- •Об авторах
- •О рецензентах
- •Предисловие
- •Стратегия безопасности
- •Текущий ландшафт киберугроз
- •Приложения
- •Данные
- •Проблемы кибербезопасности
- •Старые методы и более широкие результаты
- •Изменение ландшафта угроз
- •Улучшение стратегии безопасности
- •Красная и Синяя команды
- •Подразумеваем взлом
- •Справочные материалы
- •Резюме
- •Процесс реагирования на компьютерные инциденты
- •Процесс реагирования на компьютерные инциденты
- •Создание процесса реагирования на компьютерные инциденты
- •Команда реагирования на компьютерные инциденты
- •Жизненный цикл компьютерного инцидента
- •Обработка инцидента
- •Передовые методы оптимизации обработки компьютерных инцидентов
- •Деятельность после инцидента
- •Реальный сценарий
- •Выводы
- •Реагирование на компьютерные инциденты в облаке
- •Справочные материалы
- •Резюме
- •Жизненный цикл атаки
- •Внешняя разведка
- •Сканирование
- •Доступ и повышение привилегий
- •Вертикальное повышение привилегий
- •Горизонтальное повышение привилегий
- •Проникновение и утечки
- •Тыловое обеспечение
- •Штурм
- •Обфускация
- •Управление жизненным циклом угроз
- •Справочные материалы
- •Резюме
- •Разведка и сбор данных
- •Внешняя разведка
- •Копание в мусоре
- •Социальные сети
- •Социальная инженерия
- •Внутренняя разведка
- •Анализ трафика и сканирование
- •Вардрайвинг
- •Завершая эту главу
- •Справочные материалы
- •Резюме
- •Компрометация системы
- •Анализ современных тенденций
- •Вымогательство
- •Манипулирование данными
- •Атаки на IoT-устройства
- •Бэкдоры
- •Атаки на мобильные устройства
- •Взлом повседневных устройств
- •Взлом облака
- •Фишинг
- •Эксплуатация уязвимостей
- •Уязвимость нулевого дня
- •Фаззинг
- •Анализ исходного кода
- •Типы эксплойтов нулевого дня
- •Перезапись структурированного обработчика исключений
- •Развертывание полезных нагрузок
- •Компрометация операционных систем
- •Компрометация удаленной системы
- •Компрометация веб-приложений
- •Справочные материалы
- •Резюме
- •Охота на пользовательские реквизиты
- •Стратегии компрометации реквизитов доступа пользователя
- •Получение доступа к сети
- •Сбор учетных данных
- •Взлом реквизитов доступа пользователя
- •Полный перебор
- •Социальная инженерия
- •Атака Pass-the-hash
- •Другие способы взлома реквизитов доступа
- •Справочные материалы
- •Резюме
- •Дальнейшее распространение по сети
- •Инфильтрация
- •Построение карты сети
- •Избежать оповещений
- •Дальнейшее распространение
- •Сканирование портов
- •Sysinternals
- •Общие файловые ресурсы
- •Удаленный доступ к рабочему столу
- •PowerShell
- •Инструментарий управления Windows
- •Запланированные задачи
- •Кража авторизационных токенов
- •Атака Pass-the-hash
- •Active Directory
- •Удаленный доступ к реестру
- •Анализ взломанных хостов
- •Консоли центрального администратора
- •Кража сообщений электронной почты
- •Справочные материалы
- •Резюме
- •Повышение привилегий
- •Инфильтрация
- •Горизонтальное повышение привилегий
- •Вертикальное повышение привилегий
- •Как избежать оповещений
- •Выполнение повышения привилегий
- •Эксплуатация неисправленных операционных систем
- •Манипулирование маркерами доступа
- •Эксплуатация специальных возможностей
- •Application Shimming
- •Обход контроля над учетной записью пользователя
- •Внедрение DLL-библиотек
- •Перехват порядка поиска DLL
- •Перехват поиска dylib
- •Исследование уязвимостей
- •Запускаемые демоны
- •Практический пример повышения привилегий в Windows 8
- •Выводы
- •Справочные материалы
- •Резюме
- •Политика безопасности
- •Проверка политики безопасности
- •Обучение конечного пользователя
- •Рекомендации по безопасности для пользователей социальных сетей
