Повертаємось до роботи над помилками після кібернавчань. Цього разу робота над помилками мінімальна, бо помилок ми зробили не дуже багато.
Попередня робота над помилками тут, тут і тут.
Кольорова складова лишається незмінною:
Зелене – це те, що було зроблено добре і вчасно
Червоне – те, що точно можливо було зробити інакше, або в інший час
Синє – ідеї, які з’явились вже після навчання і не були протестовані.
Автоматизувати налаштування -майже всі налаштування Action Plan до CM 2024 були розповсюджені на сервери та робочі станції за допомогою GPO. Є ще думка налаштувати застосування групових політиків кожні 2-3 хвилини. Але ця ідея на етапі обдумування.
Імплементація AD Administrative Tier Model – звичайно, це було реалізовано на досить базовому рівні, але навіть цього було достатньо.
Перевірка AD ACL за допомогою Adalanche – місконфігурації ACL були хитрішими і не очевидними. Adalanche допоміг виявити помилки конфігурації та усунути їх.
Змінити інфраструктуру – ця ідея була озвучена учасником Locked Shields і реалізована нашою командою. Від організаторів ми отримали IIS з бекдором, на якому крутилась лише одна html сторінка. Тому “монстр” IIS був замінений на Simple Web Server.
Відновлення можливості завантаженя ОС командою bcdboot – частина робочих станцій нашого полігону після атаки “хакерів” перестала завантажуватись. Відновились командою bcdboot C:\Windows.
До речі, нижче приклад Scheduled task який, власне, і поламав завантаження робочих станцій
1 |
"%WINDIR%\\tasks\\schtasks.exe" --AddComputerTask --TaskName "OneDrive Update Task-S-1-5-21-1611441000-442026095-4097254215-1000" --Author NT AUTHORITY\\SYSTEM --Command cmd.exe --Arguments "/c schtasks /ru \" NT "AUTHORITY\\SYSTEM\ /create /sc once /sd 11/21/2024 /st 11:00 /tn \\MicrosoftEdgeUpdateTaskMachine\ /tr \\cmd" /c "bcdedit /delete {current} /f & shutdown /r /t 0" "\ /f" --GPOName "Default Domain Policy" |
Ми все ще не вміємо блокувати Cobalt Strike. З цього приводу є певні ідеї. Спробуємо протестувати та реалізувати наступного разу.
Використання Elastic Security. Сама по собі ідея хороша, але потребує доопрацювання. Оскільки конфігурація Elastic агента не була захищена паролем, то “зловмисники” без проблем видалили цей захист.