CTF - The Catch 2024 - Incident repoting

 Systém pre automatický záznam incidentov zachytil približne hodinu sieťovej prevádzky pochádzajúcej z IP rozsahu AI-CSIRT. Mám analyzovať, či sú tu nejaké incidenty a zahlásiť ich cez AI-CSIRT webové rozhranie na http://incident-report.csirt.ai.tcc/

tip: IP rozsahy pre AI-CSIRT sú 10.99.224.0/24 a 2001:db8:7cc::a1:0/112.

Po stiahnutí a rozbalení záznamu dostanem 326MB veľký PCAP súbor, čo vie dať časovo pri spracovaní zabrať.

Snažím sa robiť všetko cez vzdialené ssh prihlásenie, preto miesto klasického GUI Wireshark použijem command line utilitu Tshark. 

Šlo by tiež použiť Snort, avšak pri poslednej verzii som mal problém s tým, že veľa pravidiel na internete funguje iba na staršej verzii a mám problém ako nastaviť premennú pre domácu sieť v prípade analýzy pcap súboru.

CTF - The Catch 2024 - DNS madness

 Pri správe infraštruktúry musí oddelenie Operations udržiavať veľké množstvo DNS záznamov vo veľa zónach. DNS správca zošalel z obrovského množstva záznamov, sediac pred monitorom nakláňajúc sa sem a tam hovoril opakovane, o jeho doméne infra.tcc ako o nejakom milášikovi z pána prsteňov.

Mám za úlohu preskúmať zóny, záznamy a ich počty, aby sme nabudúce prijali odolnejšieho správcu. Ako pomôcku máme, že než sa zbláznil vravel o sekundárnych serveroch a AXFR/IXFR distribúcií zón.

CTF - The Catch 2024 - Admin Johnson

 Admin Johnson začal testovať zálohovacie procedúry na serveri johnson-backup.cypherfix.tcc. Nechal ale proces rozpracovaný z dôvodu iných zaujímavých úloh. Mám zistiť, či je v súčasnom stave napadnuteľný.

Ako pomôcku dostávam, že admin Johnson nie je dobrý v dodržiavaní hygieny hesiel.

CTF - The Catch 2024 - Long secure password

Prejdem zo sekcie úloh "Miscellaneous" na sekciu "Security concerns".

Nový kolega prišiel s moderným spôsobom, ako vytvoriť zapamätateľné heslá. Rád by ho implementoval ako nový štandard v TCC. Každý používateľ v TCC-CSIRT dostane kartičku so znakmi v mriežke a vyberie si svoje heslo na základe počiatočného políčka, smeru a počtu znakov.

Pre skeptikov zverejnil svoju kartičku a vyzval kolegov na prihlásenie na jeho vlastný SSH server (password-card-rules.cypherfix.tcc) pod jeho loginom "futurethinker".
Mám úlohu overiť slabiny tejto metódy.

Ako pomôcku dostávam, že kolegovo obľúbené číslo je 18 a teda počet znakov hesla bude pravdepodobne tento.

CTF - The Catch 2024 - Old service

 V tiketovacom systéme sa šíria klebety, že niekde na sieti beží stará neudržiavaná služba. Táto môže byť bezpečnostným rizikom, aj keď sa volá 3S - "Super Secure Service". Starší zamestnanci vspomínajú, že mala doménové meno supersecureservice.cypherfix.tcc. Táto neexistuje na aktuálnom DNS serveri, ale nejaká informácia môže byť na starom ns6-old.tcc, ktorý sa bude čoskoro rušiť. Ďalšia úloha za 2 body.

Preskúmaj službu a zisti čo najviac.

CTF - The Catch 2024 - Leonidas

Náš IDS (intrusion detection system) zaznamenal podozrivú komunikáciu medzi zariadením srv-test23.cypherfix.tcc (10.99.24.23, 2001:db8:7cc::24:23) v našom obvode a C2 botnetom Leonidas300. Používateľ a správca zariadenia v jednom nemá poňatia ako je to možné a odmieta vypnúť dôležité testovacie zariadenie (ako VIP si zjavne môže dovoliť komplikovať vyšetrovanie). Ale je ochotný dodať ssh kľúč a testovacieho používateľa pre preskúmanie zariadenia.

Mojou úlohou je analýza incidentu, hlavne čo spôsobuje občasnú detekciu komunikácie s botnetom. Úloha je za 2 body.

IDS je dostupný na http://ids.cypherfix.tcc

CTF - The Catch 2024 - Who is who?

 Prvá úloha v The Catch po prijatí za analytika, ktorú som si vybral. V CSIRT zistili, že analytici si niesú uplne istí v základných pojmoch, skratky sa im pletú. Preto je tu úloha zodpovedať správne na 10 kvízových otázok. Je potrebné vybrať správnu zo 4 možností. Úloha je za 1 bod.

Moje odpovede som napísal malým číslom vpravo, väčšina by mala byť správna.

CTF - The Catch 2024 - Intro

 Prvý októbrový pondelok začal ôsmy ročník The Catch. Počas 3 týždňov bolo možné hravou formou CTF súťažne riešiť úlohy súvisiace s IT bezpečnosťou. Pre zapojenie sa stačilo, po spustení súťaže, zaregistrovať na stránke www.thecatch.cz - zadať login, heslo a mail.

Na webe je bodkovaná deliaca čiara, má bodky v dvoch polohách - vyššie a nižšie. Informácia uložená v dvoch úrovniach, bez zjavných oddeľovačov, je zvyčajne kódovaná binárne. Prepísal som teda bodky do 0 a 1 a preložil cez CyberChef ako 7-bitový ascii reťazec: 20 years of CESNET-CERTS

To bude téma tohto ročníka.

* CESNET-CERTS - je názov CSIRT tímu združenia CESNET od r.2004

0. Introduction (0 bodov)

Vítajú ma, ako sľubného kandidáta, do nového bezpečnostného tímu TCC-CSIRT (The Catch by Cesnet - Computer Security Incident Response Team). Očakáva ma kariéra plná krvi, potu a sĺz, teda vlastne veľkých skúseností, príležitostí a pocitu dobre vykonanej práce. Ak mám záujem, stačí prepísať vlajku :

FLAG{BTb5-QfYb-JzAh-Zte0}

Po zadaní vlajky sa mi odomkla sekcia CSIRT - Training center.