- •Тренинг по безопасности
- •Использование политики
- •Белый список приложений
- •Усиление защиты
- •Мониторинг на предмет соответствия
- •Справочные материалы
- •Резюме
- •Сегментация сети
- •Глубоко эшелонированная защита
- •Инфраструктура и службы
- •Документы в процессе передачи
- •Конечные точки
- •Сегментация физической сети
- •Открывая схему сети
- •Обеспечение удаленного доступа к сети
- •VPN типа «сеть–сеть»
- •Сегментация виртуальной сети
- •Безопасность гибридной облачной сети
- •Справочные материалы
- •Резюме
- •Активные сенсоры
- •Возможности обнаружения
- •Индикаторы компрометации
- •Системы обнаружения вторжений
- •Система предотвращения вторжений
- •Обнаружение на основе правил
- •Обнаружение на основе аномалий
- •Поведенческая аналитика внутри организации
- •Размещение устройств
- •Поведенческая аналитика в гибридном облаке
- •Центр безопасности Azure
- •Справочные материалы
- •Резюме
- •Киберразведка
- •Введение в киберразведку
- •Инструментальные средства киберразведки с открытым исходным кодом
- •Средства киберразведки компании Microsoft
- •Центр безопасности Azure
- •Использование киберразведки для расследования подозрительной деятельности
- •Справочные материалы
- •Резюме
- •Расследование инцидента
- •Масштаб проблемы
- •Ключевые артефакты
- •Исследование скомпрометированной системы внутри организации
- •Исследование скомпрометированной системы в гибридном облаке
- •Ищите и обрящете
- •Выводы
- •Справочные материалы
- •Резюме
- •Процесс восстановления
- •План послеаварийного восстановления
- •Процесс планирования послеаварийного восстановления
- •Вызовы
- •Восстановление без перерыва в обслуживании
- •Планирование на случай непредвиденных обстоятельств
- •Процесс планирования на случай непредвиденных обстоятельств в сфере IT
- •Передовые методы восстановления
- •Справочные материалы
- •Резюме
- •Управление уязвимостями
- •Создание стратегии управления уязвимостями
- •Инвентаризация ресурсов
- •Управление информацией
- •Оценка рисков
- •Оценка уязвимостей
- •Отчеты и отслеживание исправлений
- •Планирование реагирования
- •Инструменты управления уязвимостями
- •Реализация управления уязвимостями
- •Передовые методы управления уязвимостями
- •Реализация управления уязвимостями с помощью Nessus
- •Flexera (Secunia) Personal Software Inspecto
- •Заключение
- •Справочные материалы
- •Резюме
- •Анализ журналов
- •Сопоставление данных
- •Журналы операционной системы
- •Журналы Windows
- •Журналы Linux
- •Журналы брандмауэра
- •Журналы веб-сервера
- •Справочные материалы
- •Резюме
- •Предметный указатель
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
|
|
e |
|
|
|
|
|
|
|
Metasploit |
|||||
|
|
|
|
|
n |
|
|
|
||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
Внутренняя разведка 89to |
BUY |
|
|
|||||||
|
|
|
|
|
||||||
|
|
|
|
|
m |
|||||
w Click |
|
|
|
|
|
|
||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
Это легендарный фреймворк, состоящий из ряда инструментов, которые ис- пользуются для сканирования и эксплуатации сетей. Благодаря широким воз- можностямданногоинструментабольшинствоинструкторов,«белыххакеров», использует его для передачи знаний своим ученикам. Он также используется для проведения тестирования на проникновения и является предпочтитель- ным программным обеспечением в ряде организаций. На данный момент в этом фреймворке имеется свыше 1500 эксплойтов, которые можно исполь- зовать для браузеров,операционных систем Android,Microsoft,Linux и Solaris, а также есть некоторые иные эксплойты, применимые к любой платформе. Metasploit развертывает свои полезные нагрузки, используя командную обо- лочку, meterpreter или динамические полезные нагрузки.
