Электрорешения
Company: ЭлектрорешенияКомпания Электрорешения - представитель международного бренда EKF. Производитель электрооборудования, комплексных энергоэффективных решений по электроснабжению и автоматизации, а также разработчик программного обеспечения – IoT EKF Connect Home для дома и IIoT EKF Connect Industry для промышленности.
Rewards are paid to individual entrepreneurs and self-employed persons
Only citizens of the following countries can participate: Russia
Program description
Программа действует до 16 декабря 2025 года 23:59 MSK или до первой успешной реализации недопустимого события.
Описание недопустимого события для EKF
Нарушение процессов восстановления: уничтожение или шифрование backup-копий.
Продемонстрируйте возможность получения привилегированных прав доступа к системе резервного копирования EKF. Уровень полученного доступа должен позволить без ограничений осуществить потенциальное шифрование или уничтожение данных всех систем в системе резервного копирования. Для демонстрации покажите шифрование тестового файла standoff365_hack_me на диске с бэкапами сервера резервного копирования.
Продемонстрируйте возможность получения привилегированных прав доступа к системе резервного копирования EKF. Уровень полученного доступа должен позволить без ограничений осуществить потенциальное шифрование или уничтожение данных всех систем в системе резервного копирования. Для демонстрации покажите шифрование тестового файла standoff365_hack_me на диске с бэкапами сервера резервного копирования.
Внимание! Осуществлять само шифрование или уничтожение любых других данных, кроме тестового файла standoff365_hack_me, строжайше запрещено.
Скоуп
*.ekfgroup.com
*.ekf.su
89.175.153.234
78.155.208.19-78.155.208.28
213.33.168.139
213.33.168.138
почтовые ящики в корпоративном почтовом домене @ekf.su.
*.ekf.su
89.175.153.234
78.155.208.19-78.155.208.28
213.33.168.139
213.33.168.138
почтовые ящики в корпоративном почтовом домене @ekf.su.
- Исследователям предлагается подойти к выполнению задания творчески и использовать методы OSINT для обнаружения ресурсов, принадлежащих компании.
- При обнаружении ресурсов компании, не указанных в скоупе, до начала их тестирования необходимо согласовать любые действия по адресу эл. почты sec@ekf.su.
- Разрешены фишинговые рассылки на почтовые ящики в строго в почтовом домене @ekf.su
Обращаем внимание, что EKF стремится создать для тестирования условия, максимально приближенные к боевым: компания будет реагировать на проникновение в штатном режиме, относиться к исследователям с полной серьезностью и «выбивать» атакующих из инфраструктуры.
Вознаграждение
Участник, который первым реализовал недопустимое событие и представил о нем отчет, получает 800 тыс. рублей.
Вознаграждение выплачивается в рублях. При изменении способа получения вознаграждения все комиссии и затраты возлагаются на победителя.
Вознаграждение выплачивается в рублях. При изменении способа получения вознаграждения все комиссии и затраты возлагаются на победителя.
В рамках программы может быть выплачено поощрительное вознаграждение за промежуточные результаты:
• Компрометация корпоративной учётной записи пользователя компании, с закреплением на корпоративной рабочей станции (в зависимости от типа рабочей станции и ее сегмента в сети) — до 100 тыс. рублей.
• Преодоление сетевого периметра и закрепление на узле в инфраструктуре — до 150 тыс. рублей (зависит от типа узла, учетной записи или сегмента, где это удалось сделать).
• Потенциальная возможность нарушения работы инфраструктурных систем под админом домена (DC, Exchange) – до 200 тыс. руб.
• Потенциальное нарушение работы платформы виртуализации (повреждение или шифрование). В качестве доказательства - скрин консоли управления под админом – до 300 тыс. руб.
• Получение доступа к системе проведения платежей под привилегированной учетной записью сотрудника финансовой структуры и отправка платежного поручения на свой подконтрольный счет (на сумму не более 2 тыс. руб.) с последующим отказом банка в его проведении — до 200 тыс. рублей.
• Компрометация корпоративной учётной записи пользователя компании, с закреплением на корпоративной рабочей станции (в зависимости от типа рабочей станции и ее сегмента в сети) — до 100 тыс. рублей.
• Преодоление сетевого периметра и закрепление на узле в инфраструктуре — до 150 тыс. рублей (зависит от типа узла, учетной записи или сегмента, где это удалось сделать).
• Потенциальная возможность нарушения работы инфраструктурных систем под админом домена (DC, Exchange) – до 200 тыс. руб.
• Потенциальное нарушение работы платформы виртуализации (повреждение или шифрование). В качестве доказательства - скрин консоли управления под админом – до 300 тыс. руб.
• Получение доступа к системе проведения платежей под привилегированной учетной записью сотрудника финансовой структуры и отправка платежного поручения на свой подконтрольный счет (на сумму не более 2 тыс. руб.) с последующим отказом банка в его проведении — до 200 тыс. рублей.
В рамках программы не выплачивается вознаграждение:
- за отчеты о любых уязвимостях;
- отчеты о недостатках конфигурации;
- любые другие отчеты, которые не содержат информации о реализации недопустимого события.
Требования к участникам
- Участвовать в программе могут все заинтересованные исследователи, являющиеся гражданами Российской Федерации, в возрасте от 18 лет. Исследователи в возрасте от 14 до 18 лет имеют право участвовать только при наличии письменного согласия родителей или законного представителя.
