Добавил:

Anonymhacker Опубликованный материал нарушает ваши авторские права? Сообщите нам.

Вуз:

Пензенский Государственный Университет

Предмет:

[НЕСОРТИРОВАННОЕ]

Файл:

книги хакеры / Кибербезопасность_стратегия_атак_и_обороны.pdf

Скачиваний:

Добавлен:

19.04.2024

Размер:

19.49 Mб

Скачать

☆

<<< < Предыдущая 1 2 3 4 5 6 7 89 / 639 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 > Следующая >>>

hang

NOW!

BUY

48  Процесс реагирования на компьютерные инциденты

w Click

-xcha

сдерживание. Пересмотрите возможности поставщика облачных услуг,

-x cha

чтобы изолировать инцидент в случае его возникновения. Он также бу- дет варьироваться в зависимости от используемой вами модели облака. Например, если у вас есть скомпрометированная виртуальная машина в облаке, вы можете изолировать ее от других машин в иной виртуаль- ной сети и временно заблокировать доступ к ней извне.

Дляполучениядополнительнойинформацииореагированиинаинциденты в облаке мы рекомендуем прочитать «Domain 9» из Cloud Security Alliance Gui dance (8).

Справочные материалы

1.Можно скачать эту публикацию на странице https://nvlpubs.nist.gov/nist pubs/SpecialPublications/NIST.SP.800-61r2.pdf.

2.В соответствии с реагированием на инцидент в области компьютерной безопасности (CSIR) – публикацией 800-61R2 от Национального институ- та стандартов и технологий США событие – это «любое наблюдаемое явле- ние в системе или сети».Более подробная информация на странице https:// nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf.

3.Больше информации об этом патче на странице https://www.microsoft.com/ en-us/msrc?rtc=1.

4.Больше информации на эту тему на странице https://blog.cloudsecurity- alliance.org/2014/11/24/shared-responsibilities-for-security-in-the-cloud-part-1/.

5.В случае с Microsoft Azure прочтите этот документ для получения дополни- тельной информации о реагировании на компьютерные инциденты в обла-

ке: https://gallery.technet.microsoft.com/Azure-Security-Response-in-dd18c678.

6.В случае с Microsoft Online Service можно использовать эту форму: https:// portal.msrc.microsoft.com/en-us/engage/cars.

7.Посмотрите, как один из авторов книги, Юрий Диогенес, демонстриру- ет способ использования Центра безопасности Azure для расследования компьютерного инцидента в облаке: https://channel9.msdn.com/Blogs/Azure-

Security-Videos/Azure-Security-Center-in-Incident-Response.

8.Можно скачать этот документ на странице https://cloudsecurityalliance.org/ artifacts/security-guidance-v4/.

Резюме

В этой главе вы узнали о процессе реагирования на компьютерные инциден- ты и о том, как он вписывается в общую задачу повышения уровня безопас- ности. Вы также узнали о важности наличия реагирования на инциденты для быстрого выявления и реакции на инциденты в области информационной безопасности. Планируя каждую фазу жизненного цикла реагирования, вы создаете целостный процесс, который можно применять ко всей организа-

hang

NOW!

BUY

Резюме  49to

BUY

w Click

ции. Основа плана реагирования одинакова для разных отраслей. Помимо

-xcha

-x cha

этого, вы можете включить настраиваемые области, которые имеют отноше- ние к вашему собственному бизнесу. Вы также познакомились с ключевыми аспектами обработки инцидентаи важностьюдеятельности послеинцидента, включая полнуюдокументацию по полученным урокам и использование этой информации для улучшения общего процесса.Наконец,вы узнали об основах реагирования на инцидент в облаке и о том, как это может повлиять на ваш текущий процесс.

