- •Об авторах
- •О рецензентах
- •Предисловие
- •Стратегия безопасности
- •Текущий ландшафт киберугроз
- •Приложения
- •Данные
- •Проблемы кибербезопасности
- •Старые методы и более широкие результаты
- •Изменение ландшафта угроз
- •Улучшение стратегии безопасности
- •Красная и Синяя команды
- •Подразумеваем взлом
- •Справочные материалы
- •Резюме
- •Процесс реагирования на компьютерные инциденты
- •Процесс реагирования на компьютерные инциденты
- •Создание процесса реагирования на компьютерные инциденты
- •Команда реагирования на компьютерные инциденты
- •Жизненный цикл компьютерного инцидента
- •Обработка инцидента
- •Передовые методы оптимизации обработки компьютерных инцидентов
- •Деятельность после инцидента
- •Реальный сценарий
- •Выводы
- •Реагирование на компьютерные инциденты в облаке
- •Справочные материалы
- •Резюме
- •Жизненный цикл атаки
- •Внешняя разведка
- •Сканирование
- •Доступ и повышение привилегий
- •Вертикальное повышение привилегий
- •Горизонтальное повышение привилегий
- •Проникновение и утечки
- •Тыловое обеспечение
- •Штурм
- •Обфускация
- •Управление жизненным циклом угроз
- •Справочные материалы
- •Резюме
- •Разведка и сбор данных
- •Внешняя разведка
- •Копание в мусоре
- •Социальные сети
- •Социальная инженерия
- •Внутренняя разведка
- •Анализ трафика и сканирование
- •Вардрайвинг
- •Завершая эту главу
- •Справочные материалы
- •Резюме
- •Компрометация системы
- •Анализ современных тенденций
- •Вымогательство
- •Манипулирование данными
- •Атаки на IoT-устройства
- •Бэкдоры
- •Атаки на мобильные устройства
- •Взлом повседневных устройств
- •Взлом облака
- •Фишинг
- •Эксплуатация уязвимостей
- •Уязвимость нулевого дня
- •Фаззинг
- •Анализ исходного кода
- •Типы эксплойтов нулевого дня
- •Перезапись структурированного обработчика исключений
- •Развертывание полезных нагрузок
- •Компрометация операционных систем
- •Компрометация удаленной системы
- •Компрометация веб-приложений
- •Справочные материалы
- •Резюме
- •Охота на пользовательские реквизиты
- •Стратегии компрометации реквизитов доступа пользователя
- •Получение доступа к сети
- •Сбор учетных данных
- •Взлом реквизитов доступа пользователя
- •Полный перебор
- •Социальная инженерия
- •Атака Pass-the-hash
- •Другие способы взлома реквизитов доступа
- •Справочные материалы
- •Резюме
- •Дальнейшее распространение по сети
- •Инфильтрация
- •Построение карты сети
- •Избежать оповещений
- •Дальнейшее распространение
- •Сканирование портов
- •Sysinternals
- •Общие файловые ресурсы
- •Удаленный доступ к рабочему столу
- •PowerShell
- •Инструментарий управления Windows
- •Запланированные задачи
- •Кража авторизационных токенов
- •Атака Pass-the-hash
- •Active Directory
- •Удаленный доступ к реестру
- •Анализ взломанных хостов
- •Консоли центрального администратора
- •Кража сообщений электронной почты
- •Справочные материалы
- •Резюме
- •Повышение привилегий
- •Инфильтрация
- •Горизонтальное повышение привилегий
- •Вертикальное повышение привилегий
- •Как избежать оповещений
- •Выполнение повышения привилегий
- •Эксплуатация неисправленных операционных систем
- •Манипулирование маркерами доступа
- •Эксплуатация специальных возможностей
- •Application Shimming
- •Обход контроля над учетной записью пользователя
- •Внедрение DLL-библиотек
- •Перехват порядка поиска DLL
- •Перехват поиска dylib
- •Исследование уязвимостей
- •Запускаемые демоны
- •Практический пример повышения привилегий в Windows 8
- •Выводы
- •Справочные материалы
- •Резюме
- •Политика безопасности
- •Проверка политики безопасности
- •Обучение конечного пользователя