Преимущество Metasploit состоитвтом,что у него естьмеханизмы,которые обнаруживаютпрограммы безопасности,присутствующие в сети,и уклоняют- ся от них.У фреймворка есть несколько команд, которые можно использовать для анализа информации из сетей, а также дополнительные инструменты, ко- торые можно использоватьдля эксплуатации после сбора информации об уяз- вимостях в сети.
На рис. 4.9 приведены скриншоты Metasploit.
Aircrack-ng
Еще один инструментдля сканирования беспроводных сетей–Aircrack-ng.Он специально используется для взлома защищенных беспроводных сетей. Это продвинутый инструмент.Он обладает алгоритмами,которые могут взломать защищенные беспроводные сети с шифрованием WEP, WPA и WPA2 (1).У него простые команды, и даже новичок сможет легко скомпрометировать защи- щенную сеть с шифрованием WEP. Потенциал Aircrack-ng проистекает из его комбинации атак FMS,Korek и PTW.Они оченьуспешны в отношении алгорит- мов, используемых для шифрования паролей.
FMS обычно используется против зашифрованных паролей RC4.WEP атаку- ется с помощью Korek. WPA, WPA2 и WEP подвергаются атакам с использова- нием PTW.Aircrack-ng работает основательно и почти всегда гарантирует вход
всети, использующие слабые пароли. На рис. 4.10 приведен его скриншот.
Вардрайвинг
Это метод внутренней разведки, используемый специально для обследования беспроводных сетей. Обычно он осуществляется из автомобиля и ориентиро- ванвосновномнанезащищенныесети.Естьнесколькоинструментов,которые были созданы для вардрайвинга. Наиболее распространенные – это сетевые стамблеры и мини-стамблеры. Сетевой стамблер основан на Windows. Он за- писывает SSID-идентификаторы незащищенных беспроводных сетей, прежде чем использовать GPS-спутники для записи точного местоположения беспро-
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
F |
|
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
|
NOW! |
o |
P |
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
|
|
|
|
|
BUY |
|
|
||||||||
|
|
|
|
to |
90 Разведка и сбор данных |
|
|
|
|
to |
|
|
|
|
|
|
|||||||
w Click |
|
w Click |
|
|
|
|
|
|
|
||||||||||||||
|
|
|
|
|
|
|
m |
|
|
|
|
|
|
|
m |
||||||||
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
o |
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
. |
|
|
|
|
g |
.c |
|
||||||
|
|
p |
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
df |
|
|
n |
e |
|
||||||
|
|
|
|
|
|
водной сети. Данные применяются для создания карты, используемой други- |
|
|
|
|
|
|
|
||||||||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
ми вардрайверамидля поиска незащищенных или недостаточно защищенных беспроводных сетей. Затем они могут эксплуатировать сеть и ее устройства, ведь вход свободный.
Мини-стамблер – похожий инструмент, но он предназначен для работы на планшетах и смартфонах. Благодаря этому вардрайверы выглядят менее по- дозрительно, когда идентифицируют или эксплуатируют сеть. Утилита прос то найдет незащищенную сеть и запишет ее в онлайн-базу данных. Позднее вардрайверы смогут эксплуатировать сеть с помощью упрощенной карты всех выявленных сетей. В случае с Linux можно использовать Kismet.
Рис.4.9
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
Завершая эту главу 91to |
BUY |
|
|
|||||||
|
|
|
|
|
||||||
|
|
|
|
|
m |
|||||
w Click |
|
|
|
|
|
|
||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
Рис.4.10
Этот инструмент считается очень мощным, поскольку в нем перечислены незащищенные сети и сведения о клиентах в таких сетях, как BSSID, уровни сигналов и IP-адреса.Онтакже можетперечислитьидентифицированные сети на картах, позволяя злоумышленникам вернуться и атаковать сеть, используя известнуюинформацию.Впервуюочередьонотслеживаеттрафикпопротоко- лам 802 11-канального уровня в сети Wi-Fi и использует любой Wi-Fi-адаптер на компьютере, на котором был установлен (1).
