Все, что нужно знать атакующим
об отчетах на кибербитве
Правильно заполненный отчет экономит время жюри на проверку, а команд — на исправление.

Этот гайд поможет разобраться в личном кабинете команды атакующих на платформе, а также узнать, как нужно заполнять отчеты, чтобы заработать баллы.
Что ты найдешь в документе
Навигация по личному кабинету атакующих
В этом блоке мы собрали информацию о важных разделах личного кабинета атакующих.

Если ты лучше воспринимаешь видеоконтент, посмотри ролик, в котором мы показываем разные функции личного кабинета для атакующих. При этом в видео нет важной информации про нюансы описаний шагов, поэтому обязательно прочитай, как правильно заполнять отчет и что проверить перед отправкой
Главная страница
Для начала авторизуйся на платформе.
Авторизация на платформе
Чтобы перейти к кибербитве:
  1. Нажми на свой аватар.
  2. В раскрывшемся меню выбери кибербитву.

Если нужной кибербитвы нет, значит, твоя заявка еще не одобрена.
Переход к кибербитве
Далее откроется личный кабинет твоей команды, где отображается ее состав (капитан и участники).
Личный кабинет команды
Капитан команды может менять состав участников до начала кибербитвы.
Для добавления участников
Нажми кнопку Добавить участников и введи никнейм пользователя платформы, которого хочешь добавить в команду.
Для удаления участников
Нажми на значок корзины и подтверди действие.
Требования к составу команды могут различаться в зависимости от конкретной кибербитвы. Обязательно ознакомься с ними перед удалением или добавлением участника.
В личном кабинете есть несколько важных разделов, которые пригодятся тебе и команде в ходе кибербитвы
Раздел «Отрасли»
Раздел «Отрасли»
При нажатии на любую из отраслей откроется описание. Переключаясь между вкладками, ты увидишь список уязвимостей и критических событий, а также максимальное количество баллов за выполнение задания.
Описание отраслей
Раздел «Отчеты команды»
На странице команды отображаются списки отчетов об уязвимостях и о критических событиях.
Отчеты команд
Отчеты можно сдавать сразу после старта кибербитвы.
Отчеты об уязвимостях бывают двух типов: с автопроверкой и для жюри. Тип отчета будет выбран автоматически в зависимости конкретной уязвимости.

Отчет для жюри
Чтобы сдать отчет, на вкладке Отчеты об уязвимостях нажми кнопку Сдать отчет.
Отчеты об уязвимостях
Кнопка сдачи отчета
В открывшейся форме укажи:
  1. Цель атаки.
  2. Тип уязвимости.
  3. Описание уязвимости — обязательно с указанием шагов, которые помогли тебе ее обнаружить.
Заполнение отчета об уязвимости
Если перед отправкой в отчете остались незаполненные обязательные поля, система подсветит их.

Приложи скриншоты своих действий, чтобы жюри смогло быстрее проверить отчет.

Отчет с автоматической проверкой
Чтобы сдать отчет, на вкладке Отчеты об уязвимостях нажми кнопку Сдать отчет. После этого укажи:
  1. Цель атаки.
  2. Тип уязвимости.
  3. Флаг — набор символов, который можно найти в инфраструктуре полигона.

Система автоматически проверит флаг и сразу начислит баллы. Обрати внимание, что в списке сданных отчетов не отображаются отчеты с автопроверкой.
Отчеты о критических событиях тоже бывают двух типов, которые задаются автоматически в зависимости от выбранного события. Сменить этот тип невозможно.