- •Рекомендации по безопасности для пользователей социальных сетей
- •Тренинг по безопасности
- •Использование политики
- •Белый список приложений
- •Усиление защиты
- •Мониторинг на предмет соответствия
- •Справочные материалы
- •Резюме
- •Сегментация сети
- •Глубоко эшелонированная защита
- •Инфраструктура и службы
- •Документы в процессе передачи
- •Конечные точки
- •Сегментация физической сети
- •Открывая схему сети
- •Обеспечение удаленного доступа к сети
- •VPN типа «сеть–сеть»
- •Сегментация виртуальной сети
- •Безопасность гибридной облачной сети
- •Справочные материалы
- •Резюме
- •Активные сенсоры
- •Возможности обнаружения
- •Индикаторы компрометации
- •Системы обнаружения вторжений
- •Система предотвращения вторжений
- •Обнаружение на основе правил
- •Обнаружение на основе аномалий
- •Поведенческая аналитика внутри организации
- •Размещение устройств
- •Поведенческая аналитика в гибридном облаке
- •Центр безопасности Azure
- •Справочные материалы
- •Резюме
- •Киберразведка
- •Введение в киберразведку
- •Инструментальные средства киберразведки с открытым исходным кодом
- •Средства киберразведки компании Microsoft
- •Центр безопасности Azure
- •Использование киберразведки для расследования подозрительной деятельности
- •Справочные материалы
- •Резюме
- •Расследование инцидента
- •Масштаб проблемы
- •Ключевые артефакты
- •Исследование скомпрометированной системы внутри организации
- •Исследование скомпрометированной системы в гибридном облаке
- •Ищите и обрящете
- •Выводы
- •Справочные материалы
- •Резюме
- •Процесс восстановления
- •План послеаварийного восстановления
- •Процесс планирования послеаварийного восстановления
- •Вызовы
- •Восстановление без перерыва в обслуживании
- •Планирование на случай непредвиденных обстоятельств
- •Процесс планирования на случай непредвиденных обстоятельств в сфере IT
- •Передовые методы восстановления
- •Справочные материалы
- •Резюме
- •Управление уязвимостями
- •Создание стратегии управления уязвимостями
- •Инвентаризация ресурсов
- •Управление информацией
- •Оценка рисков
- •Оценка уязвимостей
- •Отчеты и отслеживание исправлений
- •Планирование реагирования
- •Инструменты управления уязвимостями
- •Реализация управления уязвимостями
- •Передовые методы управления уязвимостями
- •Реализация управления уязвимостями с помощью Nessus
- •Flexera (Secunia) Personal Software Inspecto
- •Заключение
- •Справочные материалы
- •Резюме
- •Анализ журналов
- •Сопоставление данных
- •Журналы операционной системы
- •Журналы Windows
- •Журналы Linux
- •Журналы брандмауэра
- •Журналы веб-сервера
- •Справочные материалы
- •Резюме
- •Предметный указатель
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
F |
|
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
|
NOW! |
o |
P |
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
|
|
|
|
|
BUY |
|
|
||||||||
|
|
|
|
to |
82 Разведка и сбор данных |
|
|
|
|
to |
|
|
|
|
|
|
|||||||
w Click |
|
w Click |
|
|
|
|
|
|
|
||||||||||||||
|
|
|
|
|
|
|
m |
|
|
|
|
|
|
|
m |
||||||||
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
o |
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
. |
|
|
|
|
g |
.c |
|
||||||
|
|
p |
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
df |
|
|
n |
e |
|
||||||
|
|
|
|
|
|
могают» им решатьэти проблемы.Они проводятихчерез необходимые этапы, |
|
|
|
|
|
|
|
||||||||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
которые затем дают злоумышленникам доступ к компьютерам жертв или воз- можность запуска вредоносных программ. Это утомительный метод с очень низким уровнем успеха.
