Всем привет! Хочу поделиться опытом по проведению таргетированных (целевых) атак...) Не судите строго за мою первую тему на этом форуме)
Для тех кто не знает что такое "таргетированная" атака прошу подкаст
Таргетированная атака - это непрерывный процесс несанкционированной активности в инфраструктуре атакуемой системы, удаленно управляемый в реальном времени вручную.
Исходя из этого определения заостряю ваше внимание на следующих моментах:
1) Во-первых, это именно процесс — деятельность во времени, некая операция, а не просто разовое техническое действие.
2) Во-вторых, процесс предназначен для работы в условиях конкретной инфраструктуры, призван преодолеть конкретные механизмы безопасности, определенные продукты, вовлечь во взаимодействие конкретных сотрудников.
Следует отметить существенную разницу в подходе массовых рассылок стандартного вредоносного ПО, когда злоумышленники преследуют совсем другие цели, по сути, получение контроля над отдельной конечной точкой. В случае целевой атаки она строится под жертву.
На приведенном рисунке отображены четыре фазы целевой атаки, демонстрирующие ее жизненный цикл. Кратко сформулируем основное назначение каждой из них:
Для того, чтобы исследовать некоторые компьютерные атаки был разработан виртуальный стенд по исследованию воздействия компьютерных атак на элементы информационно-телекоммуникационной сети.
Данный стенд (полигон) состоящий из:
1. модели открытого сегмента информационно-телекоммуникационной сети;
2. модели закрытого сегмента информационно-телекоммуникационной сети.
Смоделированная сеть состоит из множества компонентов.
В открытом сегменте хосты (PC1–PC7) соединены в единую сеть при помощи маршрутизаторов Cisco 3745 (с3745). В отдельных подразделениях хосты объединены в сеть для передачи данных при помощи коммутатора (SW1). В данной схеме коммутатор (switch) только передает данные от одного порта к другому на основе содержащейся в пакете информации, которая поступила через маршрутизатор.
В закрытом сегменте сети используются криптомаршрутизаторы, чтобы шифровать пакеты данных, которые будут выходить из закрытого сегмента сети в открытый. Если у злоумышленника получится перехватить пакеты передаваемых данных этой сети, то он не сможет извлечь из этих данных полезную информацию.
В качестве атакуемого объекта был выбран Windows XP являющуюся частью сегмента информационно–телекоммуникационной сети. Данная система подключена к облаку «Реальная сеть Выход» с ip–адресом: 192.168.8.101
Ну чтож, можно приступить к исследованию локальной сети с целью определения элементов компьютерной сети для последующей эксплотации. Воспользуемся Netdiscovery.
Чтобы узнать возможные уязвимости атакуемой сети просканируем данную сеть с помощью утилиты для исследования сети и проверки безопасности — Nmap («NetworkMapper»).
В ходе сканирования мы выяснили, что у системы есть открытые порты, которые представляют потенциальные уязвимости.
Например, 445/TCPMICROSOFT-DS — используется в Microsoft Windows 2000 и поздних версий для прямого TCP/IP-доступа без использования NetBIOS (например, в Active Directory). Этот порт мы и задействуем, чтобы получить доступ к системе.
Теперь проводим сетевую атак при помощи Metasploit. Этот инструмент позволяет имитировать сетевую атаку и выявлять уязвимости системы, проверить эффективность работы IDS/IPS, или разрабатывать новые эксплоиты, с созданием подробного отчета.
Эксплоит сработает, но необходимо указать, что будет происходить после того, как сработает эксплоит. Для этого откроем шелл-код, будем использовать его как полезную нагрузку эксплойта, обеспечивающую нам доступ к командной оболочке в компьютерной системе.
В LHOST указываем IP-адрес системы, с которой будет производится атака.
После того, как мы установили сессию можно производить различные манипуляции с системой жертвы .
Например, можно получить screenshot экрана или скопировать интересующие нас папки.
Для тех кто не знает что такое "таргетированная" атака прошу подкаст
Таргетированная атака - это непрерывный процесс несанкционированной активности в инфраструктуре атакуемой системы, удаленно управляемый в реальном времени вручную.
Исходя из этого определения заостряю ваше внимание на следующих моментах:
1) Во-первых, это именно процесс — деятельность во времени, некая операция, а не просто разовое техническое действие.
