Электрорешения

Компания Электрорешения - представитель международного бренда EKF. Производитель электрооборудования, комплексных энергоэффективных решений по электроснабжению и автоматизации, а также разработчик программного обеспечения – IoT EKF Connect Home для дома и IIoT EKF Connect Industry для промышленности.

Электрорешения · Bug Bounty

Продемонстрируйте возможность получения привилегированных прав доступа к системе резервного копирования EKF. Уровень полученного доступа должен позволить без ограничений осуществить потенциальное шифрование или уничтожение данных всех систем в системе резервного копирования. Для демонстрации покажите шифрование тестового файла standoff365_hack_me на диске с бэкапами сервера резервного копирования.

Нарушение процессов восстановления: уничтожение или шифрование backup-копий.

### Программа действует до 16 декабря 2025 года 23:59 MSK или до первой успешной реализации недопустимого события.


### Описание недопустимого события для EKF

Нарушение процессов восстановления: уничтожение или шифрование backup-копий.
Продемонстрируйте возможность получения привилегированных прав доступа к системе резервного копирования EKF. Уровень полученного доступа должен позволить без ограничений осуществить потенциальное шифрование или уничтожение данных всех систем в системе резервного копирования. Для демонстрации покажите шифрование тестового файла standoff365_hack_me на диске с бэкапами сервера резервного копирования.

**Внимание! Осуществлять само шифрование или уничтожение любых других данных, кроме тестового файла standoff365_hack_me, строжайше запрещено.**

### Скоуп

*.ekfgroup.com
*.ekf.su
89.175.153.234
78.155.208.19-78.155.208.28
213.33.168.139
213.33.168.138
почтовые ящики в корпоративном почтовом домене @ekf.su.

Интернет-магазин https://ekf.market

###

- Исследователям предлагается подойти к выполнению задания творчески и использовать методы OSINT для обнаружения ресурсов, принадлежащих компании.
- При обнаружении ресурсов компании, не указанных в скоупе, до начала их тестирования необходимо согласовать любые действия по адресу эл. почты sec@ekf.su.
- Разрешены фишинговые рассылки на почтовые ящики в строго в почтовом домене @ekf.su

Обращаем внимание, что EKF стремится создать для тестирования условия, максимально приближенные к боевым: компания будет реагировать на проникновение в штатном режиме, относиться к исследователям с полной серьезностью и «выбивать» атакующих из инфраструктуры. 

### Вознаграждение 
Участник, который первым реализовал недопустимое событие и представил о нем отчет, получает **800 тыс. рублей.**
Вознаграждение выплачивается в рублях. При изменении способа получения вознаграждения все комиссии и затраты возлагаются на победителя.

В рамках программы может быть выплачено поощрительное вознаграждение за **промежуточные результаты**: 
•	Компрометация корпоративной учётной записи пользователя компании, с закреплением на корпоративной рабочей станции (в зависимости от типа рабочей станции и ее сегмента в сети) —  до **100** тыс. рублей.
•	Преодоление сетевого периметра и закрепление на узле в инфраструктуре — до **150** тыс. рублей (зависит от типа узла, учетной записи или сегмента, где это удалось сделать).
•	Потенциальная возможность нарушения работы инфраструктурных систем под админом домена (DC, Exchange). В качестве доказательства - создать учетную запись standoff365 в группе Администраторы домена – до **200** тыс. руб. 
•	Потенциальное нарушение работы платформы виртуализации (повреждение или шифрование). В качестве доказательства - скрин консоли управления под админом – до **300** тыс. руб.
•	Получение доступа к системе проведения платежей под привилегированной учетной записью сотрудника финансовой структуры и отправка платежного поручения на свой подконтрольный счет (на сумму не более 2 тыс. руб.) с последующим отказом банка в его проведении — до **200** тыс. рублей.

### В рамках программы не выплачивается вознаграждение:
- за отчеты о любых уязвимостях;
- отчеты о недостатках конфигурации;
- любые другие отчеты, которые не содержат информации о реализации недопустимого события.

### Требования к участникам
- Участвовать в программе могут все заинтересованные исследователи, являющиеся гражданами Российской Федерации, в возрасте от 18 лет. Исследователи в возрасте от 14 до 18 лет имеют право участвовать только при наличии письменного согласия родителей или законного представителя.
- В программе не могут участвовать:
•	Действующие сотрудники EKF.
•	Действующие сотрудники контрагентов EKF, которым предоставляется доступ к инфраструктуре EKF для выполнения служебных обязанностей.
•	Физлица, которые оказывали EKF консультационные услуги, связанные с информационной безопасностью или информационными технологиями, то есть лица, получавшие сведения об устройстве части инфраструктуры компании по служебной необходимости за последние три года.