Пристраивание
Этонаименеераспространенныйтипатаки,ионненастолькотехническипро- двинут, как те, что мы обсуждали ранее. Тем не менее у него значительный процент успеха. Злоумышленники используют этот метод для входа в закры- тые помещения или части зданий. В большинстве помещений организации имеется электронный контроль доступа, и пользователям обычно требуется пропуск биометрических или RFID-карт. Злоумышленник идет за сотрудни- ком,у которого есть законный доступ,и входит за ним.Время от времени зло- умышленник можетпопросить сотрудника одолжить свою RFID-карту или под видом проблем сдоступностью получитьдоступ,используя поддельную карту.
Внутренняя разведка
Вотличиеотвнешнихразведывательныхатак,внутренняяразведкапроводит- ся на месте. Это означает, что атаки выполняются внутри сети, систем и по- мещений организации. В основном этому процессу помогают программные средства. Злоумышленник взаимодействует с реальными целевыми система- ми, чтобы получить информацию об их уязвимостях. В этом состоит основное отличие методов внутренней и внешней разведки.
Внешняяразведкаосуществляетсябезвзаимодействияссистемой,путемпо- иска точек входа через людей, которые работают в организации. Вот почему большинство попыток внешней разведки связано с хакерами, пытающимися связаться с пользователями через социальные сети,электронную почту ителе- фонныезвонки.Внутренняяразведкапо-прежнемуявляетсяпассивнойатакой, поскольку цель состоит в том, чтобы найти информацию, которая может быть использована в дальнейшем для осуществления еще более серьезной атаки.
Основной целью внутренней разведки является внутренняя сеть организа- ции, где хакеры обязательно найдут серверы данных и IP-адреса хостов, кото- рые могут инфицировать. Известно, что данные в сети могут быть прочитаны любым пользователем в той же сети с помощью правильного набора средств и навыков.Злоумышленники используют сети для обнаружения и анализа по- тенциальных целей для атаки в будущем. Внутренняя разведка применяется для определения механизмов безопасности, которые предотвращают попыт- ки взлома.Существуетмного инструментов кибербезопасности,которые были созданы для нейтрализации программного обеспечения, используемого для проведения разведывательных атак.Однако большинство организаций никог- да не устанавливает достаточно средств для обеспечения безопасности, и ха- керы продолжают находить способы скомпрометировать уже установленные средства. Существует ряд инструментов, протестированных хакерами и дока-
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
F |
|
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
|
NOW! |
o |
P |
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
Внутренняя разведка 83to |
BUY |
|
|
||||||||||||
|
|
|
|
to |
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||
w Click |
|
|
|
|
|
|
|
m |
w Click |
|
|
|
|
|
|
|
m |
||||||
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
o |
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
. |
|
|
|
|
g |
.c |
|
||||||
|
|
p |
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
df |
|
|
n |
e |
|
||||||
|
|
|
|
|
|
завших свою эффективность при изучении сетей жертв. Большинство из них |
|
|
|
|
|
|
|
||||||||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
можно классифицировать как средства анализа трафика.
Анализ трафика и сканирование
Эти термины, используемые в сетевой среде, обычно относятся к подслушива- нию трафика в сети. Они позволяют злоумышленникам и защитникам точно знать, что происходит в сети. Средства анализа трафика предназначены для за- хвата пакетов, передаваемых по сети, и их анализа, который затем предостав- ляется в удобочитаемом формате.Для проведения внутренней разведки анализ пакетов более чем необходим.Ондаетзлоумышленникам множество информа- ции о сети,что можно сравнить с чтением логического макета сети на бумаге.
Некоторые средства сниффинга позволяют раскрывать конфиденциальную информацию, такую как пароли от сетей, защищенных Wi-Fi с шифрованием WEP.Другие позволяют хакерам перехватыватьтрафик в проводных и беспро- водных сетях в течение длительного периода времени, после чего они могут проводить анализ по своему усмотрению. На сегодняшний день существует множество инструментов, которые используют хакеры.
Prismdump
Разработанный исключительно для Linux, этот инструмент позволяет хакерам осуществлять анализ трафика карт на базе чипсетов Prism2. Эта технология предназначена только для захвата пакетов, поэтому оставляет анализ другим инструментам. Это причина, по которой данный инструмент сохраняет запи- санные пакеты в формате pcap, который широко используется другими сред- ствами анализа трафика. Большинство инструментов с открытым исходным кодомиспользуетpcapвкачествестандартногоформатасохраненныхпакетов. Поскольку эта утилита предназначена только для сбора данных, она надежна и может применяться для длительных разведывательных миссий. На рис. 4.3 показан скриншот prismdump.