Отчет для жюри
Чтобы сдать отчет для жюри:
  1. На вкладке Отчеты о критических событиях нажми кнопку Сдать отчет.
  2. В раскрывающемся списке Критическое событие выбери реализованное критическое событие.
Отчеты о критических событиях
Выбор критического события
3. В открывшейся форме опиши атаку по шагам. Шаги можно добавлять, удалять, а также менять местами.
Добавление шагов
В раскрывающемся списке Выполненное действие выбери действие для каждого шага и подробно опиши его. В частности, укажи:
  • IP-адрес, с которого было совершено действие.
  • Используемый доступ или учетную запись, если возможно.
  • Цель атаки.
  • Путь к файлу, если это применимо к описываемому шагу атаки.
  • Результат атаки — полезную информацию, которую ты получил на этом шаге.

Приложи скриншоты своих действий, чтобы жюри быстрее приняло отчет.

Обрати внимание: время атаки устанавливается автоматически, поэтому не забудь изменить этот параметр перед отправкой отчета. Указывай время в своем часовом поясе.

Подробнее о том, что важно учитывать при заполнении отчета и как повысить шансы на его принятие, читай в разделе «Как правильно заполнить отчет».

Отчет с автоматической проверкой
Чтобы сдать отчет с автоматической проверкой:
  1. На вкладке Отчеты о критических событиях нажми кнопку Сдать отчет.
  2. В раскрывающемся списке Критическое событие выбери реализованное критическое событие.
  3. Введи найденный флаг.

В зависимости от параметров кибербитвы за некоторые критические события можно заработать дополнительные баллы — например, раскрыв детали вектора атаки или введя данные об учетных записях и узлах. Корректность значений будет проверена автоматически одновременно с флагом — на это есть всего одна попытка. За каждый верный параметр ты получишь дополнительные баллы.
Поля для дополнительных параметров
Черновики отчетов для жюри
Все отчеты для жюри автоматически сохраняются в черновиках раз в 15 секунд. Для отчетов, которые проверяются автоматически, такой функции нет.

Надпись Изменения сохранены значит, что черновик отчета был сохранен. Для принудительного сохранения черновика нажми кнопку Сохранить. Обрати внимание, что отчет отправляется на проверку только после нажатия кнопки Отправить отчет.
Кнопка отправки отчета
На странице со списком отчетов черновик можно определить по соответствующему статусу. Любой участник команды может открыть черновик и отредактировать его.
Что происходит после отправки отчета
После отправки отчет попадает в очередь на проверку жюри. Пока проверяющие не взяли отчет в работу, он имеет статус Новый. Как только жюри начинает проверку, отчет появляется на вкладке На проверке. Такие отчеты нельзя исправить, но можно отправить комментарий для жюри.
Отчеты на проверке
Если ты понимаешь, что в отправленном отчете есть ошибка, дальнейшие действия зависят от объема исправлений.
Нужны небольшие уточнения
Ты можешь дополнить отправленный отчет комментарием, который поможет жюри правильно понять логику твоих действий.
Есть серьезные ошибки
Ты можешь отозвать отчет и заполнить новый. Новый отчет будет отправлен в конец очереди на проверку, но это лучше, чем исправлять отчет после его отклонения жюри.
В зависимости от объема исправлений жюри может:
  • Отправить отчет на доработку. Если есть небольшие нестыковки или требуются уточнения, отчет появляется на вкладке На доработке.
  • Отклонить отчет. В этом случае отчет появляется на вкладке Отклонен — его нужно переделать.
Отчеты на доработке
При исправлении отчета проверь комментарии жюри: в них может быть полезная информация. После отправки изменений отчет снова попадает на вкладку Новые, а затем — на вкладку На проверке.

Как только жюри принимает отчет, команде начисляются баллы.
Принятые отчеты
Если отчет другой команды об этом событии был принят раньше вашего, она получит большее количество баллов. Подробнее о начислении баллов читай в правилах кибербитвы.
Как сократить время на заполнение нового отчета
Для экономии времени можно создать отчет на основе существующего. Для этого:
  1. Нажми кнопку Новый отчет на основе этого.
  2. В раскрывающемся списке Критическое событие выбери реализованное критическое событие.
Внеси необходимые правки и сдай новый отчет.
Раздел «Результаты»
Сумма полученных баллов отображается на вкладке Результаты. Изменение рейтинга и количества баллов у каждой команды происходит автоматически.

