Остановка Игры

Есть два приема остановки игры, чтобы пересмотреть трактовку положения на поле.

а. Судья переигровки и его команда должны пересмотреть каждый игровой момент игры. Он может остановить игру в любой момент до того, как мяч будет легально введен в действие (Исключение: Правило л) всякий раз, когда он считает, что:

1. Есть обоснованные доказательства, чтобы полагать, что ошибка была сделана в исходном положении на поле.

2. Игровой момент подлежит пересмотру.

3. Любое аннулирование положения на поле, которое последовало после бесспорного видеосвидетельства, оказало бы прямое конкурентное влияние на игру.

б. Главный тренер любой команды может просить, чтобы игра была остановлена и игровой момент пересмотрен, оспаривая положение на поле.

1. Главный тренер начинает этот спор, взяв перерыв команды до того момента, как мяч будет легально введен в игру (Исключение: Правило л) и ставит в известность рефери о том, что он оспаривает трактовку предыдущего игрового момента. Если возражение главного тренера принимается, у него остается возможность возражения, которое он может использовать только еще 1 раз во время игры. Таким образом, у тренера может быть в общей сложности два возражения, и только если его первоначальное возражение принимается.

2. После того, как просмотр закончен, если трактовка положения на поле полностью изменена, не назначается лимитный командный тайм-аут.

3. После того, как просмотр закончен и трактовка положения на поле не полностью изменена, назначается командный тайм-аут, поскольку один из трех разрешается для команды в этой половине или один разрешен во время дополнительного периода.

4. Главный тренер не оспаривает положения, в котором была остановлена игра, и решение было уже принято судьей переигровки.

5. Если главный тренер просит лимитный командный тайм-аут чтобы оспорить положение на поле, и игровой момент, который оспаривается, не является подлежащим пересмотру, то тайм-аут должен быть принят во внимание, поскольку один из трех разрешен его команде во время этой половины игры или один разрешен во время дополнительного периода.

6. Главный тренер не может оспаривать положения на поле, если все тайм-ауты команды использованы для этой половины или в дополнительный период.

Есть два способа остановки матча для пересмотра судейского решения, принятого на поле.

a. Судья на повторе и его персонал должны пересматривать каждый розыгрыш. Судья на повторе может остановить матч в любой момент до того, как мяч будет легально введен в игру (Исключение: Правило c) всякий раз, когда он считает, что:

1. Есть весомые доказательства полагать, что ошибка была допущена в первоначальном решении на поле.

2. Игровой момент подлежит пересмотру.

3. Результат пересмотра розыгрыша будет иметь прямое влияние на исход матча.

b. Главный тренер любой команды может просить, чтобы матч был остановлен и игровой момент пересмотрен, сделав вызов о пересмотре решения на поле.

1. Главный тренер инициирует такой вызов, беря командный тайм-аут до момента ввода мяча в игру (Исключение: Правило c) и уведомляя рефери о том, что он хочет оспорить вынесенное на поле решение, касающееся предыдущего розыгрыша. Если такие действия тренера увенчались успехом, то в течение матча он имеет право сделать вызов еще один раз. Таким образом, в общей сложности тренер имеет право на два вызова тогда и только тогда, когда первоначальный вызов увенчался успехом.

2. После того, как просмотр закончен, если и вынесенное на поле решение отменяется, командный тайм-аут не списывается.

3. После того, как просмотр закончен, и вынесенное на поле решение остается в силе, с команды списывается один из трех данных ей на каждую половину тайм-аутов или один, данный на каждый дополнительный период.

4. Главный тренер не имеет права оспаривать решение, повлекшее остановку матча, вердикт по которому уже был вынесен судьей на повторе.

5. Если главный тренер просит командный тайм-аут, чтобы оспорить решение на поле, но игровой момент, который оспаривается, не подлежит пересмотру, с команды списывается один из тайм-аутов или один, данный на каждый дополнительный период.

6. Главный тренер не может оспаривать решения на поле, если все тайм-ауты команды для этой половины или для дополнительного периода были исчерпаны.

Утвержденное решение

I. Середина четвертой четверти, третья и 10 на А Команда А отстает со счетом Несущий мяч игрок А22 остановлен, его колено находится на А Судьи выставляют мяч на А, хотя не исключен вариант того, что перед приземлением игроку А22 удалось пронести мяч до А РЕШЕНИЕ: По общему правилу такой розыгрыш подлежит пересмотру для уточнения возможного набора первой попытки. Однако учитывая счет и количество оставшегося времени, такой розыгрыш пересмотрен не будет, поскольку его результат не окажет весомого влияния на результат матча. Если главный тренер бросит вызов, его просьба будет удовлетворена, поскольку правила разрешают пересмотр данного розыгрыша.

