- •Об авторах
- •О рецензентах
- •Предисловие
- •Стратегия безопасности
- •Текущий ландшафт киберугроз
- •Приложения
- •Данные
- •Проблемы кибербезопасности
- •Старые методы и более широкие результаты
- •Изменение ландшафта угроз
- •Улучшение стратегии безопасности
- •Красная и Синяя команды
- •Подразумеваем взлом
- •Справочные материалы
- •Резюме
- •Процесс реагирования на компьютерные инциденты
- •Процесс реагирования на компьютерные инциденты
- •Создание процесса реагирования на компьютерные инциденты
- •Команда реагирования на компьютерные инциденты
- •Жизненный цикл компьютерного инцидента
- •Обработка инцидента
- •Передовые методы оптимизации обработки компьютерных инцидентов
- •Деятельность после инцидента
- •Реальный сценарий
- •Выводы
- •Реагирование на компьютерные инциденты в облаке
- •Справочные материалы
- •Резюме
- •Жизненный цикл атаки
- •Внешняя разведка
- •Сканирование
- •Доступ и повышение привилегий
- •Вертикальное повышение привилегий
- •Горизонтальное повышение привилегий
- •Проникновение и утечки
- •Тыловое обеспечение
- •Штурм
- •Обфускация
- •Управление жизненным циклом угроз
- •Справочные материалы
- •Резюме
- •Разведка и сбор данных
- •Внешняя разведка
- •Копание в мусоре
- •Социальные сети
- •Социальная инженерия
- •Внутренняя разведка
- •Анализ трафика и сканирование
- •Вардрайвинг
- •Завершая эту главу
- •Справочные материалы
- •Резюме
- •Компрометация системы
- •Анализ современных тенденций
- •Вымогательство
- •Манипулирование данными
- •Атаки на IoT-устройства
- •Бэкдоры
- •Атаки на мобильные устройства
- •Взлом повседневных устройств
- •Взлом облака
- •Фишинг
- •Эксплуатация уязвимостей
- •Уязвимость нулевого дня
- •Фаззинг
- •Анализ исходного кода
- •Типы эксплойтов нулевого дня
- •Перезапись структурированного обработчика исключений
- •Развертывание полезных нагрузок
- •Компрометация операционных систем
- •Компрометация удаленной системы
- •Компрометация веб-приложений
- •Справочные материалы
- •Резюме
- •Охота на пользовательские реквизиты
- •Стратегии компрометации реквизитов доступа пользователя
- •Получение доступа к сети
- •Сбор учетных данных
- •Взлом реквизитов доступа пользователя
- •Полный перебор
- •Социальная инженерия
- •Атака Pass-the-hash
- •Другие способы взлома реквизитов доступа
- •Справочные материалы
- •Резюме
- •Дальнейшее распространение по сети
- •Инфильтрация
- •Построение карты сети
- •Избежать оповещений
- •Дальнейшее распространение
- •Сканирование портов
- •Sysinternals
- •Общие файловые ресурсы
- •Удаленный доступ к рабочему столу
- •PowerShell
- •Инструментарий управления Windows
- •Запланированные задачи
- •Кража авторизационных токенов
- •Атака Pass-the-hash
- •Active Directory
- •Удаленный доступ к реестру
- •Анализ взломанных хостов
- •Консоли центрального администратора
- •Кража сообщений электронной почты
- •Справочные материалы
- •Резюме
- •Повышение привилегий
- •Инфильтрация
- •Горизонтальное повышение привилегий
- •Вертикальное повышение привилегий
- •Как избежать оповещений
- •Выполнение повышения привилегий
- •Эксплуатация неисправленных операционных систем
- •Манипулирование маркерами доступа
- •Эксплуатация специальных возможностей
- •Application Shimming
- •Обход контроля над учетной записью пользователя
- •Внедрение DLL-библиотек
- •Перехват порядка поиска DLL
- •Перехват поиска dylib
- •Исследование уязвимостей
- •Запускаемые демоны
- •Практический пример повышения привилегий в Windows 8
- •Выводы
- •Справочные материалы
- •Резюме
- •Политика безопасности
- •Проверка политики безопасности
- •Обучение конечного пользователя
- •Рекомендации по безопасности для пользователей социальных сетей
- •Тренинг по безопасности
- •Использование политики
- •Белый список приложений
- •Усиление защиты
- •Мониторинг на предмет соответствия
- •Справочные материалы
