- •Об авторах
- •О рецензентах
- •Предисловие
- •Стратегия безопасности
- •Текущий ландшафт киберугроз
- •Приложения
- •Данные
- •Проблемы кибербезопасности
- •Старые методы и более широкие результаты
- •Изменение ландшафта угроз
- •Улучшение стратегии безопасности
- •Красная и Синяя команды
- •Подразумеваем взлом
- •Справочные материалы
- •Резюме
- •Процесс реагирования на компьютерные инциденты
- •Процесс реагирования на компьютерные инциденты
- •Создание процесса реагирования на компьютерные инциденты
- •Команда реагирования на компьютерные инциденты
- •Жизненный цикл компьютерного инцидента
- •Обработка инцидента
- •Передовые методы оптимизации обработки компьютерных инцидентов
- •Деятельность после инцидента
- •Реальный сценарий
- •Выводы
- •Реагирование на компьютерные инциденты в облаке
- •Справочные материалы
- •Резюме
- •Жизненный цикл атаки
- •Внешняя разведка
- •Сканирование
- •Доступ и повышение привилегий
- •Вертикальное повышение привилегий
- •Горизонтальное повышение привилегий
- •Проникновение и утечки
- •Тыловое обеспечение
- •Штурм
- •Обфускация
- •Управление жизненным циклом угроз
- •Справочные материалы
- •Резюме
- •Разведка и сбор данных
- •Внешняя разведка
- •Копание в мусоре
- •Социальные сети
- •Социальная инженерия
- •Внутренняя разведка
- •Анализ трафика и сканирование
- •Вардрайвинг
- •Завершая эту главу
- •Справочные материалы
- •Резюме
- •Компрометация системы
- •Анализ современных тенденций
- •Вымогательство
- •Манипулирование данными
- •Атаки на IoT-устройства
- •Бэкдоры
- •Атаки на мобильные устройства
- •Взлом повседневных устройств
- •Взлом облака
- •Фишинг
- •Эксплуатация уязвимостей
- •Уязвимость нулевого дня
- •Фаззинг
- •Анализ исходного кода
- •Типы эксплойтов нулевого дня
- •Перезапись структурированного обработчика исключений
- •Развертывание полезных нагрузок
- •Компрометация операционных систем
- •Компрометация удаленной системы
- •Компрометация веб-приложений
- •Справочные материалы
- •Резюме
- •Охота на пользовательские реквизиты
- •Стратегии компрометации реквизитов доступа пользователя
- •Получение доступа к сети
- •Сбор учетных данных
- •Взлом реквизитов доступа пользователя
- •Полный перебор
- •Социальная инженерия
- •Атака Pass-the-hash
- •Другие способы взлома реквизитов доступа
- •Справочные материалы
- •Резюме
- •Дальнейшее распространение по сети
- •Инфильтрация
- •Построение карты сети
- •Избежать оповещений
- •Дальнейшее распространение
- •Сканирование портов
- •Sysinternals
- •Общие файловые ресурсы
- •Удаленный доступ к рабочему столу
- •PowerShell
- •Инструментарий управления Windows
- •Запланированные задачи
- •Кража авторизационных токенов
- •Атака Pass-the-hash
- •Active Directory
- •Удаленный доступ к реестру
- •Анализ взломанных хостов
- •Консоли центрального администратора
- •Кража сообщений электронной почты
- •Справочные материалы
- •Резюме
- •Повышение привилегий
- •Инфильтрация
- •Горизонтальное повышение привилегий
- •Вертикальное повышение привилегий
- •Как избежать оповещений
- •Выполнение повышения привилегий
- •Эксплуатация неисправленных операционных систем
- •Манипулирование маркерами доступа
- •Эксплуатация специальных возможностей
- •Application Shimming
- •Обход контроля над учетной записью пользователя
- •Внедрение DLL-библиотек
- •Перехват порядка поиска DLL
- •Перехват поиска dylib
- •Исследование уязвимостей
- •Запускаемые демоны
- •Практический пример повышения привилегий в Windows 8
- •Выводы
- •Справочные материалы
- •Резюме
- •Политика безопасности
- •Проверка политики безопасности
- •Обучение конечного пользователя
- •Рекомендации по безопасности для пользователей социальных сетей
- •Тренинг по безопасности
- •Использование политики
- •Белый список приложений
- •Усиление защиты
- •Мониторинг на предмет соответствия
- •Справочные материалы
- •Резюме
- •Сегментация сети
- •Глубоко эшелонированная защита
- •Инфраструктура и службы
- •Документы в процессе передачи
- •Конечные точки
- •Сегментация физической сети
- •Открывая схему сети
- •Обеспечение удаленного доступа к сети
- •VPN типа «сеть–сеть»
