemon [OSVDB 69562], за да получи root права за FTP сървъра.
След това нападателят изключва FTP услугата и отваря SSH услуга, слушаща на същия порт като оригиналната FTP услуга. Използвайки услугата SSH на FTP порта, атакуващият използва своите привилегии, за да картографира вътрешната мрежа в търсене на DB сървър (базата от данни).
Когато открие DB сървър, атакуващият създава SSH тунел през FTP сървъра, който позволява директна SQL връзка към DB сървъра.
След като се постигне директна SQL връзка, системата използва брут-форс атака, за да получи достъп до SQL сървъра, и извлича данните като използва достъпения вече списък на таблиците.
Атаката се извършва от злонамерен лаптоп, който е свързан към потребителския сегмент.

13. Web Defacement

В този сценарий системата емулира брут-форс атака срещу SSH демона на Apache уеб сървър. След успешна брут-форс атака, атакуващият заменя уебсайта по подразбиране със собствен „хакнат“ уеб сайт. Обучаемият трябва да идентифицира и разбере тази атака и да препоръча как да бъде спряна.

14. SIEM-Disable

В този сценарий нападателят използва брут-форс атака, за да получи достъп до обществен рутер. При успешно влизане в рутера, атакуващият променя уеб страницата за конфигурация на рутера, за да пренасочи потребителите към PDF, който съдържа злонамерения товар. Когато документът се отвори, злонамереният товар се изпълнява, което отваря отдалечена сесия към атакуващата машина.

15. WPAD Man-in-the-middle

В този сценарий системата извършва Man-in-the-Middle (MiTM) атака в мрежата. Нападателят мами хостовете, като се представя за легитимен прокси в сегмента. Той прави това, като използва заявките към системата за имена на домейни (DNS) за намиране на уеб прокси - Web Proxy Auto-Discovery (WPAD). След като целият трафик от потребителския сегмент премине през нападателя, чувствителните данни се извличат и ексфилтрират към CNC сървъра в интернет с помощта на два различни метода - ICMP пакети и DNS заявки.

SCADA protocol scenarios (critical infrastructure)

15.1. HMI – Overloading the Plant

Този сценарий показва опасностите от атаки, които произхождат от вътрешната мрежа. В сценария нападателят инициира атаката срещу SCADA мрежата от вътрешната мрежа на компанията. Той използва и компрометира станцията за управление на SCADA системата с HMI (човек-машина интерфейс). След пълно компрометиране, атакуващият качва зловреден софтуер, предназначен да остане като част от HMI и да се свърже с физическите PLC (програмируем логически контролер), за да унищожи напълно централата чрез претоварване на турбините.

15.2. VPN – Shutting Down the Plant

Този сценарий демонстрира опасностите от атаки, които произхождат от интернет и осигуряват VPN достъп до SCADA мрежата. В сценария атаката започва с използване на добре известната уязвимост, Heartbleed, на VPN сървъра, който се намира в SCADA мрежата. След успешна експлоатация, нападателят може да получи достъп до SCADA мрежата от интернет (използвайки VPN). Нападателят продължава да се свързва с PLC (програмируем логически контролер) и спира завода/инсталацията.

15.3. Field 2 Field – Silent Attack

Това е усъвършенстван сценарий, при който от обучаемите се изисква да разследват "тиха" атака на SCADA мрежата чрез анализиране на протокола, който се използва в SCADA мрежите. Нападателят е проникнал в мрежата, която се намира извън самата централа (отдалечено „поле“). Оттам той сканира мрежата и атакува PLC (програмируем логически контролер), които се намират във фабриката. Атаката се изпълнява по "тих начин", без да се повишават никакви физически индикатори. За да разберат какво точно постига атаката, обучаемите ще трябва да проучат Modbus протокола, използван в SCADA мрежите. На обучаемите се предоставя списък с препратки към протокола и PLC.

Инструменти :
- SIEM: Arcsight.
- FW: Check Point FW.
- Zenoss.
- VSphere Client.