- •Об авторах
- •О рецензентах
- •Предисловие
- •Стратегия безопасности
- •Текущий ландшафт киберугроз
- •Приложения
- •Данные
- •Проблемы кибербезопасности
- •Старые методы и более широкие результаты
- •Изменение ландшафта угроз
- •Улучшение стратегии безопасности
- •Красная и Синяя команды
- •Подразумеваем взлом
- •Справочные материалы
- •Резюме
- •Процесс реагирования на компьютерные инциденты
- •Процесс реагирования на компьютерные инциденты
- •Создание процесса реагирования на компьютерные инциденты
- •Команда реагирования на компьютерные инциденты
- •Жизненный цикл компьютерного инцидента
- •Обработка инцидента
- •Передовые методы оптимизации обработки компьютерных инцидентов
- •Деятельность после инцидента
- •Реальный сценарий
- •Выводы
- •Реагирование на компьютерные инциденты в облаке
- •Справочные материалы
- •Резюме
- •Жизненный цикл атаки
- •Внешняя разведка
- •Сканирование
- •Доступ и повышение привилегий
- •Вертикальное повышение привилегий
- •Горизонтальное повышение привилегий
- •Проникновение и утечки
- •Тыловое обеспечение
- •Штурм
- •Обфускация
- •Управление жизненным циклом угроз
- •Справочные материалы
- •Резюме
- •Разведка и сбор данных
- •Внешняя разведка
- •Копание в мусоре
- •Социальные сети
- •Социальная инженерия
- •Внутренняя разведка
- •Анализ трафика и сканирование
- •Вардрайвинг
- •Завершая эту главу
- •Справочные материалы
- •Резюме
- •Компрометация системы
- •Анализ современных тенденций
- •Вымогательство
- •Манипулирование данными
- •Атаки на IoT-устройства
- •Бэкдоры
- •Атаки на мобильные устройства
- •Взлом повседневных устройств
- •Взлом облака
- •Фишинг
- •Эксплуатация уязвимостей
- •Уязвимость нулевого дня
- •Фаззинг
- •Анализ исходного кода
- •Типы эксплойтов нулевого дня
- •Перезапись структурированного обработчика исключений
- •Развертывание полезных нагрузок
- •Компрометация операционных систем
- •Компрометация удаленной системы
- •Компрометация веб-приложений
- •Справочные материалы
- •Резюме
- •Охота на пользовательские реквизиты
- •Стратегии компрометации реквизитов доступа пользователя
- •Получение доступа к сети
- •Сбор учетных данных
- •Взлом реквизитов доступа пользователя
- •Полный перебор
- •Социальная инженерия
- •Атака Pass-the-hash
- •Другие способы взлома реквизитов доступа
- •Справочные материалы
- •Резюме
- •Дальнейшее распространение по сети
- •Инфильтрация
- •Построение карты сети
- •Избежать оповещений
- •Дальнейшее распространение
- •Сканирование портов
- •Sysinternals
- •Общие файловые ресурсы
- •Удаленный доступ к рабочему столу
- •PowerShell
- •Инструментарий управления Windows
- •Запланированные задачи
- •Кража авторизационных токенов
- •Атака Pass-the-hash
- •Active Directory
- •Удаленный доступ к реестру
- •Анализ взломанных хостов
- •Консоли центрального администратора
- •Кража сообщений электронной почты
- •Справочные материалы
- •Резюме
- •Повышение привилегий
- •Инфильтрация
- •Горизонтальное повышение привилегий
- •Вертикальное повышение привилегий
- •Как избежать оповещений
- •Выполнение повышения привилегий
- •Эксплуатация неисправленных операционных систем
- •Манипулирование маркерами доступа
- •Эксплуатация специальных возможностей
- •Application Shimming
- •Обход контроля над учетной записью пользователя
- •Внедрение DLL-библиотек
- •Перехват порядка поиска DLL
- •Перехват поиска dylib
- •Исследование уязвимостей
- •Запускаемые демоны
- •Практический пример повышения привилегий в Windows 8
- •Выводы
- •Справочные материалы
- •Резюме
- •Политика безопасности
- •Проверка политики безопасности
- •Обучение конечного пользователя
- •Рекомендации по безопасности для пользователей социальных сетей
- •Тренинг по безопасности
- •Использование политики
- •Белый список приложений
- •Усиление защиты
- •Мониторинг на предмет соответствия
- •Справочные материалы
- •Резюме
- •Сегментация сети