При нарушении правил кибербитвы жюри могут оштрафовать или дисквалифицировать команду. Чтобы этого избежать, изучите правила до начала кибербитвы и соблюдайте их в течение всего времени.
Как правильно заполнять отчет о критическом событии
4 причины правильно составить отчет
  1. Экономия времени. Жюри не задает дополнительных вопросов, а значит, проверка отчетов проходит гораздо быстрее.
  2. Приобретение полезного навыка. Умение правильно и пошагово описать свои действия пригодится тебе в других киберучениях, в багхантинге и пентесте.
  3. Правильное отображение цепочек атак (киллчейнов). В ходе кибербитвы мы выводим на экраны информацию о реализованных атаках, которая полностью завязана на отчетах атакующих. Если неверно указаны источник и цель атаки или нелогично описан шаг, киллчейн, отражаемый на экране, будет несвязным. Правильно заполненные отчеты транслируют экспертность команд атакующих, что делает кибербитву еще более привлекательной как для участников, так и для зрителей. Давайте делать Standoff крутым — вместе!
  4. Сопоставление с TTP по MITRE ATT&CK. В специальном разделе мы ведем статистику того, какие техники из матрицы MITRE ATT&CK используют атакующие и выявляют защитники. И тебе, и нам полезно, если статистика по итогам сопоставления корректно отражает ваш путь в инфраструктуре онлайн-полигона.
На что обратить внимание при заполнении отчета
1. Заполнение шагов
Весь отчет будет состоять из шагов, которые ты заполнишь. Для каждого шага можно выбрать описание из таблицы ниже.
Группа действий
Действие
Сбор информации
Сбор информации об узлах
Сбор информации о доменах
Сбор информации о пользователях
Эксплуатация уязвимостей в ПО и сервисах
Проведение атак на пользователей
Проведение фишинговой атаки с вложением
Проведение фишинговой атаки со ссылкой
Выполнение команд ОС
Загрузка ПО
Загрузка веб-шелла
Загрузка эксплойта
Загрузка других инструментов
Получение доступа к ресурсам
Получение доступа к ресурсу в корпоративном сегменте
Получение доступа к ресурсу в технологическом сегменте
Организация сетевых туннелей и прокси-соединений
Построение сетевого туннеля
Создание прокси-соединения
Скачивание информации
Получение конфиденциальной информации
Получение информации из локальной системы
Получение информации из сетевого хранилища
Получение информации из репозитория
Получение информации из электронной переписки
Создание учетных записей
Получение учетных данных
Подбор учетных данных
Получение дампа учетных данных
Получение учетных данных из файлов
Получение учетных данных из реестра
Получение закрытых ключей
Кража или подделка билетов Kerberos
Изменение учетных данных
Повышение привилегий на ресурсе
Получение максимальных привилегий в домене
Реализация критического события
Другое
Пункт «Другое» нужно использовать, только если в списке нет ничего похожего на твои действия
Этот пункт применяется очень редко, поскольку большая часть действий покрывается описанными группами. Если ты хочешь его использовать, важно:
  1. Именовать шаги согласно матрице MITRE ATT&CK (на русском и английском языке).
  2. Не объединять несколько шагов в один.
Первый шаг

На этом этапе идет сбор сведений, поэтому в зависимости от выбранного пути используй один из следующих вариантов:
  • «Сбор информации» — «Сбор информации об узлах», «Сбор информации о доменах» или «Сбор информации о пользователях».
  • «Проведение атак на пользователей» — «Проведение фишинговой атаки с вложением» или «Проведение фишинговой атаки со ссылкой». Эти варианты можно использовать как на стадии разведки (Т1598), так и на стадии первоначального доступа (Т1566).