В следующей главе вы поймете, как мыслит злоумышленник, познакоми- тесь с различными этапами атаки и тем, что обычно происходит на каждом из этих этапов. Это важная концепция для остальной части книги, учитывая, что в упражнениях по атаке и защите в качестве основы будет использоваться жизненный цикл атаки (kill chain).

				hang		e
			C			e	E
		X					E
	-						d
	F							t
	D							i
	D							r
P						NOW!		o
P
					BUY
				to	BUY
w Click				to					m
w Click									m
w
	w							o
	.						.c
		p					g
			df				e
			df			n
						Глава 3
				-xcha

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

Жизненный цикл атаки

Впредыдущейглавевыузналиопроцессереагированиянаинцидентыиотом, как он вписывается в общее улучшение стратегии безопасности компании.Те- перь пришло время начатьдумать как злоумышленник и понять обоснование, мотивацию и шаги выполнения атаки. Мы называем это жизненным циклом атаки (cybersecurity kill chain), о которой вкратце рассказали в главе 1 «Стра- тегия безопасности». Согласно сообщениям, сегодня наиболее совершенные кибератаки прибегаютк использованию вторжения в сеть объекта.Онидлятся продолжительное время, прежде чем нанести ущерб или быть обнаруженны- ми.Этораскрываетуникальноесвойствосегодняшнихзлоумышленников:они обладают поразительной способностью оставаться незамеченными, пока не придет время. Это означает, что работают они по хорошо структурированным и запланированным схемам. В ходе изучения точности их атак было установ- лено, что большинство киберзлоумышленников использует серию подобных этапов, чтобы осуществить успешные атаки.

Для повышения уровня безопасности необходимо убедиться, что охвачены все фазы жизненного цикла атаки с точки зрения защиты и обнаружения. Но единственный способ сделать это–убедиться,что вы понимаете,как работает каждый этап, как мыслит злоумышленник и каковы последствия этого.

В этой главе мы рассмотрим следующие темы:внешняя разведка;компрометация системы;

дальнейшее распространение по сети;повышение привилегий;завершение миссии.

Внешняя разведка

На этом этапе злоумышленник просто ищет уязвимую жертву для атаки. Мо- тив состоит в том, чтобы собрать как можно больше информации за предела- ми сети. Это может быть информация о цепочке поставок цели, присутствии в сети устаревших устройств идействиях сотрудников в социальных сетях.Это позволит злоумышленнику выбрать методы эксплуатации, подходящие для

hang

NOW!

BUY

Внешняя разведка  51to

BUY

w Click

каждой уязвимости, определенной для конкретной цели. Список жертв может

-xcha

-x cha

быть бесконечным, но у злоумышленников есть особый интерес к наивным

пользователям, располагающим определенными привилегиями в системах.

Тем не менее кто угодно в организации,включая поставщиков и клиентов,мо-

жет стать жертвой. Все, что нужно злоумышленникам, – это слабое место для

входа в сеть организации.

На этой стадии обычно используются два метода: фишинг и социальная ин-

женерия.

Фишингосуществляетсяспомощьюэлектронныхписем,когдазлоумышлен-

ники отправляют своей жертве несколько тщательно созданных электронных

писем,чтобы заставитьих раскрытьсекретную информацию или открытьсеть

для атак. Для злоумышленников характерно прикрепление к своим электрон-

ным письмам вредоносных программ,которые заражаюткомпьютер после от-

крытия вирусного вложения. В других случаях фишинговые письма будут вы-

давать себя за сообщения от авторитетных учреждений,что побуждает ничего

не подозревающих пользователей разглашать конфиденциальную информа-

цию.Социальная инженерия работаетаналогичным образом: злоумышленни-

ки внимательно следят за жертвами,собирая о них информацию,которую они

впоследствии используют для получения личных данных. Социальная инже-

нерия работает в основном через социальные сети, где злоумышленник будет

следовать за жертвой, используя ее любимые онлайн-платформы.

Злоумышленник узнает о симпатиях и антипатиях своей жертвы и ее сла-

бостях.

