|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
F |
|
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
|
NOW! |
o |
P |
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
Доступ и повышение привилегий 61to |
BUY |
|
|
||||||||||||
|
|
|
|
to |
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||
w Click |
|
|
|
|
|
|
|
m |
w Click |
|
|
|
|
|
|
|
m |
||||||
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
o |
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
. |
|
|
|
|
g |
.c |
|
||||||
|
|
p |
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
df |
|
|
n |
e |
|
||||||
|
|
|
|
|
|
гут просто восстановить пароли для компьютеров жертв. Они прослушивают |
|
|
|
|
|
|
|
||||||||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
||||
маршрутизаторы и могут получить определенное количество паролей от хостов,отправляющихтрафик через уязвимый маршрутизатор.Эта утилита взламывает пароли, используя словарную атаку, полный перебор и криптоанализ. Она также может записывать разговоры, которые идут через VOIP, расшифровывать пароли, раскрывать кешированные пароли и анализировать протоколы маршрутизации внутренней сети. Cain and Abel удивительно эффективен в своих атаках,т. к. разборчив и игнорируетлегко исправляемые ошибки.
Чтобы использовать утилиту, необходимо отключить брандмауэр Windows. После этого ее можно использовать для прослушивания пакетов.
Затем вводится IP-адрес маршрутизатора. Утилита сможет прослушивать все пакеты, отправляемые на маршрутизатор хостами в сети. Затем пароли, проходящие от хостов через маршрутизатор, могут быть исследованы злоумышленником. На следующем рисунке показан скриншот интерфейса Cain and Abel. Имена пользователей, где стоит * empty * в поле NT Password, не имеютпаролей,втовремякакуостальныхестьзащитапаролем.Вполе<8 отображается звездочка (*), если длина пароля меньше 8 символов. Пароль можно скомпрометировать с помощью словарной атаки, атаки методом перебора и криптоанализа, как показано в контекстном меню на рис. 3.10.
Рис.3.10 Интерфейс Cain and Abel
Доступ и повышение привилегий
Этот этап наступает после того, как злоумышленник уже определил жертву, а также просканировал и использовал ее уязвимости с помощью ранее обсуж-
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|||
|
|
|
C |
|
E |
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|||||||
|
|
X |
|
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
|
- |
|
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
F |
|
|
|
|
|
|
|
|
t |
|
|||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
D |
|
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
|
NOW! |
|
o |
P |
|
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
|
|
|
|
|
|
|
BUY |
|
|
||||||||
|
|
|
|
to |
62 Жизненный цикл атаки |
|
|
|
|
to |
|
|
|
|
|
|
|||||||||
w Click |
|
w Click |
|
|
|
|
|
|
|
||||||||||||||||
|
|
|
|
|
|
|
|
m |
|
|
|
|
|
|
|
|
m |
||||||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
|
o |
|
|
w |
|
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
. |
|
|
|
|
|
g |
.c |
|
|||||||
|
|
p |
|
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
df |
|
|
|
n |
e |
|
||||||
|
|
|
|
|
|
давшихся утилит и средств сканирования. Основными задачами злоумыш |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
|||||
|
|
|
|
|
|
ленника на данном этапе являются сохранение доступа и перемещение |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
по сети, оставаясь при этом незамеченным. Чтобы добиться такой свободы |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
передвижения и не быть обнаруженным, злоумышленнику необходимо вы- |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
полнить повышение привилегий. Это атака, которая предоставит злоумыш- |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
леннику повышенный уровень доступа к сети, ее подключенным системам |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
и устройствам. |
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|
Повышение привилегий может быть выполнено двумя способами: верти- |
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
кальным и горизонтальным. |
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
Таблица 3.1.Сравнение горизонтального и вертикального повышений привилегий |
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
Вертикальное повышение привилегий |
Горизонтальное повышение привилегий |
|
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
Злоумышленник перемещается с одного аккаунта |
Злоумышленник использует ту же учетную запись, |
|
|
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
|
на другой с более высоким уровнем полномочий |
но повышает свои привилегии |
|
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
Инструменты,используемые для повышения |
Учетная запись пользователя используется |
|
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
привилегий |
для повышения привилегий |
|
|
|
|
|
|
|
|
|
|
|
|
|||||
Вертикальное повышение привилегий
Вертикальное повышение привилегий – это прием, когда злоумышленник должен предоставить более высокие привилегии самому себе. Это сложная процедура,т.к.пользовательдолжен выполнить некоторые операции на уров- не ядра, чтобы повысить свои права доступа.