- •Глубоко эшелонированная защита
- •Инфраструктура и службы
- •Документы в процессе передачи
- •Конечные точки
- •Сегментация физической сети
- •Открывая схему сети
- •Обеспечение удаленного доступа к сети
- •VPN типа «сеть–сеть»
- •Сегментация виртуальной сети
- •Безопасность гибридной облачной сети
- •Справочные материалы
- •Резюме
- •Активные сенсоры
- •Возможности обнаружения
- •Индикаторы компрометации
- •Системы обнаружения вторжений
- •Система предотвращения вторжений
- •Обнаружение на основе правил
- •Обнаружение на основе аномалий
- •Поведенческая аналитика внутри организации
- •Размещение устройств
- •Поведенческая аналитика в гибридном облаке
- •Центр безопасности Azure
- •Справочные материалы
- •Резюме
- •Киберразведка
- •Введение в киберразведку
- •Инструментальные средства киберразведки с открытым исходным кодом
- •Средства киберразведки компании Microsoft
- •Центр безопасности Azure
- •Использование киберразведки для расследования подозрительной деятельности
- •Справочные материалы
- •Резюме
- •Расследование инцидента
- •Масштаб проблемы
- •Ключевые артефакты
- •Исследование скомпрометированной системы внутри организации
- •Исследование скомпрометированной системы в гибридном облаке
- •Ищите и обрящете
- •Выводы
- •Справочные материалы
- •Резюме
- •Процесс восстановления
- •План послеаварийного восстановления
- •Процесс планирования послеаварийного восстановления
- •Вызовы
- •Восстановление без перерыва в обслуживании
- •Планирование на случай непредвиденных обстоятельств
- •Процесс планирования на случай непредвиденных обстоятельств в сфере IT
- •Передовые методы восстановления
- •Справочные материалы
- •Резюме
- •Управление уязвимостями
- •Создание стратегии управления уязвимостями
- •Инвентаризация ресурсов
- •Управление информацией
- •Оценка рисков
- •Оценка уязвимостей
- •Отчеты и отслеживание исправлений
- •Планирование реагирования
- •Инструменты управления уязвимостями
- •Реализация управления уязвимостями
- •Передовые методы управления уязвимостями
- •Реализация управления уязвимостями с помощью Nessus
- •Flexera (Secunia) Personal Software Inspecto
- •Заключение
- •Справочные материалы
- •Резюме
- •Анализ журналов
- •Сопоставление данных
- •Журналы операционной системы
- •Журналы Windows
- •Журналы Linux
- •Журналы брандмауэра
- •Журналы веб-сервера
- •Справочные материалы
- •Резюме
- •Предметный указатель
|
|
|
|
hang |
e |
|
|
|
|
||
|
|
|
C |
|
|
E |
|
|
|
||
|
|
X |
|
|
|
|
|
|
|
||
|
- |
|
|
|
|
|
d |
|
|
||
|
F |
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
i |
r |
|
P |
|
|
|
|
|
NOW! |
o |
||||
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|
|||
|
|
|
|
to |
120 |
||||||
w Click |
|
||||||||||
|
|
|
|
|
|
|
m |
||||
w |
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
|||
|
|
p |
|
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
|
|
e |
|
|
|
|
|
|
|
|
|
n |
|
|
|
||
|
|
|
|
|
|
21. |
|
|
|||
|
|
|
|
-xcha |
|
|
|
|
|||
|
|
|
|
|
|
22. |
|
|
23.
24.
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
Компрометация системы |
|
|
|
|
BUY |
|
|
|||
|
|
|
to |
|
|
|
|
|
||
|
|
|
|
|
|
|
|
m |
||
w Click |
|
|
|
|
|
|
||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
Expert Metasploit Penetration Testing // Packtpub.com. 2017. https://www. |
|
|
|
|
|
|
||||
|
|
|
|
-x cha |
|
|
|
|
packtpub.com/networking-and-servers/expert-metasploit-penetration-testing- video.
Koder. Logon to any password protected Windows machine without knowing the password // IndiaWebSearch.com, Indiawebsearch.com. 2017. http://indi- awebsearch.com/content/logon-to-any-password-protected-windows-machine- without-knowing-the-password.
Gordon W. How To Break Into A Windows PC (And Prevent It From Happen- ingToYou)//Lifehacker.com.au.2017.https://www.lifehacker.com.au/2010/10/ how-to-break-into-a-windows-pc-and-prevent-it-from-happening-to-you/.