- •Сегментация виртуальной сети
- •Безопасность гибридной облачной сети
- •Справочные материалы
- •Резюме
- •Активные сенсоры
- •Возможности обнаружения
- •Индикаторы компрометации
- •Системы обнаружения вторжений
- •Система предотвращения вторжений
- •Обнаружение на основе правил
- •Обнаружение на основе аномалий
- •Поведенческая аналитика внутри организации
- •Размещение устройств
- •Поведенческая аналитика в гибридном облаке
- •Центр безопасности Azure
- •Справочные материалы
- •Резюме
- •Киберразведка
- •Введение в киберразведку
- •Инструментальные средства киберразведки с открытым исходным кодом
- •Средства киберразведки компании Microsoft
- •Центр безопасности Azure
- •Использование киберразведки для расследования подозрительной деятельности
- •Справочные материалы
- •Резюме
- •Расследование инцидента
- •Масштаб проблемы
- •Ключевые артефакты
- •Исследование скомпрометированной системы внутри организации
- •Исследование скомпрометированной системы в гибридном облаке
- •Ищите и обрящете
- •Выводы
- •Справочные материалы
- •Резюме
- •Процесс восстановления
- •План послеаварийного восстановления
- •Процесс планирования послеаварийного восстановления
- •Вызовы
- •Восстановление без перерыва в обслуживании
- •Планирование на случай непредвиденных обстоятельств
- •Процесс планирования на случай непредвиденных обстоятельств в сфере IT
- •Передовые методы восстановления
- •Справочные материалы
- •Резюме
- •Управление уязвимостями
- •Создание стратегии управления уязвимостями
- •Инвентаризация ресурсов
- •Управление информацией
- •Оценка рисков
- •Оценка уязвимостей
- •Отчеты и отслеживание исправлений
- •Планирование реагирования
- •Инструменты управления уязвимостями
- •Реализация управления уязвимостями
- •Передовые методы управления уязвимостями
- •Реализация управления уязвимостями с помощью Nessus
- •Flexera (Secunia) Personal Software Inspecto
- •Заключение
- •Справочные материалы
- •Резюме
- •Анализ журналов
- •Сопоставление данных
- •Журналы операционной системы
- •Журналы Windows
- •Журналы Linux
- •Журналы брандмауэра
- •Журналы веб-сервера
- •Справочные материалы
- •Резюме
- •Предметный указатель
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
F |
|
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
|
NOW! |
o |
P |
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
|
|
|
|
|
BUY |
|
|
||||||||
|
|
|
|
to |
150 Дальнейшее распространение по сети |
|
|
|
|
to |
|
|
|
|
|
|
|||||||
w Click |
|
w Click |
|
|
|
|
|
|
|
||||||||||||||
|
|
|
|
|
|
|
m |
|
|
|
|
|
|
|
m |
||||||||
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
o |
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
. |
|
|
|
|
g |
.c |
|
||||||
|
|
p |
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
df |
|
|
n |
e |
|
||||||
|
|
|
|
|
|
ванным лицам проникать на удаленные компьютеры. Переполнение буфера |
|
|
|
|
|
|
|
||||||||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
позволяет это.
PowerShell
Это еще один легитимный инструмент Windows, который хакеры используют в злонамеренных целях. В этой главе мы уже продемонстрировали множество способов использования допустимых команд PowerShell для осуществления вредоносных задач. Общая тенденция применения этих легитимных средств во время атак заключается в том, чтобы не быть пойманным защитным ПО. Компании-разработчики этого ПО не отстают и идентифицируют сигнатуры большинства вредоносных программ. Поэтому хакеры стараются максималь- но использоватьинструменты,которые,как известно,безопасны илегитимны для операционных систем.
PowerShell – это встроенный объектно-ориентированный инструмент соз- дания сценариев,доступный в современных версиях Windows. Он чрезвычай- но мощный и может использоваться для кражи хранящейся в памяти конфи- денциальной информации, внесения изменений в конфигурации системы, а также для того, чтобы сделать процесс перемещения с одного устройства на другоеавтоматическим.Насегодняшниймоментиспользуетсянесколькоори- ентированных на взлом и безопасность модулей PowerShell.Наиболее распро- страненными являются PowerSploit и Nishang.