После использования одного из этих методов злоумышленник найдет точ-

ку входа. Это может быть сделано с помощью кражи паролей или заражения

компьютера

вредоносным ПО в сети целевой организации. Украденные па-

роли предоставят злоумышленнику прямой доступ к компьютерам, серверам или устройствам во внутренней сети организации. Вредоносное ПО может быть использовано для заражения еще большего количества компьютеров или серверов и передачи их благодаря этому под командование хакера.

Сканирование

На этом этапе злоумышленник критически исследует слабые места, выявлен- ные на этапе разведки. Сканирование включает в себя использование различ- ных инструментов, чтобы найти лазейки, которые можно использовать для организации атаки. На этом этапе злоумышленникам требуется значительное количество времени, поскольку они знают, что именно он во многом опреде- ляет процент их успеха.

Из многочисленныхдоступных инструментов сканирования наиболее часто используемые представлены в следующих разделах.

NMap

NMap – это бесплатная сетевая утилита с открытым исходным кодом для Windows, Linux и macOS. Сетевые администраторы оценили огромную мощь

hang

NOW!

BUY

52  Жизненный цикл атаки

w Click

данного бесплатного инструмента. Он использует обычные IP-пакеты, кото-

-xcha

-x cha

рые отправляются по сети. Этот инструмент может провести инвентаризацию устройств, подключенных к целевой сети, определить открытые порты, кото- рые могут быть использованы, и отслеживать время работы хостов в сети.

Этот инструмент также может выяснять сервисы, работающие на хостах сети, идентифицировать операционные системы, используемые хостами, и определять правила брандмауэра, применяемые в сети. В NMap есть интер- фейс командной строки, но существует аналогичная утилита с графическим интерфейсом пользователя под названием Zenmap. Zenmap – это инструмент для начинающих, который проще в использовании и поставляется со всеми функциями NMap. Однако функции перечислены в меню, поэтому пользова- телям не нужно запоминать команды,как в случае с NMap.Zenmap был создан теми же разработчиками, принимавшими участие в работе над NMap, только для того, чтобы обслуживать пользователей, которые хотели бы иметь графи- ческий интерфейс своих инструментов сканирования для упрощенного про- смотра результатов.

NMap работает в основном с помощью команд, предоставляемых пользова- телем в интерфейсе командной строки.Пользователи начинаютсо сканирова- ния системы или сети, чтобы выявить уязвимости. Распространенный способ сделать это – набрать одну из следующих команд:

#nmap www.targetsite.com #nmap 255.250.123.189

В случае с предыдущими командами целевой сайт – это сайт, который вы хотите сканировать с помощью NMap. Он работает либо с URL-адресом сай- та, либо с IP-адресом. Эта базовая команда в основном используется в соче- тании с другими командами, такими как TCP SYN Scan and Connect, UDP Scan

иFIN Scan. У них есть свои эквивалентные фразы команды. На рис. 3.1 пока- зан скриншот NMap, сканирующего два IP-адреса. На скриншоте просматри-

ваются IP-адреса 205.217.153.62 и 192.168.12.3. Обратите внимание, что NMap

показывает результаты сканирования, давая открытые или закрытые порты

ислужбы, которые они позволяют запускать.

Metasploit

Это фреймворк для взлома на базе Linux, который хакеры использовали бес- численное количество раз. Это связано с тем, что Metasploit состоит из много- численных хакерских утилит и фреймворков, созданных для осуществления различных типов атак на цель. Этот инструмент привлек внимание профес- сионалов в области кибербезопасности и сегодня используется для обучения этичному взлому. Фреймворк предоставляет своим пользователям жизненно важнуюинформациюомногочисленныхуязвимостяхиметодахэксплуатации. Помимоиспользованияхакерами,этотфреймворктакжеприменяетсядлятес тирования проникновения, чтобы убедиться, что организации защищены от методов проникновения, которые обычно используют злоумышленники.