- •Резюме
- •Сегментация сети
- •Глубоко эшелонированная защита
- •Инфраструктура и службы
- •Документы в процессе передачи
- •Конечные точки
- •Сегментация физической сети
- •Открывая схему сети
- •Обеспечение удаленного доступа к сети
- •VPN типа «сеть–сеть»
- •Сегментация виртуальной сети
- •Безопасность гибридной облачной сети
- •Справочные материалы
- •Резюме
- •Активные сенсоры
- •Возможности обнаружения
- •Индикаторы компрометации
- •Системы обнаружения вторжений
- •Система предотвращения вторжений
- •Обнаружение на основе правил
- •Обнаружение на основе аномалий
- •Поведенческая аналитика внутри организации
- •Размещение устройств
- •Поведенческая аналитика в гибридном облаке
- •Центр безопасности Azure
- •Справочные материалы
- •Резюме
- •Киберразведка
- •Введение в киберразведку
- •Инструментальные средства киберразведки с открытым исходным кодом
- •Средства киберразведки компании Microsoft
- •Центр безопасности Azure
- •Использование киберразведки для расследования подозрительной деятельности
- •Справочные материалы
- •Резюме
- •Расследование инцидента
- •Масштаб проблемы
- •Ключевые артефакты
- •Исследование скомпрометированной системы внутри организации
- •Исследование скомпрометированной системы в гибридном облаке
- •Ищите и обрящете
- •Выводы
- •Справочные материалы
- •Резюме
- •Процесс восстановления
- •План послеаварийного восстановления
- •Процесс планирования послеаварийного восстановления
- •Вызовы
- •Восстановление без перерыва в обслуживании
- •Планирование на случай непредвиденных обстоятельств
- •Процесс планирования на случай непредвиденных обстоятельств в сфере IT
- •Передовые методы восстановления
- •Справочные материалы
- •Резюме
- •Управление уязвимостями
- •Создание стратегии управления уязвимостями
- •Инвентаризация ресурсов
- •Управление информацией
- •Оценка рисков
- •Оценка уязвимостей
- •Отчеты и отслеживание исправлений
- •Планирование реагирования
- •Инструменты управления уязвимостями
- •Реализация управления уязвимостями
- •Передовые методы управления уязвимостями
- •Реализация управления уязвимостями с помощью Nessus
- •Flexera (Secunia) Personal Software Inspecto
- •Заключение
- •Справочные материалы
- •Резюме
- •Анализ журналов
- •Сопоставление данных
- •Журналы операционной системы
- •Журналы Windows
- •Журналы Linux
- •Журналы брандмауэра
- •Журналы веб-сервера
- •Справочные материалы
- •Резюме
- •Предметный указатель
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
F |
|
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
|
NOW! |
o |
P |
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
Дальнейшее распространение 145to |
BUY |
|
|
||||||||||||
|
|
|
|
to |
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||
w Click |
|
|
|
|
|
|
|
m |
w Click |
|
|
|
|
|
|
|
m |
||||||
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
o |
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
. |
|
|
|
|
g |
.c |
|
||||||
|
|
p |
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
df |
|
|
n |
e |
|
||||||
|
|
|
|
|
|
мощью различных инструментов. Сканирование портов применяется при |
|
|
|
|
|
|
|
||||||||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
дальнейшем распространении по сети с целью идентификации систем или представляющих интерес служб,которые хакеры могут атаковать и попытать- ся получитьценныеданные.В основном эти системы представляютсобой сер- веры баз данных и веб-приложения. Хакеры поняли, что быстрое и полноцен- ное сканирование портов можно легко обнаружить, поэтому они используют более медленные инструменты сканирования,которые проходят через все си- стемысетевогомониторинга.Системымониторингаобычнонастраиваютсяна выявление необычного поведения в сети, но при сканировании с достаточно медленной скоростью средства мониторинга не обнаруживают сканирования.