Недавно в США были зафиксированы проникновения со стороны китайских хакеров, которые, по словам следователей, были вызваны тем, что злоумыш- ленники использовали PowerShell (8). Говорят, что китайские хакеры развер- нули сценарии PowerShell, чтобы запустить их в виде запланированных задач на нескольких компьютерах с Windows. Сценарии передавались в PowerShell через аргументы командной строки вместо использования внешнего файла, что не приводило к запуску антивирусных программ (8). Сценарии после их выполнения скачивали исполняемый файл, а затем запускались с помощью инструмента удаленного доступа.Это гарантировало,что у специалистов,рас- следующих инцидент,не будетникаких следов.Сценарии оказалисьуспешны- ми, поскольку оставили минимум отпечатков.
Инструментарий управления Windows
Инструментарий управления Windows (WMI) – это встроенная платфор-
ма Microsoft, которая управляет настройкой систем Windows. Так как в сре- де Windows она легитимна, хакеры могут использовать ее без опасений быть обнаруженными средствами защиты. Единственная загвоздка для хакеров заключается в том, что у них уже должен быть доступ к компьютеру. В главе о стратегии атаки подробно рассказывается о том, как хакеры могут получить доступ к компьютерам.
WMI можетиспользоватьсядля удаленного запуска процессов,выполнения запросов к системной информации, а также для установки долго живущих
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
F |
|
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
|
NOW! |
o |
P |
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
Дальнейшее распространение 151to |
BUY |
|
|
||||||||||||
|
|
|
|
to |
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||
w Click |
|
|
|
|
|
|
|
m |
w Click |
|
|
|
|
|
|
|
m |
||||||
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
o |
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
. |
|
|
|
|
g |
.c |
|
||||||
|
|
p |
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
df |
|
|
n |
e |
|
||||||
|
|
|
|
|
|
вредоносных программ. В случае дальнейшего распространения по сети есть |
|
|
|
|
|
|
|
||||||||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
несколько способов, с помощью которых хакеры используют WMI. Они могут применять его для поддержки запуска команд командной строки, получения вывода программ, изменения значений реестра, запуска сценариев Power- Shell, получения вывода сценариев и, наконец, для вмешательства в работу служб.
WMI также может поддерживать множество операций по сбору данных. Обычно он используется хакерами в качестве инструмента быстрого осмотра системы для моментальной классификации целей. Он может предоставить хакерам информацию, например, о пользователях компьютера, локальных
исетевых дисках, к которым он подключен, IP-адресах и установленных про- граммах. У него есть возможность завершать сеанс пользователя, а также вы- ключатьилиперезагружатькомпьютеры.Онтакжеможетопределить,активно ли пользователь использует компьютер, на основе журналов активности. Во время известного взлома Sony Pictures в 2014 г. WMI был ключевым инстру- ментом, поскольку использовался злоумышленниками для запуска вредонос- ных программ, установленных на компьютерах в сети организации.
WMImplant – это пример хакерской утилиты, которая использует WMI для выполнения вредоносных действий на компьютере жертвы. WMImplant хоро- шо спроектирован и обладает меню, напоминающим Meterpreter в Metasploit.
На рис. 7.3 приведена схема главного меню утилиты, показывающая дей- ствия, которые она может выполнить.
Как видно из меню, это очень мощный инструмент. У него есть специаль- ные команды, разработанные для дальнейшего распространения в удаленных компьютерах. Он позволяет хакеру отдавать команды cmd, получать ввод про- грамм, изменять реестр, запускать сценарии PowerShell и, наконец, создавать
иудалять службы.
Основное различие между WMImplant и другими средствами удаленного доступа, такими как Meterpreter, заключается в том, что он изначально рабо- тает в системе Windows, в то время как остальные сначала нужно загрузить на компьютер .