Hack Like a Pro: How to Crack Passwords, Part 1 (Principles & Technologies) // WonderHowTo. 2017. https://null-byte.wonderhowto.com/how-to/hack-like-pro- crack-passwords-part-1-principles-technologies-0156136/.
Резюме
В этой главе мы рассмотрели множество способов, используя которые, можно скомпрометировать операционную систему. Мы обсудили средства, которые можно использовать для развертывания полезных нагрузок в отношении уяз- вимой цели, изучили способы взлома удаленных систем, а также объяснили общие методы, применяемые для взлома веб-систем. Мы также обсудили ис- пользование фишинга, эксплуатирование уязвимостей, атаки нулевого дня
инаиболее распространенное программное обеспечение, используемое для компрометации систем. В этой главе также приведены альтернативы обсуж- даемым инструментам.
Вследующей главе речь пойдет о дальнейшем распространении по сети,
имы обсудим способы перемещения хакеров по системе после того, как она будет скомпрометирована. Мы расскажем о том, как злоумышленники попа- дают в другие части системы, как они избегают обнаружения, а затем сосре- доточимся на способах, с помощью которых хакеры выполняют дальнейшее
распространение.
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
C |
|
E |
|
|
||
|
|
X |
|
|
|
|
|
||
|
- |
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
||
|
|
|
|
|
|
|
|||
|
|
|
|
|
BUY |
|
|
||
|
|
|
|
to |
|
|
|
|
|
w Click |
|
|
|
|
m |
||||
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
df |
|
|
|
e |
|
|
|
|
|
|
|
n |
|
|
||
|
|
|
|
|
|
Глава |
|||
|
|
|
|
-xcha |
|
|
|
6
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
Охота на пользовательские реквизиты
В предыдущей главе вы изучили различные методы, которые можно исполь- зовать для компрометации системы. Однако в нынешних условиях, характе- ризующихся наличием угрозы, полученные учетные данные используются для дальнейшей компрометации систем и сетей. Согласно отчету Verizon по исследованию утечкиданных за 2016 г.,после серии атак,нацеленных на учет- ные данные пользователей, 63 % подтвержденных утечек данных произошли по вине ненадежных и украденных паролей или паролей по умолчанию. Этот ландшафт угроз подталкивает предприятия к разработке новых стратегий для повышения общей безопасности личности пользователя.
В этой главе мы рассмотрим следующие темы:реквизиты доступа – новый периметр;
стратегии,используемые для компрометации реквизитов доступа поль- зователя;
взлом реквизитов доступа пользователя.
Реквизиты доступа –новый периметр
Как было кратко объяснено в главе 1 «Стратегия безопасности», защита, свя- занная с реквизитами доступа, должна быть усилена, поэтому в отрасли су ществует общее мнение, что реквизиты доступа в систему – это новый пери- метр.Это происходитпотому,что каждый раз,когда создаются новые учетные данные, в большинстве случаев они состоят только из имени пользователя и пароля. Хотя многофакторная аутентификация набирает популярность, она все еще не является методом по умолчанию, используемым для аутентифи- кации пользователей. Кроме того, существует множество устаревших систем, которые полагаются исключительно на имена пользователей и пароли, чтобы работать правильно.
Кража учетных данных имеет тенденцию к росту в различных сценариях, таких как:
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
F |
|
|
|
|
|
|
|
t |
|
|||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
|
NOW! |
|
o |
P |
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
|
|
|
|
|
|
BUY |
|
|
||||||||
|
|
|
|
to |
122 |
Охота на пользовательские реквизиты |
|
|
|
to |
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
w Click |
|
|
|
|
|
|
|
|
m |
w Click |
|
|
|
|
|
|
|
m |
||||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
|
o |
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
. |
|
|
|
|
g |
.c |
|
|||||||
|
|
p |
|
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
df |
|
|
n |
e |
|
|||||||
|
|
|
|
-xcha |
|
|
|
|
корпоративные пользователи – хакеры, которые пытаются получить |
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
доступ к корпоративной сети и хотятпроникнутьбез шума.Один излуч- ших способов сделать это – использовать действительные учетные дан- ные, чтобы пройти процедуру аутентификации и стать частью сети;
домашние пользователи – многие банковские трояны, такие как се- мействоDridex,всеещеактивноиспользуются,потомучтоонинацелены на банковские данные пользователей, а именно там находятся деньги.