II. Главный тренер, не исчерпавший возможности воспользоваться правом вызова, бросает его на розыгрыш, подлежащий пересмотру. Судья на повторе выносит решение в пользу главного тренера и отменяет решение на поле. РЕШЕНИЕ: Команда не штрафуется командным тачдауном. Главный тренер имеет право воспользоваться еще одним вызовом в течение матча.

На кибербитве Standoff 11 в виртуальном государстве F впервые представили атомную промышленность. Задачей атакующих (red team) было реализовать недопустимые события на виртуальной АЭС, а защитников (blue team) — расследовать атаку с помощью продуктов Positive Technologies. Как все прошло? Заглядываем в ретроспективу событий, сохранившихся в SOC, за который на Standoff отвечал наш соорганизатор Innostage. Атаку шаг за шагом распутывает Данил Лобачев, специалист группы обнаружения атак на конечных устройствах экспертного центра безопасности Positive Technologies (PT Expert Security Center).

В атомной промышленности мы выделили основные отраслевые элементы и этапы — от добычи урановой руды до захоронения отходов. По сценарию кибербитвы для атак доступны АЭС (включая электроподстанцию) и завод по обогащению урана.

Во второй день противостояния на виртуальном заводе перестали работать несколько центрифуг. Атакующим удалось проникнуть во внутреннюю сеть предприятия и отправить контроллеру соответствующую команду. В реальной жизни изменение скорости вращения центрифуг может привести к остановке обогащения урана и откатить буквально все до ноля. Это просто недопустимо для бизнеса. К тому же при неправильном изменении частоты вращения центрифуга может разрушиться. На восстановление обогащения ушло бы несколько месяцев.

Кстати, в реальном мире такое уже случалось: вирус Stuxnet отбросил ядерную программу Ирана на два года назад.

Реализация недопустимого события

Центрифуга для обогащения урана управляется программируемым логическим контроллером (ПЛК) SIMATIC S7. Семнадцатого мая «синие» зафиксировали остановку контроллера с помощью системы глубокого анализа технологического трафика — PT Industrial Security Incident Manager (PT ISIM). Команда остановки была отправлена с узла, имеющего IP-адрес ; запомним его для расследования.

Так как взаимодействие с ПЛК происходит по му порту, можно обратиться к системе поведенческого анализа сетевого трафика — PT Network Attack Discovery (PT NAD) — и посмотреть, зафиксировала ли она такую активность. Для этого необходимо отфильтровать трафик по времени и известным параметрам: по IP-адресу источника и назначения, а также по порту источника.

Видим несколько сессий, подходящих под временной отрезок: вероятно, команда красных несколько раз пыталась совершить сие злодеяние. Также в колонке «Домен отправителя» отображается имя узла, с которого проведена атака; эту информацию запоминаем.

PT NAD позволяет скачать дамп сессии для более глубокого анализа. Сделаем это.

В скачанном дампе видно, что атакующий посылает пакет с кодом 0x это означает остановку контроллера.

Итак, нам известны доменное имя узла, с которого совершалась атака, порт и время инцидента. Негусто. Обратимся к MaxPatrol SIEM с имеющимися вводными. Отсортируем события фильтром event_goalma.org = "goalma.org" and goalma.org = "" and goalma.org = "" and goalma.org = "". Теперь мы узнаем, что команда остановки отправлена пользователем ladmin с помощью процесса goalma.org Но что это за процесс и как он попал на узел? Разберемся.

Можно посмотреть, как был запущен процесс, — отфильтруем события запросом event_goalma.org = "goalma.org" and goalma.org = "goalma.org" and msgid in [1, ]. Оказывается, что использовался агент Zabbix (довольно подозрительно o_O).

Пробуем поискать запуск zabbix_goalma.org и находим интересное описание в поле, предназначенном для хранения метаинформации. Делаем вывод, что этот процесс не является легитимным агентом Zabbix, а был подложен в папку вместо настоящего.

К примеру, метаинформация легитимного агента Zabbix представлена ниже.