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
Внешняя разведка  53to					BUY
					BUY
										m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

Рис.3.1  Скриншот интерфейса NMap

Metasploit запускается из терминала Linux, который предоставляет кон- соль интерфейса командной строки, из которой можно запускать эксплойты. Фреймворк сообщит пользователю количество эксплойтов и полезных нагру- зок, которые можно использовать. Пользователь должен искать эксплойт на основе информации о жертве или того, что должно быть отсканировано в це- левой сети. Обычно, когда кто-то выбирает эксплойт, ему предоставляется возможность выбрать инструменты,которые могут быть использованы с этим эксплойтом.

На рис.3.2 показаны скриншоты интерфейса Metasploit.На этом скриншоте видно, что эксплойт нацелен на хост с IP-адресом 192.168.1.71.

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY	54 					Жизненный цикл атаки
w Click				to		54 					Жизненный цикл атаки
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

Рис.3.2  Скриншот Metasploit

Рисунок 3.3 показывает совместимые полезные нагрузки, которые могут быть применены для атаки.

Рис.3.3

John the Ripper

Это мощная утилита для взлома паролей в операционных системах Linux

иWindows, которая используется хакерами для осуществления словарных атак. Она применяется для извлечения реальных паролей пользователей из зашифрованных базданных как персональных компьютеров,так и веб-систем

иприложений. Инструмент работает, выбирая часто используемые пароли,

hang

NOW!

BUY

Внешняя разведка  55to

BUY

w Click

а затем шифрует их с использованием того же алгоритма и ключа, которые

-xcha

-x cha

применяются в данной системе. Он сравнивает свои результаты с теми, что были сохранены в базе данных, чтобы увидеть, есть ли совпадения.

John the Ripper взламывает пароли за два шага. Вначале он определяет тип шифрования пароля. Это может быть RC4, SHA, MD5 или другие распростра- ненные алгоритмы шифрования. А также смотрит на то, применялась ли при шифровании «соль».

«Соль»–дополнительные символы,добавленные к исходномутексту перед обработкой, чтобы было труднее восстановить исходный пароль.

На втором этапе утилита пытается восстановить исходный пароль, сравни- ваяхешированныйпарольсомножествомдругиххешей,хранящихсявегобазе данных.На рис.3.4 показан скриншотJohn the Ripper,который восстанавлива- ет пароль из зашифрованного хеша.

Рис.3.4  Скриншот,на котором John the Ripper восстанавливает зашифрованный пароль

THC Hydra

Похожа на ранее рассмотренную утилиту, но с той лишь разницей, что Hydra работает онлайн, а John the Ripper работает в автономном режиме. Однако Hydra более мощная и, следовательно, более популярная среди хакеров. Она доступнадля ОС Windows,Linux и macOS X и обычно применяетсядля быстро- го проникновения в сеть. Использует словарные атаки и полный перебор для атаки на страницы входа.

hang

NOW!

BUY

56 

Жизненный цикл атаки

w Click

-xcha

Атакиметодомполногопереборамогутпривестиктому,чтонасторонеата-

-x cha

куемого поднимут тревогу, если там установлены средства защиты, поэтому хакеры чрезвычайно осторожны при использовании этой утилиты.

Установлено, что Hydra эффективна против баз данных, LDAP, SMB, VNC

и SSH.

Ееработадовольнопроста.Злоумышленникпредоставляетейстраницувхода влюбую онлайн-систему,на которую он нацелен.После этого Hydra пробует все возможные комбинации для полей имени пользователя и пароля. Hydra хранит свои комбинации в автономном режиме, что ускоряет процесс сопоставления.

На рис. 3.5 показан скриншот установки Hydra. Установка выполняется на компьютере с Linux, но для Windows и Mac процесс тот же. Пользователь должен ввести фразу make install во время установки. Далее все идет в автоматическом режиме до завершения установки.