После выполнения операций злоумышленник получает права доступа
ипривилегии, которые позволяют ему запускать любой неавторизованный код. Права, полученные с использованием этого метода, принадлежат супер- пользователю с более высокими правами, чем у администратора.
Благодаря этим привилегиям злоумышленник может выполнять различные вредоносные действия, которые не в состоянии остановить даже администра- тор. В Windows вертикальное повышение привилегий используется, чтобы вызвать переполнение буфера, которое злоумышленники используют для вы- полнения произвольного кода. Данный тип повышения привилегий был за- мечен во время атаки WannaCry, которая произошла в мае 2017 г. Программавымогатель WannaCry нанесла значительный урон, зашифровав компьютеры в более чем 150 странах мира и потребовав выкуп в размере 300 млн долл. за расшифровку, причем эта сумма должна была удвоиться по прошествии вто- рой недели. Интересно, что программа использовала уязвимость EternalBlue, предположительно украденную у АНБ.
EternalBlue позволил вредоносной программе повысить свои привилегии
изапустить любой произвольный код на компьютерах с ОС Windows.
ВLinux вертикальное повышение привилегий используется, чтобы по- зволить злоумышленникам запускать или изменять программы на целевом
компьютере с привилегиями суперпользователя.
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
|
F |
|
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
|
NOW! |
o |
|
P |
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
Проникновение и утечки |
63to |
BUY |
|
|
||||||||||||
|
|
|
|
to |
|
|
|
|
|
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
w Click |
|
|
|
|
|
|
|
m |
|
w Click |
|
|
|
|
|
|
|
m |
||||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
o |
|
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
|
. |
|
|
|
|
g |
.c |
|
||||||
|
|
p |
|
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
|
|
e |
|
|
|
|
|
df |
|
|
|
|
e |
|
||||
|
|
|
|
|
Горизонтальное повышение привилегий |
|
|
|
|
|
n |
|
|
|
|
|||||||||
|
|
|
|
|
n |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
||||
Горизонтальное повышение привилегий проще, поскольку позволяет пользо- вателю применять те же привилегии, которые были получены при первона- чальном доступе.
Хорошим примером является случай, когда злоумышленник может украсть учетные данные администратора сети. Учетная запись администратора уже имеет высокие привилегии, которые появятся у злоумышленника сразу после получения доступа к ней.
Горизонтальное повышение привилегий также возникает, когда злоумыш- ленник может получить доступ к защищенным ресурсам, используя обычную учетную запись пользователя. Хорошим примером является случай, когда обычный пользователь по ошибке может получить доступ к учетной записи другого пользователя. Обычно это делается с помощью кражи сеансов и фай- лов cookie,межсайтового скриптинга,угадывания слабых паролей и регистра- ции нажатий клавиш.
В конце этого этапа злоумышленник обычно располагает четко установлен- ными точками входа удаленного доступа в целевую систему. У него также мо- жет быть доступ к учетным записям нескольких пользователей. Злоумышлен- никзнает,какизбежатьобнаружениясредствамибезопасности,которыемогут быть у объекта атаки. Это приводит к следующему этапу, называющемуся экс- фильтрация, или проникновение.
Проникновение и утечки
Это фаза,с которой начинается основная атака.Кактолько атакадостигладан- ной фазы, она считается успешной. Обычно злоумышленник может беспре- пятственно передвигаться по сети жертвы, имея доступ ко всем ее системам и конфиденциальным данным, и извлекает конфиденциальные данные орга- низации. Это могут быть коммерческие секреты, имена пользователей, паро- ли,личныеданные,сверхсекретныедокументыидругиетипыданных.Наэтом этапе злоумышленники обычно крадут огромные массивы данных, которые могут быть либо проданы покупателям, либо опубликованы. Крупным компа- ниям приходилось сталкиваться с ужасными инцидентами, когда их данные были украдены.