### Исследователям необходимо:
- Соблюдать правила раскрытия отчетов, описанные в программе, а также правила платформы Standoff Bug Bounty.
- Соблюдать правила конфиденциальности информации. Запрещено распространять любую информацию, случайным образом полученную в ходе исследования инфраструктуры или попыток реализации недопустимого события.
- Не разглашать информацию о ходе исследований без согласования с компанией. При возникновении вопросов рекомендуется обращаться к команде безопасности EKF через платформу Standoff Bug Bounty.
- Поддерживать общение с командой безопасности, направлять ей отчеты о попытках реализации недопустимых событий, оформленные согласно описанным в программе требованиям, и давать обратную связь, если у специалистов возникнут вопросы об отчете.

### EKF обязуется:
- Обрабатывать отчеты в течение 3 (трех) недель с момента их получения.
- Не выдвигать исследователям необоснованные обвинения, связанные с участием в программе.
- Уважать исследователей. При соблюдении исследователями требований и правил программы EKF отказывается от любых претензий в их сторону.

### Публичное раскрытие информации об исследованиях
Публичное раскрытие информации по умолчанию запрещено.

### Запрещенные действия
Исследователям запрещено:
- Устраиваться на работу в компанию для получения легитимного доступа к системам EKF и реализации недопустимых событий.
- Подкупать действующих сотрудников компании или осуществлять с ними сговор.
- Пользоваться иной добровольной помощью действующих сотрудников компании (прикрытие действий исследователя, облегчение доступа или реализации недопустимого события, добровольное предоставление оборудования, принадлежащего компании).
- Использовать любые способы воздействия на работников компании, которые несут угрозу здоровью или жизни, похищать сотрудников или членов их семей. Кроме того, запрещено похищать любые устройства, гаджеты и иную собственность сотрудников и компании.
- Физически портить имущество компании или применять к нему грубую силу, чтобы облегчить реализацию недопустимых событий. Проводить физические атаки на персонал, дата-центры и офисы компании.
- Подкупать, иным образом воздействовать на поставщиков услуг или контрагентов компании, вступать с ними в сговор.
- Использовать любые ошибки, проблемы безопасности или уязвимости в личных целях.
- Использовать инструменты тестирования уязвимостей, автоматически генерирующие значительные объемы трафика и приводящие к атакам с исчерпанием ресурсов.
- Проводить атаки, наносящие вред целостности и доступности сервисов (например, DoS-атаки), пытаться эксплуатировать уязвимость, нацеленную на исчерпание ресурсов.
- Удалять любую информацию, принадлежащую компании, если это не нужно для сокрытия своих следов пребывания в инфраструктуре (удалять записи о собственных действиях в журналах безопасности и собственные артефакты можно).

- В скоуп **не входят** компьютерные розетки в офисах и прочие устройства для физического подключения.**
 - Атаковать клиентов и партнеров EKF, в том числе с использованием техник социальной инженерии (фишинг, вишинг и т. д.) и спам-рассылок - **запрещено**.

### Требования к оформлению отчета
Отчет о недопустимом событии должен содержать:
- Доказательства того, что вход в инфраструктуру осуществлен через сетевой периметр EKF.
- Детальную информацию о ходе исследования (техническое описание), включающую метод проникновения в инфраструктуру, время выполнения каждого из шагов, все затронутые системы, скомпрометированных пользователей, детальный ход реализации недопустимого события, методы сокрытия пребывания в инфраструктуре и информацию об артефактах, использованных для закрепления в инфраструктуре, информацию об использованных эксплойтах или листинг эксплойта.
- Если в отчете обнаружены спорные моменты, пробелы в описании и неточности, EKF имеет право запрашивать у исследователя разъяснения и дополнительную информацию. При игнорировании исследователем уточняющих запросов отчет может быть отклонен.
- В техническом описании необходимо построчно по шагам расписать цепочку реализации недопустимого события (или цепочку до конечного шага, на котором вас «выбили» из инфраструктуры). Например, цепочка может состоять из следующих шагов:

