BlueWars — Capture The Flag Defensivo que aconteceu na H2HC
Em setembro, conversando com Rodrigo Rubira, comentei de um CTF Defensivo na Hackers to Hackers Conference (H2HC) e o mesmo se interessou na hora, ficando assim o desafio lançado para criarmos pela primeira vez essa parte de defensiva de análise de incidentes em um CTF. Eu e o Felipe Pr0teus pensamos em vários hipóteses, dificuldades e situação em tempo real para tornar o ambiente mais real possível, porém como algo novo, resolvemos ir em um modo mais tradicional e sem a necessidade de conhecimento de N ferramentas diferentes (que adicionaremos ao monte em desafios futuros, porém comunicando necessidade conhecimento para os times terem tempo de estudar).
O evento foi lançado no site do CTF H2HC e chamamos de BlueWars, no qual a classificação dos times nele seria parte da pontuação para escolher a equipe vencedora onde o grande prêmio seria uma viagem para o Japão por conta de Trend na final do campeonato deles.
Introdução feita e de forma simplista, montamos um pequeno ambiente composto de cliente Windows, AD, Servidores Web/Linux, configuramos os ambientes para salvarem os eventos em um Elasticsearch (temos curso de Logging e Security Analytics na BlueOps) e criamos por volta de 30 desafios, no qual faríamos a simulação e os eventos seriam gerados e salvos em nosso "SIEM".
Isso sendo feito, situação simuladas e eventos gerados, criamos uma VM com uma cópia de todos os dados que foi distribuída entre os times participante, onde colocamos algumas ferramentas para auxílio da análise de pacotes visto desafio com análise de tráfego.
Utilizamos como plataforma o ctfd.io em nossa máquina localmente, sendo que ao entrar no ambiente o usuário tinha as informações da VM e tinham que se cadastrar para ver os desafios e consequentemente enviar as "flags" encontradas.
Times participantes (blueops e packetwars só foram criados para validar situações porém não participantes do desafio)
Os desafios tinham pontuação diferente baseado na dificuldade e alguns tinham dicas que tirariam parte da pontuação ganha caso fosse utilizado.
Entramos inicialmente somente com 21 dos 30 desafios que simulamos, sendo que faltando 1h30m pro final lançamos o Extra que tinha valor 30 pontos e poderia ser uma reviravolta no jogo.
Os conhecimentos para os desafios proposta foram muito em cima de análise de pacotes (pcap), eventos http e eventid do windows.
Desafio foi bem interessante, durante um bom tempo uma variação na liderança, mas no fim, time ganhador foi pessoal do ELT.
Lembrando que esse não foi o resultado final do CTF, existia uma atribuição valores do BlueWars com os resultados do PacketWars.
Pontos interessantes e estatísticas:
Tivemos bastante flags erradas, mas como o pessoal está acostumado com um padrão FLAG{Conteudo} geralmente nos CTF, o fato de não existir um padrão de nomenclatura foi algo novo para os times.
Alguns erros para mostrar como as flags eram variáveis
Algumas flags foram resolvidas por praticamente todos os times, enquanto outras por nenhum. Numa média a dificuldade foi interessante para esse primeiro desafio, porém já temos em mente alguns challenges BEM complexos =)
A BlueOps oferece esse serviços de validação contínua de conhecimento e resposta a incidentes, incluindo treinamentos nos gaps encontrado para melhorar a parte defensiva da empresa e ambiente.
Quanto a esse BlueWars que realizamos na H2HC, ainda estamos pensando se vamos disponibilizar ele online para galera brincar e entender como foi a brincadeira, além da possibilidade de verem alguns pontos que o time precisará melhorar para desafios futuros.
Espero que quem participou tenha gostado e esperamos em breve criar coisas novas e interessantes para evoluir o lado defensivo e não somente ofensivo das equipes.
E novamente Parabéns do time ELT pela vitória em nosso BlueWars e também no geral do evento. Boa viagem ao Japão.
Happy Detection!
Blue Team Operations (BlueOps)