Если по каким-то причинам тебе не подходят эти варианты, используй пункт «Другое». Например, если ты попал на веб и запустил сканер.
При использовании пункта «Другое» обязательно именуй шаг согласно матрице MITRE ATT&CK. Например, «Активное сканирование».
На первых шагах источник может быть вне скоупа, только если это твой адрес внутри инфраструктуры. Пожалуйста, проверяй введенные данные на опечатки.

Последний шаг
В отчете о критическом событии последним всегда должен быть пункт «Реализация критического события».
Шаг «Реализация критического события»
В поле Описание атаки и используемой уязвимости (или CVE) укажи, какое именно действие было выполнено. Например, вывод денег со счета, получение доступа к конфиденциальным сведениям, остановка конвейера и т. п.

На каждом шаге нужно указывать источник и цель атаки — IP-адрес или FQDN.

На рисунке ниже — пример, как жюри видит правильно заполненную цель атаки.
Если указан некорректный адрес, автопроверка не сможет распознать существование узла, поэтому такой отчет будет отправлен на доработку.

Особенности заполнения шагов в отчетах о некоторых событиях
При заполнении отчета важно учитывать особенности реализации некоторых событий.
Что реализовано
Действие
Получение доступа к узлу
В этом случае твои действия расширяют шаг «Получение доступа к ресурсам».

Если доступ был получен не к корпоративному или технологическому сегменту, выбери пункт «Другое» и назови его «Получение доступа к <Название ресурса>»
Получение доступа к конфиденциальной информации
Выдели это действие в отдельный шаг и выбери пункт «Получение конфиденциальной информации».

Если согласно заданию нужно скопировать, выгрузить или еще как-то сохранить данные из файла или системы, добавь в отчет дополнительный шаг «Скачивание информации»
Перемещение внутри периметра
Выдели в отдельный шаг и выбери пункт «Построение сетевого туннеля» или «Создание прокси-соединения». Следующим за этим шагом обязательно будет «Получение доступа к ресурсам».

Если доступ был получен с помощью внешних систем, например телеграм-бота, не выделяй действия с ними в отдельный шаг, а просто упомяни в поле Описание атаки и используемой уязвимости (или CVE) и приложи скриншот
Получение RCE
В этом случае обязательно добавь шаг «Эксплуатация уязвимостей в ПО и сервисах» и следующий за ним «Выполнение команд ОС». При необходимости рекомендуем выделять между ними шаг «Загрузка ПО», например веб-шелла, эксплойта или других инструментов
Повышение привилегий
Выдели в отдельный шаг и выбери пункт «Повышение привилегий на ресурсе»
Ниже мы собрали примеры того, как можно называть шаги в зависимости от конкретных кейсов.
Как назван шаг
Как следует сделать
«Получение RCE на 192.0.2.234 и прокидывание прокси»
Этот шаг стоит разделить на три отдельных:
Шаг 1. «Эксплуатация уязвимостей в ПО и сервисах».
Шаг 2. «Выполнение команд ОС».
Шаг 3. «Создание прокси-соединения».

Подробности к каждому шагу можно указать в поле Описание атаки и используемой уязвимости (или CVE)
«Регистрация аккаунта в приложении PayControl»
Выбрать шаг «Создание учетных записей» и дополнительно указать подробности в поле Описание атаки и используемой уязвимости (или CVE)
«Эксплуатация ошибки в логике API»
Выбрать шаг «Эксплуатация уязвимостей в ПО и сервисах» и описать подробности в поле Описание атаки и используемой уязвимости (или CVE)
«Изменение класса обслуживания»
Выбрать шаг «Реализация недопустимого события» и в поле Описание атаки и используемой уязвимости (или CVE) указать, что удалось изменить класс обслуживания для пассажира самолета
2. Время атаки
Время атаки — это время реализации конкретного шага. Можно указать точное значение или интервал.
Время атаки
Время выполнения шагов должно быть последовательным, а интервалы — небольшими (не по 5 часов), иначе SOC не найдет этот шаг в СЗИ.

