- •Об авторах
- •О рецензентах
- •Предисловие
- •Стратегия безопасности
- •Текущий ландшафт киберугроз
- •Приложения
- •Данные
- •Проблемы кибербезопасности
- •Старые методы и более широкие результаты
- •Изменение ландшафта угроз
- •Улучшение стратегии безопасности
- •Красная и Синяя команды
- •Подразумеваем взлом
- •Справочные материалы
- •Резюме
- •Процесс реагирования на компьютерные инциденты
- •Процесс реагирования на компьютерные инциденты
- •Создание процесса реагирования на компьютерные инциденты
- •Команда реагирования на компьютерные инциденты
- •Жизненный цикл компьютерного инцидента
- •Обработка инцидента
- •Передовые методы оптимизации обработки компьютерных инцидентов
- •Деятельность после инцидента
- •Реальный сценарий
- •Выводы
- •Реагирование на компьютерные инциденты в облаке
- •Справочные материалы
- •Резюме
- •Жизненный цикл атаки
- •Внешняя разведка
- •Сканирование
- •Доступ и повышение привилегий
- •Вертикальное повышение привилегий
- •Горизонтальное повышение привилегий
- •Проникновение и утечки
- •Тыловое обеспечение
- •Штурм
- •Обфускация
- •Управление жизненным циклом угроз
- •Справочные материалы
- •Резюме
- •Разведка и сбор данных
- •Внешняя разведка
- •Копание в мусоре
- •Социальные сети
- •Социальная инженерия
- •Внутренняя разведка
- •Анализ трафика и сканирование
- •Вардрайвинг
- •Завершая эту главу
- •Справочные материалы
- •Резюме
- •Компрометация системы
- •Анализ современных тенденций
- •Вымогательство
- •Манипулирование данными
- •Атаки на IoT-устройства
- •Бэкдоры
- •Атаки на мобильные устройства
- •Взлом повседневных устройств
- •Взлом облака
- •Фишинг
- •Эксплуатация уязвимостей
- •Уязвимость нулевого дня
- •Фаззинг
- •Анализ исходного кода
- •Типы эксплойтов нулевого дня
- •Перезапись структурированного обработчика исключений
- •Развертывание полезных нагрузок
- •Компрометация операционных систем
- •Компрометация удаленной системы
- •Компрометация веб-приложений
- •Справочные материалы
- •Резюме
- •Охота на пользовательские реквизиты
- •Стратегии компрометации реквизитов доступа пользователя
- •Получение доступа к сети
- •Сбор учетных данных
- •Взлом реквизитов доступа пользователя
- •Полный перебор
- •Социальная инженерия
- •Атака Pass-the-hash
- •Другие способы взлома реквизитов доступа
- •Справочные материалы
- •Резюме
- •Дальнейшее распространение по сети
- •Инфильтрация
- •Построение карты сети
- •Избежать оповещений
- •Дальнейшее распространение
- •Сканирование портов
- •Sysinternals
- •Общие файловые ресурсы
- •Удаленный доступ к рабочему столу
- •PowerShell
- •Инструментарий управления Windows
- •Запланированные задачи
- •Кража авторизационных токенов
- •Атака Pass-the-hash
- •Active Directory
- •Удаленный доступ к реестру
- •Анализ взломанных хостов
- •Консоли центрального администратора
- •Кража сообщений электронной почты
- •Справочные материалы
- •Резюме
- •Повышение привилегий
- •Инфильтрация
- •Горизонтальное повышение привилегий
- •Вертикальное повышение привилегий
- •Как избежать оповещений
- •Выполнение повышения привилегий
- •Эксплуатация неисправленных операционных систем
- •Манипулирование маркерами доступа
- •Эксплуатация специальных возможностей
- •Application Shimming
- •Обход контроля над учетной записью пользователя
- •Внедрение DLL-библиотек
- •Перехват порядка поиска DLL
- •Перехват поиска dylib
- •Исследование уязвимостей
- •Запускаемые демоны
- •Практический пример повышения привилегий в Windows 8
- •Выводы
- •Справочные материалы
- •Резюме
- •Политика безопасности
- •Проверка политики безопасности
- •Обучение конечного пользователя
- •Рекомендации по безопасности для пользователей социальных сетей
- •Тренинг по безопасности
- •Использование политики
- •Белый список приложений
- •Усиление защиты
- •Мониторинг на предмет соответствия
- •Справочные материалы
- •Резюме
- •Сегментация сети
- •Глубоко эшелонированная защита
- •Инфраструктура и службы
- •Документы в процессе передачи
- •Конечные точки
- •Сегментация физической сети
- •Открывая схему сети
- •Обеспечение удаленного доступа к сети
- •VPN типа «сеть–сеть»
- •Сегментация виртуальной сети
- •Безопасность гибридной облачной сети
- •Справочные материалы
- •Резюме
- •Активные сенсоры
- •Возможности обнаружения
- •Индикаторы компрометации
- •Системы обнаружения вторжений