Рис.4.3
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
84 Разведка и сбор данных |
|||||
w Click |
|
|||||||||
|
|
|
|
|
|
m |
||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
|
|
e |
|
|
|
|
|
|
|
tcpdump |
|||||
|
|
|
|
|
n |
|
|
|
||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
Этосредствоанализатрафикасоткрытымисходнымкодом,котороеприменя- етсядля захватаи анализа пакетов.tcpdump используетинтерфейскомандной строки. Он был специально разработан для записи пакетов, поскольку у него нет графического интерфейса пользователя, который позволяет анализиро- ватьиотображатьданные.Этосредствообладаетоднойизсамыхмощныхвоз- можностей фильтрации пакетов и может даже записывать пакеты выборочно, что отличает его от большинства других средств анализа трафика, у которых нет средств фильтрации пакетов во время захвата. Ниже приведен скриншот tcpdump (рис. 4.4). На нем он прослушивает команды ping, отправляемые на его хост.
Рис.4.4
NMap
Это инструмент анализа сетевого кода с открытым исходным кодом, который обычно используется для построения карты сети. Он записывает IP-пакеты, входящие и выходящие из сети, а также отображает подробную информацию о сети, такую как устройства, подключенные к ней, а также любые открытые и закрытые порты. NMap может даже определять операционные системы устройств,подключенных к сети,а также конфигурации брандмауэров.Он ис- пользует простой текстовый интерфейс, но существует расширенная версия под названием Zenmap, у которой также есть графический интерфейс. Ниже приведен скриншот интерфейса nmap. Выполняемая команда:
#nmap 192.168.12.3
Эта команда используется для сканирования портов компьютера по IP-ад ресу 192.168.12.3 (рис. 4.5).
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
Внутренняя разведка 85to |
BUY |
|
|
|||||||
|
|
|
|
|
||||||
|
|
|
|
|
m |
|||||
w Click |
|
|
|
|
|
|
||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
Рис.4.5
Wireshark
Это одна из самых уважаемых утилит, используемых для сканирования сети и сниффинга. Она настолько мощная, что может украсть детали аутентифи- кации из трафика, отправляемого из сети (1). Сделать это удивительно лег- ко, так что можно легко стать хакером, просто выполнив несколько шагов. В Linux,Windows и Mac необходимо убедиться,что устройство,где установлен Wireshark (предпочтительно ноутбук), подключено к сети. Wireshark должен быть запущен, чтобы иметь возможность перехватывать пакеты. По истече- нии заданного периода времени можно остановить Wireshark и приступить к выполнению анализа. Для получения паролей необходимо отфильтровать
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
F |
|
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
|
NOW! |
o |
P |
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
|
|
|
|
|
BUY |
|
|
||||||||
|
|
|
|
to |
86 Разведка и сбор данных |
|
|
|
|
to |
|
|
|
|
|
|
|||||||
w Click |
|
w Click |
|
|
|
|
|
|
|
||||||||||||||
|
|
|
|
|
|
|
m |
|
|
|
|
|
|
|
m |
||||||||
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
o |
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
. |
|
|
|
|
g |
.c |
|
||||||
|
|
p |
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
df |
|
|
n |
e |
|
||||||
|
|
|
|
|
|
собранные данные, чтобы отображались только данные POST-запросов, по- |
|
|
|
|
|
|
|
||||||||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
тому что большинство сайтов использует POST для передачи информации об аутентификации на свои серверы.В нем будутперечислены все выполненные действия с данными POST.Затем щелкните правой кнопкой мыши по любому из них и выберите опцию, чтобы следовать за TCP-потоком. Wireshark откро- ет окно с именем пользователя и паролем. Временами захваченный пароль хешируется, причем такое часто встречается на сайтах. Можно легко ском- прометировать значение хеша и восстановить исходный пароль с помощью других утилит.