21.02.2022 20:22 Сканирование портов на узле xxx.xx.xxx.xx (обнаружен порт 3389).
21.02.2022 20:24 Брутфорс RDP (учетка user:qwerty).
21.02.2022 20:55 Повышение привилегий с использованием уязвимости. Закрепление на узле (создание учетной записи SUPERUSER с правами администратора).
yyy.yyy.yyy.yyy, уязвимый для BlueKeep).
21.02.2022 22:22 Дальнейшее продвижение по сети (RCE через BlueKeep).
<…>

### Программа действует до 16 декабря 2025 года 23:59 MSK или до первой успешной реализации недопустимого события.


### Описание недопустимого события для EKF

Нарушение процессов восстановления: уничтожение или шифрование backup-копий.
Продемонстрируйте возможность получения привилегированных прав доступа к системе резервного копирования EKF. Уровень полученного доступа должен позволить без ограничений осуществить потенциальное шифрование или уничтожение данных всех систем в системе резервного копирования. Для демонстрации покажите шифрование тестового файла standoff365_hack_me на диске с бэкапами сервера резервного копирования.

**Внимание! Осуществлять само шифрование или уничтожение любых других данных, кроме тестового файла standoff365_hack_me, строжайше запрещено.**

### Скоуп

*.ekfgroup.com
*.ekf.su
89.175.153.234
78.155.208.19-78.155.208.28
213.33.168.139
213.33.168.138
почтовые ящики в корпоративном почтовом домене @ekf.su.

- Исследователям предлагается подойти к выполнению задания творчески и использовать методы OSINT для обнаружения ресурсов, принадлежащих компании.
- При обнаружении ресурсов компании, не указанных в скоупе, до начала их тестирования необходимо согласовать любые действия по адресу эл. почты sec@ekf.su.
- Разрешены фишинговые рассылки на почтовые ящики в строго в почтовом домене @ekf.su

Обращаем внимание, что EKF стремится создать для тестирования условия, максимально приближенные к боевым: компания будет реагировать на проникновение в штатном режиме, относиться к исследователям с полной серьезностью и «выбивать» атакующих из инфраструктуры. 

### Вознаграждение 
Участник, который первым реализовал недопустимое событие и представил о нем отчет, получает **800 тыс. рублей.**
Вознаграждение выплачивается в рублях. При изменении способа получения вознаграждения все комиссии и затраты возлагаются на победителя.

В рамках программы может быть выплачено поощрительное вознаграждение за **промежуточные результаты**: 
•	Компрометация корпоративной учётной записи пользователя компании, с закреплением на корпоративной рабочей станции (в зависимости от типа рабочей станции и ее сегмента в сети) —  до **100** тыс. рублей.
•	Преодоление сетевого периметра и закрепление на узле в инфраструктуре — до **150** тыс. рублей (зависит от типа узла, учетной записи или сегмента, где это удалось сделать).
•	Потенциальная возможность нарушения работы инфраструктурных систем под админом домена (DC, Exchange). В качестве доказательства - создать учетную запись standoff365 в группе Администраторы домена – до **200** тыс. руб. 
•	Потенциальное нарушение работы платформы виртуализации (повреждение или шифрование). В качестве доказательства - скрин консоли управления под админом – до **300** тыс. руб.
•	Получение доступа к системе проведения платежей под привилегированной учетной записью сотрудника финансовой структуры и отправка платежного поручения на свой подконтрольный счет (на сумму не более 2 тыс. руб.) с последующим отказом банка в его проведении — до **200** тыс. рублей.

### В рамках программы не выплачивается вознаграждение:
- за отчеты о любых уязвимостях;
- отчеты о недостатках конфигурации;
- любые другие отчеты, которые не содержат информации о реализации недопустимого события.

### Требования к участникам
- Участвовать в программе могут все заинтересованные исследователи, являющиеся гражданами Российской Федерации, в возрасте от 18 лет. Исследователи в возрасте от 14 до 18 лет имеют право участвовать только при наличии письменного согласия родителей или законного представителя.
- В программе не могут участвовать:
•	Действующие сотрудники EKF.
•	Действующие сотрудники контрагентов EKF, которым предоставляется доступ к инфраструктуре EKF для выполнения служебных обязанностей.
•	Физлица, которые оказывали EKF консультационные услуги, связанные с информационной безопасностью или информационными технологиями, то есть лица, получавшие сведения об устройстве части инфраструктуры компании по служебной необходимости за последние три года.