- •Система предотвращения вторжений
- •Обнаружение на основе правил
- •Обнаружение на основе аномалий
- •Поведенческая аналитика внутри организации
- •Размещение устройств
- •Поведенческая аналитика в гибридном облаке
- •Центр безопасности Azure
- •Справочные материалы
- •Резюме
- •Киберразведка
- •Введение в киберразведку
- •Инструментальные средства киберразведки с открытым исходным кодом
- •Средства киберразведки компании Microsoft
- •Центр безопасности Azure
- •Использование киберразведки для расследования подозрительной деятельности
- •Справочные материалы
- •Резюме
- •Расследование инцидента
- •Масштаб проблемы
- •Ключевые артефакты
- •Исследование скомпрометированной системы внутри организации
- •Исследование скомпрометированной системы в гибридном облаке
- •Ищите и обрящете
- •Выводы
- •Справочные материалы
- •Резюме
- •Процесс восстановления
- •План послеаварийного восстановления
- •Процесс планирования послеаварийного восстановления
- •Вызовы
- •Восстановление без перерыва в обслуживании
- •Планирование на случай непредвиденных обстоятельств
- •Процесс планирования на случай непредвиденных обстоятельств в сфере IT
- •Передовые методы восстановления
- •Справочные материалы
- •Резюме
- •Управление уязвимостями
- •Создание стратегии управления уязвимостями
- •Инвентаризация ресурсов
- •Управление информацией
- •Оценка рисков
- •Оценка уязвимостей
- •Отчеты и отслеживание исправлений
- •Планирование реагирования
- •Инструменты управления уязвимостями
- •Реализация управления уязвимостями
- •Передовые методы управления уязвимостями
- •Реализация управления уязвимостями с помощью Nessus
- •Flexera (Secunia) Personal Software Inspecto
- •Заключение
- •Справочные материалы
- •Резюме
- •Анализ журналов
- •Сопоставление данных
- •Журналы операционной системы
- •Журналы Windows
- •Журналы Linux
- •Журналы брандмауэра
- •Журналы веб-сервера
- •Справочные материалы
- •Резюме
- •Предметный указатель
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
F |
|
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
|
NOW! |
o |
P |
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
|
|
|
|
|
BUY |
|
|
||||||||
|
|
|
|
to |
70 Жизненный цикл атаки |
|
|
|
|
to |
|
|
|
|
|
|
|||||||
w Click |
|
w Click |
|
|
|
|
|
|
|
||||||||||||||
|
|
|
|
|
|
|
m |
|
|
|
|
|
|
|
m |
||||||||
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
o |
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
. |
|
|
|
|
g |
.c |
|
||||||
|
|
p |
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
df |
|
|
n |
e |
|
||||||
|
|
|
|
|
|
поскольку угрозы, связанные с использованием программ-вымогателей или |
|
|
|
|
|
|
|
||||||||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
учетными записями привилегированных пользователей, могут нанести непо- правимый ущерб за короткий период времени.
Таким образом,каждая секунда имеетзначение при устранении выявлен- ных угроз. Этот процесс также автоматизирован, чтобы обеспечить более высокую пропускную способность удаления угроз, а также облегчить обмен информацией и сотрудничество между несколькими отделами в органи зации.
Последний этап – это восстановление, которое наступает только после того, какорганизацияубедится,чтовыявленныеугрозыбылинейтрализованыилю- бые риски, с которыми она сталкивается, находятся под контролем. Цель этого этапа – вернуть организацию в состояние, в котором она находилась до напа- дения.Восстановление требует меньше времени и сильно зависит оттипа про- граммного обеспечения или службы, которые снова становятся доступными. Этот процесс, однако, требует осторожности. Изменения, которые могли быть внесены во время инцидента с атакой или во время реагирования, нужно от- слеживать.Эти два процесса могут привести к нежелательным конфигурациям или действиям, предпринятым для того, чтобы либо поставить под угрозу си- стему, либо предотвратить ее дальнейшее повреждение. Крайне важно, чтобы системы были приведены именно вто состояние,в котором они находилисьдо момента совершения атаки. Существуют средства автоматического восстанов- ления, которые могут автоматически возвращать системы в состояние, в кото- ром была сделана резервная копия.Следуетдействовать осмотрительно,чтобы гарантировать отсутствие старых или появление новых лазеек для злоумыш- ленников.