Проблема с нынешним ландшафтом угроз реквизитам доступа заключается
втом, что домашние пользователи также являются корпоративными пользо- вателями и применяют свои устройства для использования корпоративных данных. Теперь у вас есть сценарий, когда реквизиты доступа пользователя для его личного приложения находятся на том же устройстве, на котором ис- пользуются его корпоративные учетныеданныедлядоступа к корпоративным данным.
Проблема с пользователями, вынужденными поддерживать разные рекви- зиты доступа для разных задач, заключается в том, что пользователи могут применять один и тот же пароль для этих разных служб.
Например, пользователь, использующий один и тот же пароль для своей облачной почтовой службы и учетных данных корпоративного домена, по- может хакерам, поскольку им нужно только идентифицировать имя пользо- вателя, т. к. после взлома одного пароля станет понятно, что все остальные будут такими же. В настоящее время браузеры используются в качестве ос- новной платформы для пользователей, применяющих приложения, а уязви- мостибраузераможноиспользоватьдлякражиучетныхданныхпользователя. Такой сценарий произошел в мае 2017 г., когда была обнаружена уязвимость
вGoogle Chrome.
Хотя эта проблема, по-видимому, связана с конечными пользователями
ипредприятиями, реальность такова, что любой может оказаться в опасности
истать жертвой, даже люди, имеющие отношение к политике. В ходе атаки, раскрытой в июне 2017 г. «The Times», сообщалось, что адреса электронной почты и пароли Джастина Грининга (министра образования) и Грега Кларка (бизнес-секретаря) из правительства Великобритании были среди десятков тысяч документов, полученных от правительственных чиновников, которые были похищены, а затем проданы в даркнете. Проблема с украденными учет- нымиданными заключается нетолько втом,что этиданные используютсядля доступа к конфиденциальной информации,нотакже их можно применитьдля запуска кампании по целевой фишинг-атаке. На рис. 6.1 показан пример ис- пользования украденных учетных данных.
Интересная часть рабочего процесса,показанного на предыдущей диаграм- ме, заключается в том, что хакеру не нужно готовить всю инфраструктуру для запуска атаки. В настоящее время они могут просто арендовать ботов, при- надлежащих кому-то другому.Эта стратегия использовалась в 2016 г.во время
DoS-атаки с помощью интернета вещей, и, согласно ZingBox, «цена 50 000 бо-
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|||
|
|
|
C |
|
E |
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|||||||
|
|
X |
|
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
|
- |
|
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
|
F |
|
|
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
D |
|
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
|
NOW! |
o |
|
P |
|
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
Реквизиты доступа–новый периметр 123to |
BUY |
|
|
||||||||||||||
|
|
|
|
to |
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||
w Click |
|
|
|
|
|
|
|
m |
|
w Click |
|
|
|
|
|
|
|
|
m |
||||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
o |
|
|
|
w |
|
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
|
. |
|
|
|
|
|
g |
.c |
|
||||||
|
|
p |
|
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
df |
|
|
|
n |
e |
|
||||||
|
|
|
|
|
|
тов с продолжительностью атаки 3600 с (1 ч) с паузой на 5–10 мин составляет |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
|||||
|
|
|
|
|
|
от 3000 до 4000 долл. США за две недели». |
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Аренда услуги BaaS |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Украденные |
(Botnet as a Server) |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
учетные данные |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Разведка,чтобы |
Создание писем |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
определить цель |
с вредоносным контентом |
Запуск атаки |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Локальные ресурсы |
Брандмауэр |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Рис.6.1
Помереростаоблачныхвычисленийрастетиколичество SaaS-приложений, которые используют систему управления идентификационными данными облачного провайдера, а это означает увеличение количества учетных запи- сей Google, Microsoft Azure и т. д. Эти поставщики облачных услуг обычно предлагают двухфакторную аутентификацию, чтобы добавить дополнитель- ный уровень защиты. Однако самым слабым звеном остается пользователь, а это значит, что это вовсе не пуленепробиваемая система. Хотя и верно утверждение, что двухфакторная аутентификация повышает безопасность процесса аутентификации,было доказано,что этот процесс можно скомпро- метировать.
В качестве одного известного примера ошибки в механизме двухфакторной аутентификации можно привести случай с участием активиста ДеРея Маккес- сона.ХакерыпозвониливVerizonи,используянавыкисоциальнойинженерии, притворились Маккессоном и убедили сотрудников, что с его телефоном воз-