Посмотрим, какой вердикт вынесет сетевая песочница PT Sandbox после проверки zabbix_goalma.org

Но что еще интересного делал подмененный агент Zabbix? Применим запрос event_goalma.org = "goalma.org" AND goalma.org contains "zabbix_goalma.org"для того, чтобы увидеть, в каких цепочках запуска процессов находится название подставного агента. И тут же натыкаемся на события с созданием пользователя ladmin с помощью исполняемого файла goalma.org

Кстати, смотреть цепочку запущенных процессов удобно с помощью плагина SiemMonkey. Наш коллега Константин Грищенко в рамках участия в открытом сообществе Security Experts Community выложил в открытый доступ свои наработки по автоматизации рутинных задач специалистов SOC и оформил их в виде плагина для браузера Google Chrome.

Эта активность также попала в цепочку нескольких корреляционных правил.

Незадолго до этих событий с процессом zabbix_goalma.org взаимодействовал пользователь r_humphrey. Предположим, что до создания учетной записи ladmin атакующие использовали r_humphrey.

Как пользователь попал на узел goalma.org? Отсортируем события по этой сессии и зададим в запросе только события входа в систему: event_goalma.org = "goalma.org" and (goalma.orgn_id = "" or goalma.orgn_id = "") and msgid = "".

Как оказалось, пользователь пришел с сервера RDG. Посмотрим логи. Так как мы знаем время подключения, можно поискать на сервере события установки соединения по порту RDP с адресом назначения goalma.org Это необходимо для того, чтобы узнать номер сессии, в которую совершались действия.

Получаем номер сессии, а также замечаем срабатывание правила корреляции на активность файла goalma.org, который мы видели ранее на узле bpreston. Запуск бинаря goalma.org осуществлялся с помощью файла goalma.org

Изучаем данные о запуске goalma.org и видим уже знакомую ситуацию: у файла говорящая метаинформация.

Проверяем хеш файла в базе VirusTotal, чтобы убедиться наверняка.

Осталось узнать, как атакующие получили доступ к RDG-серверу. Изучаем события входа в рамках этой сессии. Под учеткой r_humphrey «красные» пришли с устройства fhays.

Посмотрев события с goalma.org, в который раз замечаем соединение через файл goalma.org Но здесь мы видим, что запустил его пользователь f_hays, а не r_humphrey.

Смотрим сработавшие правила корреляции, которые укладываются в наши временные рамки. Находим использование goalma.org параметрами sekurlsa::logonpasswords full (видимо, отсюда «красные» и получили креды r_humphrey).

Сгруппируем события по названиям сработавших корреляционных правил, чтобы увидеть, чего можно ждать от этой сессии.

Тут целый букет правил. Самыми интересными, на первый взгляд, кажутся срабатывания на Sliver, Cobalt Strike, SharpHound. И куда же без документов с макросами! Попробуем узнать, откуда на устройстве появился Sliver (aka goalma.org).

Применим запрос для поиска события о создании файла goalma.org: (event_goalma.org = "goalma.org") and body contains "goalma.org" and msgid = "11". Цепочка продолжается, так как мы узнали, что файл создан с помощью aexe.

Узнаем, как был создан aexe. Видим легитимный goalma.org, который по умолчанию не может создавать файлы: значит, он не тот, каким кажется.

Посмотрим сработавшие корреляционные правила, в которых goalma.org = "goalma.org". В процесс с помощью goalma.org были загружены библиотеки PowerShell.

О такой активности говорят события с msgid = "8".

Откуда взялся goalma.org? Для этого вновь воспользуемся SiemMonkey. Замечаем, что процесс создан с помощью закодированной PowerShell (pid ) команды, которая запущена документом FBI_goalma.org.

На активность процесса PowerShell сработали сразу несколько правил.

В одном из срабатываний видим, что атакующие пытались подделать URL, с которого была загружена полезная нагрузка. Хорошая попытка, но название компании Innostage пишется с двумя n.

Обратимся к PT NAD для поиска информации об этой сессии: файл загрузили с помощью PoshRat, который был внутри макроса письма.

Проверяем документ в PT Sandbox. Видим, что письмо рассылалось на множество адресов, в этот список попал пользователь f_hays.

Цепочка событий, произошедших на кибербитве Standoff, наглядно демонстрирует, что даже самые защищенные системы и критическая инфраструктура подвержены уязвимостям. Атака началась с обычного фишингового письма. После того как пользователь открыл зараженный документ, «красным» удалось переместиться через несколько устройств. В итоге они получили доступ к узлу оператора ПЛК, с которого остановили центрифугу для обогащения урана.

Как защититься? Выстроить регулярное обучение сотрудников как минимум азам кибербезопасности, а также проводить регулярные киберучения. Все это делает атаку невыгодной для злоумышленников и существенно повышает шансы компании на успешное противостояние киберугрозам.