Справочные материалы
1.Clayton M. Clues about who’s behind recent cyberattacks on US banks // The Christian Science Monitor. 2012. С. 11. https://search.proquest.com/docview/ 1081779990.
2.Harrison B., Svetieva E., and Vishwanath A. Individual processing of phishing emails // Online Information Review.2016.№ 40 (2).С.265–281.https://search. proquest.com/docview/1776786039.
3.Andress М. Network vulnerability assessment management: Eight network scanning tools offer beefed-up management and remediation // Network World. 2004. № 21 (45). С. 48–48, 50, 52. https://search.proquest.com/docview/ 215973410.
4.Nmap: the Network Mapper –Free Security Scanner // Nmap.org. 2017.https:// nmap.org/.
5.Metasploit Unleashed // Offensive-security.com. 2017. https://www.offensive- security.com/metasploit-unleashed/msfvenom/.
6.Free Download John the Ripper password cracker // Hacking Tools.2017.http://
www.hackingtools.in/free-download-john-the-ripperpassword-cracker/.
|
|
|
|
hang |
e |
|
|
|
|
||
|
|
|
C |
|
|
E |
|
|
|
||
|
|
X |
|
|
|
|
|
|
|
||
|
- |
|
|
|
|
|
d |
|
|||
|
F |
|
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
||||
|
|
|
|
|
|
|
|||||
|
|
|
|
|
BUY |
|
|
||||
|
|
|
|
to |
|
|
|
|
|
|
|
w Click |
|
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
|
|
e |
|
||
|
|
|
|
|
|
n |
|
|
|
||
|
|
|
|
|
|
7. |
|
|
|
||
|
|
|
|
-xcha |
|
|
|
|
|||
|
|
|
|
|
|
8. |
|
|
|
||
|
|
|
|
|
|
9. |
|
|
|
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
Справочные материалы 71to |
BUY |
|
|
|||||||
|
|
|
|
|
||||||
|
|
|
|
|
m |
|||||
w Click |
|
|
|
|
|
|
||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
Upadhyay R. THC-Hydra Windows Install Guide Using Cygwin // HACKING LIKEA |
|
|
|
|
|
|
||||
|
|
|
|
-x cha |
|
|
|
|
PRO. 2017. https://hackinglikeapro.blogspot.co.ke/2014/12/thc-hydra-windows- install-guide-using.html.
Wilbanks S., and Wilbanks S. WireShark // Digitalized Warfare.2017.http://digi- talizedwarfare.com/2015/09/27/keep-calm-and-usewireshark/.
Packet Collection and WEP Encryption,Attack & Defend Against Wireless Net- works – 4 // Ferruh.mavituna.com. 2017. http://ferruh.mavituna.com/paket-to- plama-ve-wep-sifresini-kirma-kablosuz-aglara-saldiri-defans-4-oku/.
Hack Like a Pro: How to Find Vulnerabilities for Any Website Using Nikto // WonderHowTo. 2017. https://null-byte.wonderhowto.com/how-to/hack-like-pro- find-vulnerabilities-for-any-website-using-nikto-0151729/.
Kismet // Tools.kali.org. 2017: https://tools.kali.org/wireless-attacks/kismet.
Iswara А. How to Sniff People’s Password? (A hacking guide with Cain & Abel– ARPPOISONINGMETHOD)//Hxr99.blogspot.com.2017.http://hxr99.blogspot. com/2011/08/how-to-sniff-peoples-password-hacking.html.
Gouglidis А., Mavridis I., and Hu V. C. Security policy verification for multido- mains in cloud systems // International Journal of Information Security. 2014. № 13 (2). С. 97–111. https://search.proquest.com/docview/1509582424. DOI: http://dx.doi.org/10.1007/s10207-013-0205-x.
Oliver R. Cyber insurance market expected to grow after WannaCry attack // FT.Com. 2017. https://search.proquest.com/docview/1910380348.
Lomas N. (Aug 19). Full Ashley Madison Hacked Data Apparently Dumped On Tor. https://search.proquest.com/docview/1705297436.
FitzGerald D. Hackers Used Yahoo’s Own Software Against It in Data Breach; ‘Forged cookies’ allowed access to accounts without password // Wall Street Journal (Online). 2016. https://search.proquest.com/docview/1848979099.
Sinha R. Compromised! Over 32 mn Twitter passwords reportedly hacked Pa- nache // The Economic Times (Online). 2016. https://search.proquest.com/ docview/1795569034.