Завершая эту главу
Вконце обоих этапов разведки у злоумышленников будетдостаточно инфор- мации, чтобы продолжить или отменить кибератаку. В результате внешней разведки они будут знать о поведении пользователей и использовать его в ущерб организации. Цель состоит только в том, чтобы найти ту слабость, которую злоумышленники могут затем использовать, чтобы получить доступ к сетям или системам организации. Внутренняя разведка, с другой стороны, позволит злоумышленникам узнать больше о рассматриваемой сети. Некото- рые из обсуждаемых здесь инструментов – чрезвычайно мощные и дают так много информации, что сами сетевые проектировщики могут представить ее себе как утечку. Злоумышленники становятся осведомленными об уязвимо- стях в сети или системе организации, которые они могут эксплуатировать.
Вконце этого этапа злоумышленники могут атаковать организацию в двух направлениях: либо со стороны пользователей, либо изнутри посредством
уязвимостей сети.
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
92 Разведка и сбор данных |
|||||
w Click |
|
|||||||||
|
|
|
|
|
|
m |
||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
||
|
|
|
|
|
|
Справочные материалы |
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
1.Paula de M. One Man’s Trash Is... Dumpster-diving for disk drives raises eye- brows//U.S.Banker.2004.№114(6).C.12.https://search.proquest.com/docview/ 200721625.
2.J.Brodkin. Google crushes,shreds old hard drives to prevent data leakage // Net- work World. 2017. http://www.networkworld.com/article/2202487/data-center/ google-crushes-shreds-old-hard-drives-to-preventdata-leakage.html.
3.Brandom.RussianhackerstargetedPentagonworkerswithmalware-lacedTwitter messages // The Verge. 2017. https://www.theverge.com/2017/5/18/15658300/ russia-hacking-twitter-bots-pentagon-putin-election.
4.Swanson A. Identity Theft, Line One // Collector. 2008. № 73 (12). C. 18–22, 24–26. https://search.proquest.com/docview/223219430.
5.Gupta P., and Mata-Toledo R. Cybercrime: in disguise crimes // Journal of In- formation Systems & Operations Management. 2016. C. 1–10. https://search. proquest.com/docview/1800153259.
6.Gold S. Social engineering today: psychology, strategies and tricks // Network Security. 2010. № 2010 (11). C. 11–14. https://search.proquest.com/docview/ 787399306?accountid=45049. DOI: http://dx.doi.org/10.1016/S1353-4858(10) 70135-5.
7.Anderson T. Pretexting: What You Need to Know // Secur. Manage. 2010.
№54 (6). C. 64. https://search.proquest.com/docview/504743883.
8.Harrison B., Svetieva E., and Vishwanath A. Individual processing of phishing emails// OnlineInformationReview.2016.№40(2). C.265–281.https://search. proquest.com/docview/1776786039.
9.Top 10 Phishing Attacks of 2014 – PhishMe // PhishMe. 2017. https://phishme. com/top-10-phishing-attacks-2014/.
10.Amir W. Hackers Target Users with ‘Yahoo Account Confirmation’ Phishing Email // HackRead. 2016. https://www.hackread.com/hackerstarget-users-with- yahoo-account-confirmation-phishing-email/.
11.Dooley E. C. Calling scam hits locally: Known as vishing, scheme tricks people into giving personal data over phone // McClatchy – Tribune Business News. 2008. https://search.proquest.com/docview/464531113.
12.Hamizi M.Social engineering and insider threats // Slideshare.net.2017.https:// www.slideshare.net/pdawackomct/7-social-engineeringand-insider-threats.
13.Hypponen M. Enlisting for the war on Internet fraud // CIO Canada. 2006.
№14 (10). C. 1.Available: https://search.proquest.com/docview/217426610.
14.Duey R. Energy Industry a Prime Target for Cyber Evildoers // Refinery Tracker. 2014. № 6 (4). C. 1–2. https://search.proquest.com/docview/1530210690.
15.Chang J. J.S.Ananalysisofadvancefeefraudontheinternet//JournalofFinan- cialCrime.2008.№15(1).C.71–81.https://search.proquest.com/docview/23598 6237?accountid=45049. DOI: http://dx.doi.org/10.1108/13590790810841716.
16.Packet sniffers – SecTools Top Network Security Tools // Sectools.org. 2017.
http://sectools.org/tag/sniffers/.