Запланированные задачи
В Windows есть команда, которую злоумышленники могут использовать для планирования автоматического выполнения задач на локальном или удален- ном компьютере. Это позволяет хакеру отсутствовать на месте преступления. Поэтому,если к компьютеру жертвы имеется пользовательскийдоступ,задачи будут выполняться моментально. Планировщик задач используется не толь- ко для определения времени их выполнения. Хакеры также используют его для выполнения задач с привилегиями пользователя SYSTEM. В Windows это может рассматриваться как атака с целью повышения привилегий, посколь- ку пользователь SYSTEM обладает полным контролем над компьютером, на котором выполняется запланированное задание. Без системных привилегий
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
F |
|
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
|
NOW! |
o |
P |
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
|
|
|
|
|
BUY |
|
|
||||||||
|
|
|
|
to |
152 Дальнейшее распространение по сети |
|
|
|
|
to |
|
|
|
|
|
|
|||||||
w Click |
|
w Click |
|
|
|
|
|
|
|
||||||||||||||
|
|
|
|
|
|
|
m |
|
|
|
|
|
|
|
m |
||||||||
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
o |
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
. |
|
|
|
|
g |
.c |
|
||||||
|
|
p |
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
df |
|
|
n |
e |
|
||||||
|
|
|
|
|
|
этоттип взлома не сработает,т.к.последние версии ОС Windows были созданы |
|
|
|
|
|
|
|
||||||||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
таким образом, чтобы предотвратить подобное поведение со стороны задач, исполняемых по расписанию.
Рис.7.3
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
|
F |
|
|
|
|
|
|
|
t |
|
|||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
|
NOW! |
|
o |
|
P |
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
|
Дальнейшее распространение |
153to |
BUY |
|
|
||||||||||||
|
|
|
|
to |
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
w Click |
|
|
|
|
|
|
|
|
m |
|
w Click |
|
|
|
|
|
|
|
m |
||||||
w |
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
|
o |
|
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
|
. |
|
|
|
|
g |
.c |
|
|||||||
|
|
p |
|
|
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
n |
e |
Запланированные |
задачи также используются злоумышленниками |
|
|
|
df |
|
|
n |
e |
|
|||||||
|
|
|
|
-xcha |
|
|
|
|
для |
|
|
|
|
|
|
|
|||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
незаметной кражи данных. Они являются идеальными, поскольку могут ис- пользовать ресурсы процессора и пропускную способность сети. Поэтому за- планированные задачи подходят для больших файлов, которые нужно сжать и передать по сети. Задачи можно настроить на выполнение в ночное время суток или в выходные дни, когда на целевых компьютерах никто не работает.
Кража авторизационных токенов
Сообщается, что это новый метод, который хакеры используют для дальней- шего распространения, когда входят в сеть. Он очень эффективен и применя- ется почти во всех известных атаках,о которых сообщалосьс 2014 г.В этом ме- тоде используются такие инструменты, как Mimikatz (как упомянуто в главе 6 «Охотанапользовательскиереквизиты»)иредакторучетныхзаписейWindows для поиска учетных записей пользователей в памяти компьютера. Затем он может использовать их для создания мандатов Kerberos, с помощью которых злоумышленник может повысить привилегии обычного пользователя до ста- туса администратора домена.Однако для этого в памяти нужно найти сущест вующийтокен с правами администратора домена или учетную запись пользо- вателя администратора домена. Еще одна проблема при использовании этих инструментов заключается в том, что их можно обнаружить антивирусными программами, когда те будут выполнять подозрительные действия. Однако, как и в случае с большинством инструментов, злоумышленники развивают их и создают версии, которые совершенно невозможно обнаружить. Злоумыш- ленники могут использовать другие средства, такие как PowerShell, чтобы из- бежать обнаружения. Этот метод тем не менее представляет собой серьезную угрозу, поскольку с его помощью можно очень быстро повысить привилегии пользователя.Его можно использоватьв совокупности со средствами,которые могут остановить антивирусные программы, чтобы полностью предотвратить обнаружение.
Атака Pass-the-hash
Как упоминалось в предыдущей главе,этатактика хакеров использует особен- ности работы протоколов NTLM.Вместо проникновения в систему с помощью метода полного перебора или атак по словарю они используют хеши паролей. По этой причине они не ищут незашифрованные пароли,а просто используют хеши паролей при запросе аутентификации на удаленных компьютерах. Зло- умышленники ищут хеши паролей на компьютерах, которые они, в свою оче- редь, могут передавать службам,требующим аутентификации.
Помимо примеров, приведенных в главе 6 «Охота на пользовательские рек- визиты», вы также можете использовать утилиту PowerShell Nishang для сбо- ра всех хешей паролей локальной учетной записи с помощью команды Get–
PassHashes.