### Исследователям необходимо:
- Соблюдать правила раскрытия отчетов, описанные в программе, а также правила платформы Standoff Bug Bounty.
- Соблюдать правила конфиденциальности информации. Запрещено распространять любую информацию, случайным образом полученную в ходе исследования инфраструктуры или попыток реализации недопустимого события.
- Не разглашать информацию о ходе исследований без согласования с компанией. При возникновении вопросов рекомендуется обращаться к команде безопасности EKF через платформу Standoff Bug Bounty.
- Поддерживать общение с командой безопасности, направлять ей отчеты о попытках реализации недопустимых событий, оформленные согласно описанным в программе требованиям, и давать обратную связь, если у специалистов возникнут вопросы об отчете.

### EKF обязуется:
- Обрабатывать отчеты в течение 3 (трех) недель с момента их получения.
- Не выдвигать исследователям необоснованные обвинения, связанные с участием в программе.
- Уважать исследователей. При соблюдении исследователями требований и правил программы EKF отказывается от любых претензий в их сторону.

### Публичное раскрытие информации об исследованиях
Публичное раскрытие информации по умолчанию запрещено.

### Запрещенные действия
Исследователям запрещено:
- Устраиваться на работу в компанию для получения легитимного доступа к системам EKF и реализации недопустимых событий.
- Подкупать действующих сотрудников компании или осуществлять с ними сговор.
- Пользоваться иной добровольной помощью действующих сотрудников компании (прикрытие действий исследователя, облегчение доступа или реализации недопустимого события, добровольное предоставление оборудования, принадлежащего компании).
- Использовать любые способы воздействия на работников компании, которые несут угрозу здоровью или жизни, похищать сотрудников или членов их семей. Кроме того, запрещено похищать любые устройства, гаджеты и иную собственность сотрудников и компании.
- Физически портить имущество компании или применять к нему грубую силу, чтобы облегчить реализацию недопустимых событий. Проводить физические атаки на персонал, дата-центры и офисы компании.
- Подкупать, иным образом воздействовать на поставщиков услуг или контрагентов компании, вступать с ними в сговор.
- Использовать любые ошибки, проблемы безопасности или уязвимости в личных целях.
- Использовать инструменты тестирования уязвимостей, автоматически генерирующие значительные объемы трафика и приводящие к атакам с исчерпанием ресурсов.
- Проводить атаки, наносящие вред целостности и доступности сервисов (например, DoS-атаки), пытаться эксплуатировать уязвимость, нацеленную на исчерпание ресурсов.
- Удалять любую информацию, принадлежащую компании, если это не нужно для сокрытия своих следов пребывания в инфраструктуре (удалять записи о собственных действиях в журналах безопасности и собственные артефакты можно).

- В скоуп **не входят** компьютерные розетки в офисах и прочие устройства для физического подключения.**
 - Атаковать клиентов и партнеров EKF, в том числе с использованием техник социальной инженерии (фишинг, вишинг и т. д.) и спам-рассылок - **запрещено**.

### Требования к оформлению отчета
Отчет о недопустимом событии должен содержать:
- Доказательства того, что вход в инфраструктуру осуществлен через сетевой периметр EKF.
- Детальную информацию о ходе исследования (техническое описание), включающую метод проникновения в инфраструктуру, время выполнения каждого из шагов, все затронутые системы, скомпрометированных пользователей, детальный ход реализации недопустимого события, методы сокрытия пребывания в инфраструктуре и информацию об артефактах, использованных для закрепления в инфраструктуре, информацию об использованных эксплойтах или листинг эксплойта.
- Если в отчете обнаружены спорные моменты, пробелы в описании и неточности, EKF имеет право запрашивать у исследователя разъяснения и дополнительную информацию. При игнорировании исследователем уточняющих запросов отчет может быть отклонен.
- В техническом описании необходимо построчно по шагам расписать цепочку реализации недопустимого события (или цепочку до конечного шага, на котором вас «выбили» из инфраструктуры). Например, цепочка может состоять из следующих шагов:

21.02.2022 20:22 Сканирование портов на узле xxx.xx.xxx.xx (обнаружен порт 3389).
21.02.2022 20:24 Брутфорс RDP (учетка user:qwerty).
21.02.2022 20:55 Повышение привилегий с использованием уязвимости. Закрепление на узле (создание учетной записи SUPERUSER с правами администратора).
yyy.yyy.yyy.yyy, уязвимый для BlueKeep).
21.02.2022 22:22 Дальнейшее продвижение по сети (RCE через BlueKeep).
<…>