Большинство используемых инструментов сканирования мы обсуждали в главе 4 «Разведка и сбор данных». Как правило, многие отдают предпочте- ние nmap, поскольку она обладает множеством функций и является надежным
ипроверенным средством.
Впредыдущей главе «Погоня за реквизитами доступа пользователя» было подробно рассказано отом,как работаетnmap и какую информацию она предо ставляет своим пользователям. При сканировании по умолчанию nmap исполь- зуетполное установление TCP-соединения,что являетсядостаточным услови- емдляпоискадругихцелей,ккоторыммогутперейтихакеры.Нижеприведены примеры того, как в nmap выполняется сканирование портов:
# nmap -p80 192.168.4.16
Эта команда выполняетсканированиетолько стой целью,чтобы проверить, открытли на компьютере жертвы с IP 192.168.4.16 порт 80:
# nmap -p80,23 192.1168.4.16
Можнотакже проверить,открыто ли несколько портов,разделяя их запятой в команде, как было показано ранее.
Sysinternals
Sysinternals – это набор инструментов, который был разработан компанией Sysinternals, до того как ее приобрела Microsoft. Компания разработала набор инструментов, который позволяет администраторам управлять компьютера- ми на базе Windows с удаленного терминала.К сожалению,сегодня этот набор утилит также используется хакерами. Злоумышленники применяют Sysinter- nals для загрузки файлов и взаимодействия с ними на удаленных хостах (1). Весь пакет работает из интерфейса командной строки, и для него можно соз- давать сценарии. Он обладает преимуществом скрытности, поскольку не дает оповещения пользователям в удаленной системе, когда работает. Средства, входящие в этотнабор,также классифицируются Windows какдопустимые ин- струменты системного администратора,поэтому игнорируются антивирусны- ми программами.
Sysinternals позволяет внешним субъектам подключаться к удаленным компьютерам и запускать команды, которые могут раскрыть информацию
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
|
F |
|
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
|
NOW! |
o |
|
P |
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
|
|
|
|
|
|
BUY |
|
|
||||||||
|
|
|
|
to |
146 |
Дальнейшее распространение по сети |
|
|
|
|
to |
|
|
|
|
|
|
|||||||
w Click |
|
w Click |
|
|
|
|
|
|
|
|||||||||||||||
|
|
|
|
|
|
|
m |
|
|
|
|
|
|
|
|
m |
||||||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
o |
|
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
|
. |
|
|
|
|
g |
.c |
|
||||||
|
|
p |
|
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
df |
|
|
n |
e |
|
||||||
|
|
|
|
|
|
о запущенных процессах,а при необходимости уничтожать их или останавли- |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
||||
|
|
|
|
|
|
вать службы. |
|
|
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
Этопростоеопределениеинструментаужепоказываетогромнуюсилу,кото- |
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
ройонобладает.Еслиониспользуетсяхакером,томожетостановитьПОсисте- |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
мы безопасности, развернутое организацией на своих компьютерах и серве- |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
рах.Утилиты Sysinternals могутвыполнятьмножество задач втени удаленного |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
компьютера, что делает их более применимыми и полезными для хакеров, по |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
сравнению с программами удаленного доступа к рабочему столу (RDP). |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
ПакетSysinternals состоитиз 13 инструментов,которые выполняютразличные |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
операции на удаленных компьютерах. |
|
|
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
Первые шесть инструментов, которые обычно используют: |
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
PsExec – используется для выполнения процессов; |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
PsFile – показывает открытые файлы; |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
PsGetSid – отображает идентификаторы безопасности пользователей; |
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
PsInfo –дает подробную информацию о компьютере; |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