Рис.3.5  Скриншот с изображением THC Hydra

Wireshark

Этооченьпопулярныйинструменткаксредихакеров,такисредиспециалистов, занимающихся тестированием на проникновение. Wireshark знамениттем, что выполняетсканированиесетей.Онсобираетпакетыданныхвцелевойсети,отображаетихвподробномформате,удобномдлячтения,ипозволяетхакерамили

hang

NOW!

BUY

Внешняя разведка  57to

BUY

w Click

специалистам, занимающимся тестированием на проникновение, тщательно

-xcha

-x cha

анализировать сетевой трафик до уровня проверки отдельных пакетов. Wireshark работает в двух режимах. Первый – это режим сбора сетевых дан-

ных. Его можно оставить на веб-сайте жертвы на долгое время, пока он будет собирать весь сетевойтрафик.Во втором режиме сбор сетевых данных должен быть остановлен, чтобы обеспечить глубокий анализ. Пользователь Wireshark можетувидеть сетевойтрафик и приступить к поиску незащищенных паролей илиопределитьконкретныеустройствавсети.Этосамаяважнаяфункцияпрограммы.ВWiresharkестьфункцияConversationsвменюStatistics,котораяпозволяет пользователю просматривать обмен данными между компьютерами.

На рис.3.6 показан интерфейс Wireshark с отдельными разделами и типами информации, которую они содержат.

Рис.3.6  Скриншот с изображением интерфейса Wireshark

Aircrack-ng

Aircrack-ng – это опасный набор инструментальных средств, который используется для взлома беспроводных сетей. В современном киберпространстве он стал легендой.Инструменты доступны для операционных систем Linux и Windows. Важно отметить, что Aircrack-ng полагается на другие утилиты, чтобы сначалаполучитьинформациюоцелях.Восновномэтипрограммыобнаруживают потенциальные жертвы, которые могут быть взломаны. Обычно для этого используется Airodump-ng, но другие утилиты, такие как Kismet, являются надежнымиальтернативами.Airodump-ngобнаруживаетточкибеспроводного доступа и подключенных к ним клиентов. Эта информация используется для взлома точек доступа.

hang

NOW!

BUY

58 

Жизненный цикл атаки

w Click

-xcha

Сегодня в большинстве организаций и общественных мест есть Wi-Fi, что

-x cha

делает их идеальными охотничьими угодьями для хакеров, владеющих этим набором инструментов. Aircrack-ng можно использовать для восстановления ключей защищенных сетей Wi-Fi,при условии что он получилдостаточноданных в режиме мониторинга. Инструмент используется «белыми шляпами» – этичнымихакерами,которыеориентированынабеспроводныесети.Онвключает в себя такие атаки, как FMS, KoreK и PTW, что делает его возможности невероятными.

ЦельFMS-атаки–получение ключей,которые были зашифрованы с использованием RC4.KoreK используетсядля атаки на сети Wi-Fi,которые защищены паролями с WEP-шифрованием.Наконец,PTW используетсядля взлома защищенных сетей Wi-Fi с шифрованием WEP и WPA.

Aircrack-ng работает несколькими способами. Его можно использовать для мониторинга трафика в сети Wi-Fi путем сбора пакетов для экспорта в форматах, которые могут быть прочитаны другими средствами сканирования. Он также может атаковать сеть, создавая ложные точки доступа или внедряя свои собственные пакеты в сеть, чтобы получить больше информации о пользователях и устройствах в сети.

Наконец, он может восстанавливать пароли для сетей Wi-Fi, используя вышеупомянутые атаки, чтобы испробовать разные комбинации.

Рис.3.7  Интерфейс Aircrack-ng

Nikto

Nikto – это сканер уязвимостей веб-сайтов на основе Linux, который хакеры используют для выявления любых уязвимых мест на сайтах организаций. Инструмент сканирует веб-серверы на наличие свыше 6800 обычно эксплуа-

hang

NOW!

