ITMO学生赢得俄罗斯最大的信息安全网络比赛“OpenBonch 2022”

ITMO学生赢得俄罗斯最大的信息安全网络比赛“OpenBonch 2022”

ITMO))) 团队在全俄信息安全网络比赛“OpenBonch 2022”中获得第一名。 ITMO 信息技术安全学院的学生在 15个团队中率先清查所有网络犯罪,并在 100 分中获得 这次比赛的最高分89分。

10月5日至10月7日,网络安全奥林匹克区域资格赛最后一轮的获胜者和获奖者齐聚SPbSUT超级决赛。在 500 多名参与者中,只有 64名学生能够进入 OpenBonch 2022,他们代表了来自全国各地的 15 所大学。

ITMO由信息技术安全学院的一年级和二年级硕士生组成。作为 ITMO))) 团队的一员,他们已经成功解决了不止一个网络犯罪:今年 4 月的CyberSPbSUT 2022 信息安全奥林匹克竞赛,以及 6 月首次举行的国际网络演习在圣彼得堡国际经济论坛。此外,在空闲时间,他们作为FaKappa 团队参加赢得了各种 CTF 比赛。

在 OpenBonch 2022 上,所有网络犯罪均使用经典办公室的数字孪生模型进行模拟,该模型模仿了一家 IT公司的基础设施。犯罪分子进入系统并将对员工很重要的信息加密。在四个小时内,参与者必须写下网络犯罪分子的所有步骤,清除恶意软件,恢复损坏的文件,还要找到并解密“标志”——比赛组织者在其中一个虚拟机中留下的任意短语数字孪生的机器。

ITMO))) 团队设法在三个小时内解决了所有问题。参与者通过他们自己对如何攻击公司基础设施的了解来揭示整个行动序列(在工作中,以及在其他网络演习中,人们经常为需要破解系统的“红色”团队效力),以及MaxPatrol SIEM 程序,它允许您构建完整的数字基础架构模型,并收集和分析有关其中发生的所有事件的信息。为了防止勒索软件的行为,学生们使用了标准的Linux 和 Windows 实用程序。

结果,团队获悉,攻击者利用 Log4shell 漏洞侵入了公司的公司网站。然后他利用了另一个漏洞——ProxyLogon,它允许在Microsoft Exchange 服务器上执行代码。这就是攻击者如何远程访问邮件服务器的方式。然后他打算转储 lsass.exe进程——也就是创建一个当前运行该程序的 RAM 部分的副本,并获得 ivanov帐户,但该脚本并没有为比赛的组织者启动。据传说,网络犯罪分子仍然有一个帐户和进入新域计算机的能力。它执行了 sAMAccountName
欺骗 (noPac) 攻击并获取了对域控制器的访问权限。然后,通过攻击
DCSync,他获得了域中的所有凭据,使用邮件服务器帐户窃取了所有邮箱,并在文件服务器和公司站点服务器上启动了勒索软件。

但网络演习的组织者没有运行其中一个脚本——lsass.exe 进程的转储。正如 ITMO 团队队长 Georgy Gennadiev指出的那样,这使事情变得复杂,因为参与者没有足够的信息来继续网络调查。

“转储 lsass.exe 进程是一项非常嘈杂的活动,因为大多数防病毒和 EDR解决方案都会检测到它。使用它,跟踪攻击者的动作顺序会容易得多。没有转储迫使我们寻找一个更长的外壳,其中充满了 ProxyLogon漏洞,因此,我们了解到这个特定的漏洞已被利用。这也影响了后续调查——没有清楚地了解获得了哪些证件。我们不得不跳过一步,然后回到它,”他说。

尽管如此,“ITMO)))”团队的成员还是能够完成对网络事件的清查,即使脚本不起作用。结果,他们获得了 89 分,成为 OpenBonch2022 的第一名。并且在11月itmo团队将参加俄罗斯ctf杯的资格赛。

网络竞赛 OpenBonch 2022在国家网络试验场的支持下作为国家计划“俄罗斯联邦数字经济”的联邦项目“信息安全”的一部分举行。此外,比赛的前三名获奖者包括来自以 M.V.
Lomonosov 命名的北方(北极)联邦大学和以 M.V. Lomonosov 命名的喀山国立研究技术大学的学生。 A. N.图波列夫。所有获奖者都获得了个性化的证书和礼物。

Content © 1993–2024 ITMO University
Development © 2014 ITMO University