PsKill – убивает процессы; |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
PsList – выводит информацию о процессах. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Следующая группа состоит из: |
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
PsLoggedOn – перечисляет пользователей в системе; |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
PsLogList – извлекает журналы событий; |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
PsPassword – меняет пароли; |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
PsPing – запускает ping-запросы; |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
PsService – может вносить изменения в службы Windows; |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
PsShutdown – может выключить компьютер; |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
PsSuspend – может приостанавливать процессы (1). |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Исчерпывающий список Sysinternals показывает,что он содержитв себе ряд |
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
мощныхинструментов.Вооруженныйэтимиинструментамиинужнымиучет- |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
ными данными,злоумышленник можетбыстро перемещаться в сети с устрой- |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
ства на устройство. |
|
|
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
Из всех перечисленных инструментов PsExec является самым мощным. Он |
|
|
|
|
|
|
|
может выполнять все, что можно запустить в командной строке локального компьютера,на удаленном.Следовательно,он может изменять параметры ре- естра удаленного компьютера, выполнять сценарии и утилиты и подключать один удаленный компьютер к другому. Преимущество этого инструмента со- стоит в том, что выходные команды отображаются на локальном компьютере, а не на удаленном. Поэтому, даже если на удаленном компьютере есть актив- ный пользователь, подозрительные действия нельзя обнаружить. PsExec под- ключается к удаленному компьютеру по сети, выполняет некий код и отправ- ляет вывод этого кода на локальный компьютер,не вызывая сигналов тревоги у пользователей удаленного компьютера.
Уникальная особенность PsExec заключается втом,что он может копировать программы непосредственно на удаленный компьютер. Поэтому если зло умышленникам на удаленном компьютере требуется определенная програм-
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
|
F |
|
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
r |
|||||
P |
|
|
|
|
|
NOW! |
o |
|
P |
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
|
Дальнейшее распространение 147to |
BUY |
|
|
||||||||||||
|
|
|
|
to |
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||
w Click |
|
|
|
|
|
|
|
m |
|
w Click |
|
|
|
|
|
|
|
m |
||||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
o |
|
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
|
. |
|
|
|
|
g |
.c |
|
||||||
|
|
p |
|
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
df |
|
|
n |
e |
|
||||||
|
|
|
|
|
|
ма, |
|
PsExec может получить команду временно скопировать ее на удаленный |
|
|
|
|
|
|
|
|||||||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
компьютер и удалить после прекращения соединения. Ниже приводится пример того, как это можно сделать:
Psexec \remotecomputername -c autorunsc.exe -accepteula
Предыдущая команда копирует программу autorunsc.exe на удаленный компьютер .Частькоманды,accepteula,используется,чтобы убедиться,что уда- ленный компьютер принимаетусловия и положения или пользовательские со- глашения, которые может запрашивать программа.
PsExec также можно использовать для злонамеренного взаимодействия с вошедшим в систему пользователем через такие программы на удаленном компьютере ,как Блокнот.Злоумышленник может запустить notepad на удален- ном компьютере, введя команду:
Psexec \remotecomputername -d -i notepad
–i указываетудаленному компьютеру запуститьприложение,а –d возвраща- ет злоумышленнику управление до завершения запуска notepad.
Наконец, PsExec может редактировать значения реестра, позволяя приложе- ниям запускаться с системными привилегиями и получать доступ к данным, которые обычно заблокированы для доступа.Изменения в реестре могут быть опасными, поскольку они могут напрямую влиять на работу компьютерного оборудования и программного обеспечения.