2) Во-вторых, процесс предназначен для работы в условиях конкретной инфраструктуры, призван преодолеть конкретные механизмы безопасности, определенные продукты, вовлечь во взаимодействие конкретных сотрудников.
Следует отметить существенную разницу в подходе массовых рассылок стандартного вредоносного ПО, когда злоумышленники преследуют совсем другие цели, по сути, получение контроля над отдельной конечной точкой. В случае целевой атаки она строится под жертву.
На приведенном рисунке отображены четыре фазы целевой атаки, демонстрирующие ее жизненный цикл. Кратко сформулируем основное назначение каждой из них:
- Подготовка. Основная задача первой фазы — найти цель, собрать о ней достаточно детальной приватной информации, опираясь на которую выявить слабые места в инфраструктуре. Выстроить стратегию атаки, подобрать ранее созданные инструменты, доступные на черном рынке, либо разработать необходимые самостоятельно. Обычно планируемые шаги проникновения будут тщательно протестированы, в том числе на необнаружение стандартными средствами защиты информации.
- Проникновение — активная фаза целевой атаки, использующая различные техники социальной инженерии и уязвимостей нулевого дня, для первичного инфицирования цели и проведения внутренней разведки. По окончании разведки и после определения принадлежности инфицированного хоста (сервер/рабочая станция) по команде злоумышленника через центр управления может загружаться дополнительный вредоносный код.
- Распространение — фаза закрепления внутри инфраструктуры преимущественно на ключевые машины жертвы. Максимально распространяя свой контроль, при необходимости корректируя версии вредоносного кода через центры управления.
- Достижение цели — ключевая фаза целевой атаки.
Для того, чтобы исследовать некоторые компьютерные атаки был разработан виртуальный стенд по исследованию воздействия компьютерных атак на элементы информационно-телекоммуникационной сети.
Данный стенд (полигон) состоящий из:
1. модели открытого сегмента информационно-телекоммуникационной сети;
2. модели закрытого сегмента информационно-телекоммуникационной сети.
Смоделированная сеть состоит из множества компонентов.
В открытом сегменте хосты (PC1–PC7) соединены в единую сеть при помощи маршрутизаторов Cisco 3745 (с3745). В отдельных подразделениях хосты объединены в сеть для передачи данных при помощи коммутатора (SW1). В данной схеме коммутатор (switch) только передает данные от одного порта к другому на основе содержащейся в пакете информации, которая поступила через маршрутизатор.
В закрытом сегменте сети используются криптомаршрутизаторы, чтобы шифровать пакеты данных, которые будут выходить из закрытого сегмента сети в открытый. Если у злоумышленника получится перехватить пакеты передаваемых данных этой сети, то он не сможет извлечь из этих данных полезную информацию.
В качестве атакуемого объекта был выбран Windows XP являющуюся частью сегмента информационно–телекоммуникационной сети. Данная система подключена к облаку «Реальная сеть Выход» с ip–адресом: 192.168.8.101
Ну чтож, можно приступить к исследованию локальной сети с целью определения элементов компьютерной сети для последующей эксплотации. Воспользуемся Netdiscovery.
Чтобы узнать возможные уязвимости атакуемой сети просканируем данную сеть с помощью утилиты для исследования сети и проверки безопасности — Nmap («NetworkMapper»).
В ходе сканирования мы выяснили, что у системы есть открытые порты, которые представляют потенциальные уязвимости.
Например, 445/TCPMICROSOFT-DS — используется в Microsoft Windows 2000 и поздних версий для прямого TCP/IP-доступа без использования NetBIOS (например, в Active Directory). Этот порт мы и задействуем, чтобы получить доступ к системе.
Теперь проводим сетевую атак при помощи Metasploit. Этот инструмент позволяет имитировать сетевую атаку и выявлять уязвимости системы, проверить эффективность работы IDS/IPS, или разрабатывать новые эксплоиты, с созданием подробного отчета.
Эксплоит сработает, но необходимо указать, что будет происходить после того, как сработает эксплоит. Для этого откроем шелл-код, будем использовать его как полезную нагрузку эксплойта, обеспечивающую нам доступ к командной оболочке в компьютерной системе.
В LHOST указываем IP-адрес системы, с которой будет производится атака.
После того, как мы установили сессию можно производить различные манипуляции с системой жертвы .
Например, можно получить screenshot экрана или скопировать интересующие нас папки.
