Nova versão do nosso SIEM Attack Framework, agora com 7 fabricantes

Há já algum tempo, na equipa de Inovação e Laboratório da ElevenPaths, temos vindo a trabalhar em diversos projectos e investigações relacionadas com os aspectos de segurança do SIEM (Security Information and Event Management). Um dos projetos que lançamos é uma ferramenta gratuita de código aberto chamada SIEM Attack Framework para a análise de segurança dessas tecnologias, e que nos permite detectar fragilidades na configuração de alguns produtos como Splunk, GrayLog e OSSIM. No ano passado, apresentamos ela no BlackHat Arsenal 2019, 8dot8 e EkoLabs, onde ela ganhou o prêmio por melhor laboratório da EkoParty2019. 

A ferramenta ainda está viva e faz parte do nosso conjunto de ferramentas à disposição da comunidade. Durante 2020, dissemos como é a estrutura de desenvolvimento e como temos adicionado a descoberta de novos SIEMs dentro do framework em um capítulo de nosso CodeTalks4Devs. Nele ajudamos a comunidade a entender como o desenvolvimento foi planejado, como contribuir ou modificar módulos para fins específicos e também antecipar que em breve haveria surpresas.

O que adicionamos nesta atualização?

Alguns dias atrás, também lançamos uma atualização da ferramenta em nosso repositório adicionando mais três SIEMs ao framework de ataque para tentar facilitar o trabalho das equipes Red Team e Pentesting. Nesta última atualização, incorporamos os seguintes fabricantes:

• QRadar, para o qual implementamos um módulo de teste de força bruta para detectar a senha do administrador. Como o usuário é sempre administrador, é necessário apenas obter a senha para acessar o ambiente web, embora seja um ataque muito lento devido a algumas proteções. Porém, o número de tentativas não é controlado na API, portanto é possível realizar um ataque de força bruta para detectar a API-Key e então extrair a configuração completa da configuração do SIEM e dos usuários de acesso ao banco de dados. dados internos chamados ARIEL.
• McAfee SIEM, neste nós implementamos um ataque de dicionário para detectar a senha do usuário que vem por padrão chamada “NGCP”. Devido a certas configurações de restrição este ataque pode ser lento, por isso estamos procurando outra forma de obter essas credenciais, então implementamos um novo módulo aproveitando o fato de que o sistema habilita o serviço SSH por padrão e que é possível acessar com o usuário root, mas que além disso compartilha a mesma senha do usuário NGCP. Uma vez obtidos esses dados, é possível usar três outros ataques que nos permitem obter informações de configuração, serviços de serviço, proteções configuradas e extrair o arquivo shadow do sistema, e com ele todos os usuários dele.
• SIEMonster, onde implementamos um módulo de ataque de dicionário semelhante ao mencionado no caso anterior, visto que este SIEM possui o mesmo usuário configurado para acesso SSH e para acesso WEB, denominado «deploy», para o qual é possível obter acesso administrativo a ambos os ambiente da web conforme console. Além disso, dois ataques foram gerados para obter dados de configuração do sistema e o arquivo shadow para ter todos os usuários dele.
• ElasticSIEM, também implementamos um módulo de força bruta para SSH já que o sistema operacional recomendado para sua instalação habilita o serviço por padrão. Por sua vez, para implementações locais, ele não gera um controle de acesso ao serviço da web por padrão, e requer a implementação de uma série de configurações para que um mecanismo de autenticação possa ser integrado. Por sua vez, geramos um módulo que nos permite aproveitar esta configuração possível e acessar o sistema por console , para obter mais dados de configuração, embora muitas vezes comprometer este SIEM requer apenas identificá-lo dentro da rede.

Além disso, nesta nova versão, foram feitas alterações em:

• A validação dos dados inseridos pelo analista foi modificada
• Adiciona-se a possibilidade de especificar uma porta de forma simples diferente daquela que é detectada pela instalação do SIEM, para que possa ser detectada mesmo que tenha sido publicada em outra porta da própria ferramenta sem ter que recorrer a outras ferramentas para isto.
• Baterias de teste foram adicionadas para otimizar o desempenho.
• Foram feitas modificações que permitem aos usuários ver quais dados podem ser obtidos em alguns dos ataques e comparar com os resultados obtidos.

Com todas essas mudanças e melhorias, a versão 0.2 da ferramenta oferece a possibilidade de analisar sete SIEMs diferentes de maneiras diferentes. Em alguns deles podemos detectar e tirar proveito de fragilidades na configuração padrão, em outros no uso da API de gerenciamento e em outros serviços expostos, mas sempre oferecendo a possibilidade de avaliar a segurança do sistema.