elfGROUPin valkohattuhakkeri Adversary Tactics -kurssilla

Osallistuin marraskuun lopulla amerikkalaisen SpecterOps:n järjestämään Adversary Tactics - Red Team Operations -koulutukseen, joka keskittyi haastavien tietoturva-uhkien simuloimiseen ja havainnointiin. SpecterOps on useiden tietoturvaan liittyvien avoimen lähdekoodin työkalujen kehityksen takana, kuten BloodHound ja PowerShell Empire, joita käytetään sekä puolustuksen tukena että myös hyökkäyksen mahdollistajina. Odotukset kurssille olivat siis korkealla.

Lähtö oli Oulusta maanantai-iltana, koska kurssi alkoi Brysselissä jo heti seuraavana aamuna klo 9 paikallista aikaa. Saavuttuani iltamyöhään Brysselin lentokentälle, vastassa oli mielenkiintoinen näky. Euroopan parlamentin istuntosali sijaitsee Brysselissä, ja se oli nimenomaan täällä, missä säädettiin 27. huhtikuuta 2016 EU:n tietosuoja-asetus (GDPR).

Tietosuoja-asetuksen vaikutukset näkyivätkin lentokentällä, kun näin ensimmäistä kertaa Googlen mainoksia, jotka liittyivät nimenomaan tietosuojaan ja yksilöiden mahdollisuuksiin hallita omia tietojaan. Sloganeina olivat mm. “Your Data. Your Choice” ja “Choose what data gets saved.”. Saavuttuani hotellille klo 0.30 Suomen aikaan olikin samantien aika käydä nukkumaan, jotta olisin mahdollisimman virkeänä seuraavan päivän koitoksiin.

Google-mainokset lentokentällä

 

4 päivää tiivistä hakkerioppia

Ensimmäisenä päivänä käytiin läpi kurssin käytännönasioita ja red teaming -toimeksiantojen yleisiä periaatteita sekä tutustuttiin kurssin harjoitusympäristöön, joka oli useammasta Active Directory toimialueesta koostuva Windows-ympäristö muutamalla Linux-koneella höystettynä.

Kurssin harjoitusympäristö oli rakennettu siten, että ns. huonosta operatiivisesta toiminnasta (opsec) rangaistiin. Labrakoneille oli asennettu agentti, joka ensiksi antoi hälytyksiä, jos oppilaat käyttivät työkaluja ja metodeja, jotka olivat ns. liian äänekkäitä ja havaittavia. Varoituksien jälkeen, jos niihin ei reagoitu, yhteydet tiettyihin koneisiin katkaistiin ja jalansija verkossa tuli näin ollen saavuttaa uudelleen. Yksi hyökkäyksien havainnointiin ja torjuntaan erikoistunut asiantuntija oli automaattisen agentin lisäksi seuraamassa oppilaiden toimia ja reagoimassa selvästi havainnoitaviin hyökkäyksiin.

Advisory Tactics Red Team Operations -koulutus

Toisena päivänä esiteltiin konsepti, jota kutsutaan englanninkielisellä nimellä ”user hunting”, joka tarkoittaa käytännössä ylempien käyttöoikeuksien omaavien henkilöiden ”metsästämistä” ympäristössä. Tarkoituksena on paikantaa verkossa tietokone, johon tällainen henkilö on kirjautuneena. Tämän jälkeen pyritään eri menetelmien avulla siirtymään tällä koneelle ja varastamaan koneen muistissa olevat käyttäjän tunnukset, mikä onnistuessaan mahdollistaisi laajemman pääsyn resursseihin ympäristössä ja näin ollen pääsyn myös arkaluontoisiin tietoihin.

Kolmantena päivänä puhuttiin paljon Kerberoksesta, joka on erityisesti Windows-ympäristöissä keskeisesti käytetty todennusprotokalla, ja siihen liittyvistä väärinkäyttömenetelmistä. Yksi näistä menetelmistä on ns. Golden Ticket, jonka avulla voidaan myös myöhemmin saada pääsy ympäristöön ylemmillä käyttöoikeuksilla, kun ne on kerran saatu.

Neljäntenä eli viimeisenä päivänä oli harjoituksen yhteenveto ja paljastettiin kaikki reitit, joiden avulla oli mahdollista saavuttaa hyökkääjän tavoitteet. Monet kurssilla läpikäydyt asiat ja menetelmät olivat jo ennestään tuttuja, ja tässä oli esiteltynä vain muutamia. Kurssilla asioihin paneuduttiin kuitenkin huomattavasti syvemmälle ja erityisesti oppeja sain lisää eri hyökkäyksien havaitsemiseen liittyen.

Lento takaisin Suomeen oli vasta seuraavan päivän aamuna, joten ehdin nopeasti käydä hieman nähtävyyksillä. Teinkin pienen kävelyreissun, jossa piipahdin pakollisella Mannekin Pis pronssipatsaalla sekä Euroopan parlamentin istuntosalin rakennuksen luona. Kaiken kaikkiaan matka ja kurssi onnistuivat erinomaisesti ja oppeja jäi vielä paljon käytäväksi myöhemmin läpi.

SpecOps Advisory Tactics kurssi Brysselissä

 

Share This Story, Choose Your Platform!

About the Author: Miika Rinne

Miika Rinne

Miika on elfGROUPin kyberturvallisuusasiantuntija. Eettinen hakkerointi on hänen erityinen kiinnostuksenkohteensa ja työssään hän keskittyykin tietoturvakartoituksiin ja haavoittuvuuksien metsästykseen. Vapaa-aikakin kuluu pitkälti kybermaailmassa, mutta Miika mielellään myös lukee kirjoja ja harrastelee urheilulajeja laidasta laitaan.