В 2015 г. хакерская группа взломала и украла 9,7 Гб данных с сайта Ashley Madison,службыонлайн-знакомствиобщения,предназначеннойдлялюдей,со стоящих в браке или в отношениях. Хакеры предложили Avid Life Media, компа- нии, которая владела сайтом, закрыть его, угрожая опубликовать данные поль- зователей. Материнская компания отказалась от претензий, но хакеры вскоре выбросили данные в даркнет – теневой интернет. Данные включали в себя ре- альные имена,адреса, номера телефонов, адреса электронной почты и учетные данные миллионов пользователей. Хакеры призвали людей, пострадавших от утечки,подать в суд на компанию и потребовать возмещения убытков.
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
F |
|
|
|
|
|
|
|
t |
|
|||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
|
NOW! |
|
o |
P |
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
|
|
|
|
|
|
BUY |
|
|
||||||||
|
|
|
|
to |
64 Жизненный цикл атаки |
|
|
|
|
to |
|
|
|
|
|
|
||||||||
w Click |
|
w Click |
|
|
|
|
|
|
|
|||||||||||||||
|
|
|
|
|
|
|
|
m |
|
|
|
|
|
|
|
m |
||||||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
|
o |
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
. |
|
|
|
|
g |
.c |
|
|||||||
|
|
p |
|
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
df |
|
|
n |
e |
|
||||||
|
|
|
|
-xcha |
|
|
|
|
В 2016 г.Yahoo сообщила,что хакерами еще в 2013 г.были украденыданные, |
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
|||||
принадлежащие более чем миллиарду учетных записей пользователей. Ком- пания заявила, что отдельным случаем, не связанным с происшествием, яв- ляется кража в 2014 г. пользовательских данных полумиллиона учетных запи- сей. Yahooсообщила, что во время инцидента 2013 г. хакеры смогли получить имена пользователей, адреса электронной почты, даты рождения, секретные вопросы и ответы на них, а также хешированные пароли.
Хакеры предположительно использовали подделанные куки, которые по- зволили им получить доступ к системам компании без пароля. В 2016 г. был взломанLinkedIn иукрадены пользовательскиеданные более160 млнучетных записей.
Вскоре хакеры выставили данные на продажу любым заинтересованным покупателям. Сообщалось, что данные содержали электронную почту и за- шифрованные пароли учетных записей. Эти три инцидента показывают, на- сколько серьезной становится атака послетого,как злоумышленникдойдетдо этой стадии.Страдает репутация организации,ставшей жертвой хакеров,и ей приходится платить огромные суммы денег в качестве штрафов за отсутствие защиты пользовательских данных.
Время от времени злоумышленники делают нечто большее,чем просто уда- ление данных. Они могут удалять или изменять файлы, которые хранятся на взломанных компьютерах, системах и серверах. В марте 2017 г. хакеры потре- бовали выкуп от компании «Apple» и пригрозили стереть данные, относящи- еся к 300 млн телефонов iPhone, в учетных записях iCloud. Несмотря на то что это было мошенничество,подобноедоказывает,чтотакая ситуация возможна. В этом случаетакая крупная компания,как «Apple»,оказаласьв центре внима- ния,когдахакерыпыталисьвыманитьунееденьги.Возможно,чтодругаяком- пания в спешке заплатит хакерам, чтобы предотвратить уничтожение данных своих пользователей.
Все эти инциденты,с которыми столкнулисьApple,Ashley Madison,LinkedIn иYahoo,показываютзначимостьданногоэтапа.Хакеры,которымудаетсядой- ти до этой стадии, фактически контролируют ситуацию.
Жертва может не знать, что данные уже украдены, пока хакеры некоторое время хранят молчание. После этого атака переходит в новую фазу – тыловое обеспечение.
Тыловое обеспечение
Тыловое обеспечение происходит,когда злоумышленники уже свободно пере- мещаютсяпосетиикопируютвседанные,которыеонисчитаютценными.Они вступают в эту стадию, когда хотят остаться незамеченными. Существует воз- можность завершить атаку на предыдущем этапе, когда данные уже украдены и могут быть опубликованы или проданы. Тем не менее высоко мотивирован- ные злоумышленники, которые хотят окончательно добить свою цель, пред-