Повреждения реестра могут привести к прекращению работы компьютера. На локальном компьютере приведенную ниже команду можно использовать для открытия реестра с правами доступа на уровне пользователя SYSTEM, что позволяет просматривать и изменять обычно скрытые значения:
Psexec -i -d -s regedit.exe
Основываясь на предыдущих примерах, можно сказать, что PsExec – очень мощный инструмент. На рис. 7.2 показан сеанс удаленного терминала с PsExec, запущенный на cmd.exe и используемый для поиска информации о сети уда- ленного компьютера.
Рис.7.2
Общие файловые ресурсы
Это еще один метод,обычно используемый злоумышленникамидля выполне- ния дальнейшего распространения в сетях, которые они уже скомпрометиро-
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
F |
|
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
|
NOW! |
o |
P |
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
|
|
|
|
|
BUY |
|
|
||||||||
|
|
|
|
to |
148 Дальнейшее распространение по сети |
|
|
|
|
to |
|
|
|
|
|
|
|||||||
w Click |
|
w Click |
|
|
|
|
|
|
|
||||||||||||||
|
|
|
|
|
|
|
m |
|
|
|
|
|
|
|
m |
||||||||
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
o |
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
. |
|
|
|
|
g |
.c |
|
||||||
|
|
p |
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
df |
|
|
n |
e |
|
||||||
|
|
|
|
|
|
вали. Основная цель этого метода – захватить большую часть данных,доступ- |
|
|
|
|
|
|
|
||||||||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
ных в сети. Общие файловые ресурсы – это механизмы совместной работы, используемые во многих сетях. Они позволяют клиентам получать доступ к файлам,хранящимся на сервере или на отдельных компьютерах.Иногда сер- веры содержат конфиденциальную информацию,такую как базы данных кли- ентов, рабочие процедуры, программное обеспечение, шаблоны документов и секреты компании. Встроенный административный доступ ко всем данным жестких дисков на компьютерах может пригодиться, поскольку дает доступ любому, кто находится в сети,для чтения и записи целых жестких дисков.
Общие файловые ресурсы дают хакерам преимущество низкой вероятности обнаружения,посколькудоступкнимпорождаетлегитимныйтрафик,который обычно не отслеживается.Таким образом,злоумышленник будетиметьдоста- точновременидлядоступа,копированияидажередактированиясодержимого любого общего носителя в сети. Кроме того, в общей среде можно внедрить вредоносный код, чтобы заразить компьютеры, которые копируют файлы. Этот метод очень эффективен, когда хакеры уже получили доступ к учетной записи с повышенными привилегиями. Используя эти привилегии, они могут получить доступ к большинству общих данных с правами на чтение и запись.
Ниже приведены команды PowerShell, которые можно использовать для об- щего доступа к файлам.
Перваякомандаукажетфайл,которыйдолженбытьпредоставлендля обще- го доступа, а остальные команды превратят его в общий ресурс:
New_Item "D:Secretfile" -typedirectoryNew_SMBShare -Name "Secretfile" -Path "D:Secretfile"-ContinouslyAvailableFullAccess domainadminstratorgroupchangeAccess domaindepartmentusers-ReadAccess "domainauthenticated users"
Ещеодинвариант–использоватьутилитуPowerShell,Nishang (https://github. com/samratashok/nishang).Как мы уже упоминали ранее,здесьвытакже можете применятьADS,чтобы скрыть файлы.В этом случае воспользуйтесь командой
Invoke-ADSBackdoor.