Bradshaw Т. Apple’s internal systems hacked // FT.Com. 2013. https://search. proquest.com/docview/1289037317.
Clayton М. Stuxnet malware is ‘weapon’ out to destroy Iran’s Bushehr nucle- ar plant? // The Christian Science Monitor. 2010. https://search.proquest.com/ docview/751940033.
Palmer D. How IoT hackers turned a university’s network against itself // ZDNet. 2017. http://www.zdnet.com/article/how-iot-hackers-turneda-universitys- network-against-itself/.
Zhang S. The life of an exhacker who is now banned from using the internet // Gizmodo.com. 2017. http://gizmodo.com/the-life-of-anex-hacker-who-is-now- banned-from-using-t-1700074684.
Busted!FBIledtoAnonymoushackerafterhepostspictureofgirlfriend’sbreasts online // Mail Online.2017.https://www.dailymail.co.uk/news/article-2129257/
Higinio-O-Ochoa-III-FBI-led-Anonymous-hacker-girlfriend-posts-picture-breasts- online.html.
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
72 Жизненный цикл атаки |
|||||
w Click |
|
|||||||||
|
|
|
|
|
|
m |
||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
||
|
|
|
|
|
|
Резюме |
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
В этой главе дается общая картина фаз, обычно характерных для кибератак. Она показывает, как мыслит злоумышленник и как он получает подробные сведения о цели, используя простые методы и продвинутые инструмен- ты вторжения, чтобы впоследствии применить эту информацию для атаки на пользователей. Здесь мы обсудили два основных способа, с помощью ко- торых злоумышленники повышают свои привилегии при атаке на системы,
иобъяснили, как киберпреступники осуществляют утечку данных из систем, к которым у них есть доступ. Также были рассмотрены сценарии, в которых злоумышленники приступают к атаке оборудования жертвы, чтобы нанести больше ущерба. Затем мы обсудили способы, с помощью которых злоумыш- ленникисохраняютанонимность.Наконец,вэтойглавебылиосвещеныспосо- бы,с помощью которых пользователи могутпрерыватьжизненный цикл угроз
ипредотвращать атаки.
Вследующей главе будетподробно рассмотрен вопрос разведки,чтобы пол- ностью понять, как злоумышленники собирают информацию о пользователях
исистемах с использованием социальных сетей, скомпрометированных сай-
тов, электронных писем и средств сканирования.
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
C |
|
E |
|
|
||
|
|
X |
|
|
|
|
|
||
|
- |
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
||
|
|
|
|
|
|
|
|||
|
|
|
|
|
BUY |
|
|
||
|
|
|
|
to |
|
|
|
|
|
w Click |
|
|
|
|
m |
||||
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
df |
|
|
|
e |
|
|
|
|
|
|
|
n |
|
|
||
|
|
|
|
|
|
Глава 4 |
|||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
Разведка и сбор данных
В предыдущей главе было дано общее представление обо всех этапах жизнен- ного цикла кибератак. В этой главе будет подробно рассмотрена первая фаза жизненного цикла – разведка.
Разведка – один из самых важных этапов жизненного цикла угрозы, когда злоумышленники ищутуязвимости,которые смогутиспользоватьдля атаки на цели. Злоумышленник будет заинтересован в поиске и сборе данных, а также выявлениилюбыхлазееквцелевойсети,еепользователейиливычислительных систем. Разведка проводится как пассивно, так и активно, заимствуя тактику, которая использовалась военными. Это можно сравнить с отправкой шпионов на территорию противника для сбора данных о том, где и когда наносить удар. Когда разведка проводится правильно, жертва не знает о ней. Эта критическая фаза жизненного цикла атаки может быть реализована несколькими способа- ми,которые классифицируются как внешняя и внутренняя разведка.
В этой главе мы обсудим следующие темы:внешняя разведка:
– копание в мусоре; – социальные сети для получения информации о цели;
– социальная инженерия;средства, используемые для проведения внутренней разведки.
Внешняя разведка
Внешняя разведка осуществляется вне сети и систем организации. Как прави- ло,онанаправленанато,чтобывоспользоватьсянебрежностьюпользователей организации. Есть несколько способов сделать это.
Копание в мусоре
Организации утилизируют устаревшие устройства различными способами, например путем аукционов,отправки на переработку или в хранилище.Уэтих методов утилизации есть серьезные последствия. Google – одна из компаний, тщательно перерабатывающих устройства, которые могут содержать пользо- вательскиеданные.Компания уничтожаетсвои старые жесткиедиски из цент