Wireshark также можно использовать для других функций, таких как вос- становление паролей от Wi-Fi-сетей. Поскольку это ПО с открытым исход- ным кодом, сообщество постоянно обновляет его возможности и, следова- тельно, будет продолжать добавлять новые функции. Его текущие основные функции включают в себя захват пакетов, импорт файлов pcap, отображе- ние информации протокола о пакетах, экспорт захваченных пакетов в не- скольких форматах, раскраску пакетов на основе фильтров, предоставление статистики о сети и возможность поиска по захваченным пакетам. У файла расширенныевозможности,иэтоделаетегоидеальнымдлявзлома.Сообще- ство открытого исходного кода, однако, использует его для «белого взлома», который обнаруживает уязвимости в сетях, прежде чем это сделают черные хакеры.
На рис. 4.6 приведен скриншот Wireshark, который захватывает сетевые па- кеты.
Рис.4.6
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
|
|
e |
|
|
|
|
|
|
|
Scanrand |
|||||
|
|
|
|
|
n |
|
|
|
||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
Внутренняя разведка 87to |
BUY |
|
|
|||||||
|
|
|
|
|
||||||
|
|
|
|
|
m |
|||||
w Click |
|
|
|
|
|
|
||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
Это специально созданный инструмент сканирования, являющийся чрез- вычайно быстрым, но эффективным. Он превосходит большинство других средств сканирования благодаря своей высокой скорости, которая достига- ется двумя способами. Эта утилита выполняет процесс, который отправляет несколько запросов одновременно,и процесс,который получаетответы и ин- тегрирует их. Оба процесса не согласовывают свои действия, и, следователь- но,никогда нельзя точно знать,чего ожидать,за исключением того,что будут ответные пакеты.
Однако существует хитрый способ на основе хеширования сообщений, ко- торый интегрирован в Scanrand.Он позволяетпросматриватьдействительные ответы,полученныеприсканировании.Scanrandполностьюотличаетсяотста- рых средств сканирования,таких как NMap.Его усовершенствование позволя- ет ему быстрее и эффективнее захватывать пакеты.
Cain and Abel
Этоодинизсамыхэффективныхинструментовдлявзломапаролей,созданных специально для платформы Windows. Он восстанавливает пароли, взламывая их с помощью словарных атак, метода полного перебора и криптоанализа. Он также анализирует трафик из сети, прослушивая разговоры в VoIP-прило жениях и обнаруживая кешированные пароли. Cain and Abel был оптимизи- рован для работы только с операционными системами Microsoft. На рис. 4.7 приводится скриншот.
Рис.4.7
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
88 Разведка и сбор данных |
|||||
w Click |
|
|||||||||
|
|
|
|
|
|
m |
||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
|
|
e |
|
|
|
|
|
|
|
Nessus |
|||||
|
|
|
|
|
n |
|
|
|
||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
Это бесплатный инструмент для сканирования, созданный и распространяе- мый компанией «Tenable Network Security». Он вошел в число лучших сете- вых сканеров и получил несколько наград как лучший сканер уязвимостей для белых хакеров. У Nessus есть ряд функций, которые могут пригодиться зло- умышленнику, занимающемуся внутренней разведкой. Инструмент может сканировать сеть и отображать подключенные устройства, которые имеют не- правильные конфигурации и пропущенные исправления. Nessus также пока- зывает устройства, которые используют пароли по умолчанию, слабые пароли или вообще не имеют паролей.
Он может восстанавливать пароли от некоторых устройств, запуская внешний инструмент, чтобы помочь ему со словарными атаками на цели в сети. Наконец,данный инструмент способен отображать аномальный тра- фик в сети, который можно использовать для мониторинга DDoS-атак. Nes- sus обладает возможностью вызова внешних инструментов для достижения дополнительной функциональности. Когда он начинает сканирование сети, то может обратиться к NMap, чтобы просканировать открытые порты, при этом автоматически объединитданные,которые собирает NMap.Затем Nes- sus сможет использовать этот тип данных для продолжения сканирования и поискадополнительной информации о сети с использованием команд,на- писанных на своем языке. На рис. 4.8 показан скриншот Nessus с отчетом о сканировании.
Рис.4.8