- В программе не могут участвовать:
• Действующие сотрудники EKF.
• Действующие сотрудники контрагентов EKF, которым предоставляется доступ к инфраструктуре EKF для выполнения служебных обязанностей.
• Физлица, которые оказывали EKF консультационные услуги, связанные с информационной безопасностью или информационными технологиями, то есть лица, получавшие сведения об устройстве части инфраструктуры компании по служебной необходимости за последние три года.
Исследователям необходимо:
- Соблюдать правила раскрытия отчетов, описанные в программе, а также правила платформы Standoff Bug Bounty.
- Соблюдать правила конфиденциальности информации. Запрещено распространять любую информацию, случайным образом полученную в ходе исследования инфраструктуры или попыток реализации недопустимого события.
- Не разглашать информацию о ходе исследований без согласования с компанией. При возникновении вопросов рекомендуется обращаться к команде безопасности EKF через платформу Standoff Bug Bounty.
- Поддерживать общение с командой безопасности, направлять ей отчеты о попытках реализации недопустимых событий, оформленные согласно описанным в программе требованиям, и давать обратную связь, если у специалистов возникнут вопросы об отчете.
EKF обязуется:
- Обрабатывать отчеты в течение 3 (трех) недель с момента их получения.
- Не выдвигать исследователям необоснованные обвинения, связанные с участием в программе.
- Уважать исследователей. При соблюдении исследователями требований и правил программы EKF отказывается от любых претензий в их сторону.
Публичное раскрытие информации об исследованиях
Публичное раскрытие информации по умолчанию запрещено.
Запрещенные действия
Исследователям запрещено:
-
Устраиваться на работу в компанию для получения легитимного доступа к системам EKF и реализации недопустимых событий.
-
Подкупать действующих сотрудников компании или осуществлять с ними сговор.
-
Пользоваться иной добровольной помощью действующих сотрудников компании (прикрытие действий исследователя, облегчение доступа или реализации недопустимого события, добровольное предоставление оборудования, принадлежащего компании).
-
Использовать любые способы воздействия на работников компании, которые несут угрозу здоровью или жизни, похищать сотрудников или членов их семей. Кроме того, запрещено похищать любые устройства, гаджеты и иную собственность сотрудников и компании.
-
Физически портить имущество компании или применять к нему грубую силу, чтобы облегчить реализацию недопустимых событий. Проводить физические атаки на персонал, дата-центры и офисы компании.
-
Подкупать, иным образом воздействовать на поставщиков услуг или контрагентов компании, вступать с ними в сговор.
-
Использовать любые ошибки, проблемы безопасности или уязвимости в личных целях.
-
Использовать инструменты тестирования уязвимостей, автоматически генерирующие значительные объемы трафика и приводящие к атакам с исчерпанием ресурсов.
-
Проводить атаки, наносящие вред целостности и доступности сервисов (например, DoS-атаки), пытаться эксплуатировать уязвимость, нацеленную на исчерпание ресурсов.
-
Удалять любую информацию, принадлежащую компании, если это не нужно для сокрытия своих следов пребывания в инфраструктуре (удалять записи о собственных действиях в журналах безопасности и собственные артефакты можно).
-
В скоуп не входят компьютерные розетки в офисах и прочие устройства для физического подключения.**
-
Атаковать клиентов и партнеров EKF, в том числе с использованием техник социальной инженерии (фишинг, вишинг и т. д.) и спам-рассылок - запрещено.
Требования к оформлению отчета
Отчет о недопустимом событии должен содержать:
- Доказательства того, что вход в инфраструктуру осуществлен через сетевой периметр EKF.
- Детальную информацию о ходе исследования (техническое описание), включающую метод проникновения в инфраструктуру, время выполнения каждого из шагов, все затронутые системы, скомпрометированных пользователей, детальный ход реализации недопустимого события, методы сокрытия пребывания в инфраструктуре и информацию об артефактах, использованных для закрепления в инфраструктуре, информацию об использованных эксплойтах или листинг эксплойта.
- Если в отчете обнаружены спорные моменты, пробелы в описании и неточности, EKF имеет право запрашивать у исследователя разъяснения и дополнительную информацию. При игнорировании исследователем уточняющих запросов отчет может быть отклонен.
- В техническом описании необходимо построчно по шагам расписать цепочку реализации недопустимого события (или цепочку до конечного шага, на котором вас «выбили» из инфраструктуры). Например, цепочка может состоять из следующих шагов:
21.02.2022 20:22 Сканирование портов на узле xxx.xx.xxx.xx (обнаружен порт 3389).
21.02.2022 20:24 Брутфорс RDP (учетка user:qwerty).
21.02.2022 20:55 Повышение привилегий с использованием уязвимости. Закрепление на узле (создание учетной записи SUPERUSER с правами администратора).
yyy.yyy.yyy.yyy, уязвимый для BlueKeep).
21.02.2022 22:22 Дальнейшее продвижение по сети (RCE через BlueKeep).
<…>
21.02.2022 20:24 Брутфорс RDP (учетка user:qwerty).
21.02.2022 20:55 Повышение привилегий с использованием уязвимости. Закрепление на узле (создание учетной записи SUPERUSER с правами администратора).
yyy.yyy.yyy.yyy, уязвимый для BlueKeep).
21.02.2022 22:22 Дальнейшее продвижение по сети (RCE через BlueKeep).
<…>