BUY

Внешняя разведка  59to

BUY

w Click

тируемых уязвимостей, а также он сканирует версии серверов, в которых не

-xcha

-x cha

исправлены уязвимости на более чем 250 платформах. Он также проверяет наличие ошибок в конфигурациях файлов на веб-серверах. Однако Nikto не очень хорошо маскирует свои следы, поэтому почти всегда выявляется любой системой обнаружения и предотвращения вторжений.

Nikto использует набор команд интерфейса командной строки. Сначала пользователи дают ему IP-адрес сайта, который они хотят сканировать. Ин- струмент выполнит начальное сканирование и выдаст подробную информа- цию о веб-сервере.

Оттудапользователимогутвыполнятьбольшекоманддляпроверкиразлич- ных уязвимостей на веб-сервере. На рис. 3.8 показан скриншот Nikto, на кото- ром он сканирует веб-сервер на наличие уязвимостей. Команда, выполненная для того, чтобы сделать этот вывод, выглядиттак:

Nikto -host 8.26.65.101

Рис.3.8  Скриншот,

на котором Nikto ищет уязвимости в веб-сервере Microsoft-IIS

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY	60  Жизненный цикл атаки
w Click				to		60  Жизненный цикл атаки
w Click										m
w
	w								o
	.							.c
		p					g
			df					e
						Kismet
						n
				-xcha

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

Kismet – это анализатор беспроводных сетей и система обнаружения вторже- ний. Обычно он анализирует трафик Layer для семейства протоколов 802.11, который включает в себя 802.11b, 802.11a и 802.11g.Утилита работает с любой беспроводной картой,доступной на компьютере.

В отличие от других средств, которые используют интерфейс командной строки, Kismet применяет графический интерфейс пользователя, который появляется после того, как пользователь открывает программу. У интерфей- са есть три раздела, которые пользователи используют для отправки запросов или просмотра статуса атаки. Когда утилита сканирует сеть Wi-Fi, она опреде- ляет,является сеть защищенной или нет.Если она защищена,утилита опреде- ляет, является ли используемое шифрование слабым. Используя ряд команд, пользовательможетдатьуказаниескомпрометироватьопределенныесетиWiFi. На рис. 3.9 показан скриншот графического интерфейса Kismet.

Графический интерфейс пользователя хорошо продуман, и пользователь взаимодействует с программой с помощью четко определенного меню, как показано на рис. 3.9.

Рис.3.9  Скриншот Kismet

Cain and Abel

Cain and Abel – это утилита на базе Windows для взлома паролей, которая эф- фективна против операционных систем Microsoft. С ее помощью хакеры мо-

<<< < Предыдущая 1 2 3 4 5 6 7 89 / 639 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 > Следующая >>>

Соседние файлы в папке книги хакеры

#
19.04.20242.36 Mб14Использование дорков в OSINT.pdf
#
19.04.2024957.85 Кб13Как защитить компьютер от ошибок и вирусов.pdf
#
19.04.20249.61 Mб15Как_защитить_себя_в_цифровом_мире_.pdf
#
19.04.20244.58 Mб14Кевин Митник Призрак в сети.pdf
#
19.04.20242.68 Mб13кибербезопасность.pdf
#
19.04.202419.49 Mб16Кибербезопасность_стратегия_атак_и_обороны.pdf
#
19.04.2024396.03 Кб12Книга хакеры.pdf
#
19.04.202429.19 Mб16Колисниченко Д. Н. Хакинг на linux.pdf
#
19.04.20242.75 Mб14Криптография.pdf
#
19.04.202438.52 Mб16Курс_по_кибер_безопастности_Секреты_хакеров.pdf
#
19.04.20242.94 Mб15Линдер_Кани_Тим_Кук_Гений,_который_вывел_Apple_на_новый_уровень.pdf