Удаленный доступ к рабочему столу
Удаленный доступ к рабочему столу–еще один легитимный способ,использу- емыйдляполученияудаленногодоступаккомпьютерамиуправленияими.Он может применяться хакерами с целью дальнейшего распространения по сети. Основное преимущество этого инструмента, по сравнению с Sysinternals, за- ключается в том, что он предоставляет злоумышленнику полный интерактив- ный графический интерфейс пользователя (GUI) удаленного компьютера, на который совершается атака. Удаленный доступ к рабочему столу может быть запущен, когда хакеры уже скомпрометировали компьютер в сети. Обладая действующими учетными данными и информацией об IP-адресе или имени компьютера жертвы, хакеры могут использовать удаленный рабочий стол для получения удаленного доступа. С помощью удаленных подключений злоу- мышленники могут похищать данные, отключать программное обеспечение,
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
|
F |
|
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
|
NOW! |
o |
|
P |
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
|
Дальнейшее распространение 149to |
BUY |
|
|
||||||||||||
|
|
|
|
to |
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||
w Click |
|
|
|
|
|
|
|
m |
|
w Click |
|
|
|
|
|
|
|
m |
||||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
o |
|
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
|
. |
|
|
|
|
g |
.c |
|
||||||
|
|
p |
|
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
df |
|
|
n |
e |
|
||||||
|
|
|
|
|
|
используемое для обеспечения безопасности, или устанавливать вредонос- |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
||||
|
|
|
|
|
|
ные программы, чтобы те могли скомпрометировать еще большее количество |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
компьютеров |
. Во многих случаях удаленный доступ к рабочему столу исполь- |
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
|
зовался для получения доступа к серверам, которые контролируют программ- |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
ные решения для обеспечения безопасности предприятия, а также системы |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
мониторинга и безопасности сетей. |
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
Примечательно, что подключения к удаленному рабочему столу полностью |
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
зашифрованы,апоэтомунепрозрачныдлялюбыхсистеммониторинга.Поэто- |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
му нельзя приказать защитному программному обеспечению воспринимать |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
их как подозрительные, т. к. они представляют собой обычный администра- |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
тивный механизм, используемый IT-персоналом. |
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
Основным недостатком удаленного доступа к рабочему столу является то, |
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
что пользователь, работающий на удаленном компьютере, может опреде- |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
лить, когда пользователь с внешнего компьютера вошел в систему. Поэтому |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
злоумышленники |
часто используют удаленный доступ к рабочему столу в тех |
|
|
|
|
|
|
|
случаях, когда пользователи не работают за компьютером, выбранным в ка- честве объекта для атаки, или на сервере. Ночи, выходные, праздничные дни иперерывынаобед–обычноевремяатаки,когдапочтинавернякасоединения останутся незамеченными. Кроме того, поскольку серверные версии Windows обычно позволяют запускать несколько сеансов одновременно, пользователь вряд ли сможет заметить подключение по RDP, находясь на сервере.
Однако существуетособый метод взлома жертвы с помощью удаленногодо- ступа к рабочему столу, использующий эксплойт, называющийся EsteemAudit.
EsteemAudit–одинизэксплойтов,которыехакерскаягруппаShadowBrokers укралауАНБ.Впредыдущихглавахмырассказывали,чтоэтажегруппавыпус тила EternalBlue, который позже был использован в программе-вымогателе WannaCry. EsteemAudit эксплуатирует уязвимость в приложении Remote Desk- top в более ранних версиях Windows, т. е. Windows XP и Windows Server 2003.
Уязвимые версии Windows больше не поддерживаются Microsoft, и компания не выпустила исправление. Однако вполне вероятно, что она сделает это, как при появлении EternalBlue. Вслед за этим Microsoft выпустила патч для всех своих версий, включая Windows XP, которую прекратила поддерживать.
EsteemAudit использует переполнение динамически распределяемой обла- сти памяти между фрагментами, являющееся частью внутренней структуры системной кучи,которая,в свою очередь,представляет собой компонент Win- dows Smart Card. Внутренняя структура имеет буфер с ограниченным разме- ром 128 байт и хранит информацию о смарт-картах. Рядом с ним два указа- теля. Хакеры обнаружили вызов, который можно делать без проверки границ. Его можно использовать для копирования данных размером более 128 байт в соседние указатели, что приводит к переполнению буфера. Злоумышленни- ки используют EsteemAudit для выдачи мошеннических инструкций, которые вызывают переполнение.Конечным результатом атаки является компромета- ция системы удаленного доступа к рабочему столу, позволяющая неавторизо-