Обязательно указывай время согласно своему часовому поясу. Например, команда реализовала атаку в 12:10 в зоне UTC+2. Часовой пояс жюри — UTC+3, поэтому для него временем атаки будет 13:10. Не переводи время самостоятельно, иначе оно не будет соответствовать действительности — и отчет отправят на доработку.
3. Описание атаки и результат атаки
Описания заполняются в свободной форме.
Описание атаки
Проверь, что в описании складывается связная воспроизводимая цепочка шагов и ничего не пропущено.
4. Источник и цель атаки
На первом шаге источник атаки — это адрес VPN-сервера (файл для настройки подключения к нему выдают каждой команде атакующих), а цель — узел, к которому атакующие подключаются. Дальше этот узел становится источником, а целью — следующий узел в системе.
Источник и цель атаки
Источником может становиться только тот узел, получение доступа к которому было описано на предыдущих шагах. Проверь, чтобы в адресах не было опечаток.
5. Используемый доступ или учетная запись
Укажи учетную запись, права (например, System) или имя пользователя, которые использовались для подключения к узлу. Важно, чтобы они были получены на предыдущих шагах.
6. Файлы
Если ты загружал файлы на узлы, приложи их к отчету.
Добавление файлов
Прикрепи скриншоты для подтверждения шагов, подчеркнув или обведя важную информацию.

Обязательно приложи скриншот для последнего шага, чтобы подтвердить, что условие реализации события, описанное в задании, было выполнено.
Что проверить в отчете перед отправкой
Чтобы повысить шансы на принятие отчета, проверь его по следующим пунктам.
1. Заполнение полей
Шапка отчета.
Критическое событие.
Время (согласно твоему часовому поясу).
IP-адреса.
2. Полнота описания
Информации о реализации события достаточно.
Для самопроверки пройдись по всем шагам, чтобы оценить, можно ли по ним воспроизвести вектор атаки без необходимости что-то додумывать.
В шагах указаны все детали на каждом этапе атаки:
  • получил учетную запись — откуда;
  • поднял привилегии — как;
  • нашел информацию — где;
  • проэксплуатировал уязвимость — в каком приложении и какой эксплойт.
3. Понятность описания
Писать как можно проще.
Не использовать непопулярный сленг.
Проверять текст на опечатки и исправлять грубые ошибки.
Важно, чтобы отчет был понятен жюри, поэтому рекомендуем:
Если жюри не сможет разобрать описание, отчет будет отправлен на доработку.
4. Достижение цели
Проверь, что цель, указанная в задании, достигнута. Это должно подтверждаться последним шагом и скриншотом к нему.
5. Соответствие даты и времени реализации атак действительности
Время выполнения шагов соответствует твоему часовому поясу.
Время указано последовательно.
Временные интервалы небольшие и соответствуют реальности.
6. Наличие подтверждений
Есть все необходимые скриншоты, файлы, описания эксплойтов и т. п. Особенно они нужны на шагах с повышением привилегий, эксплуатацией уязвимостей, работой с учетными данными и получением конфиденциальной информации.
Есть финальный скриншот.
7. Отсутствие ссылок на другие отчеты
Нет ссылок на другие отчеты о критических событиях или уязвимостях.
Все шаги, ведущие к реализации критического события, приведены в одном отчете.
И напоследок…
Надеемся, что с этим документом тебе удалось быстрее разобраться в правилах и требованиях к отчетам.

Будем рады, если ты пришлешь обратную связь об этом документе на почту hello@standoff365.com. Расскажи, насколько тебе понятны требования к отчетам, что понравилось, а что можно доработать, нужно ли что-то добавить. Это поможет нам сделать документ еще удобнее.

Если тебе нужно получить какую-то информацию — мы на связи:
— по любым вопросам о кибербитве — на hello@standoff365.com или в нашем телеграм-канале;
— по техническим вопросам — на support@standoff365.com.

До встречи на кибербитве!

Команда Standoff