- •Об авторах
- •О рецензентах
- •Предисловие
- •Стратегия безопасности
- •Текущий ландшафт киберугроз
- •Приложения
- •Данные
- •Проблемы кибербезопасности
- •Старые методы и более широкие результаты
- •Изменение ландшафта угроз
- •Улучшение стратегии безопасности
- •Красная и Синяя команды
- •Подразумеваем взлом
- •Справочные материалы
- •Резюме
- •Процесс реагирования на компьютерные инциденты
- •Процесс реагирования на компьютерные инциденты
- •Создание процесса реагирования на компьютерные инциденты
- •Команда реагирования на компьютерные инциденты
- •Жизненный цикл компьютерного инцидента
- •Обработка инцидента
- •Передовые методы оптимизации обработки компьютерных инцидентов
- •Деятельность после инцидента
- •Реальный сценарий
- •Выводы
- •Реагирование на компьютерные инциденты в облаке
- •Справочные материалы
- •Резюме
- •Жизненный цикл атаки
- •Внешняя разведка
- •Сканирование
- •Доступ и повышение привилегий
- •Вертикальное повышение привилегий
- •Горизонтальное повышение привилегий
- •Проникновение и утечки
- •Тыловое обеспечение
- •Штурм
- •Обфускация
- •Управление жизненным циклом угроз
- •Справочные материалы
- •Резюме
- •Разведка и сбор данных
- •Внешняя разведка
- •Копание в мусоре
- •Социальные сети
- •Социальная инженерия
- •Внутренняя разведка
- •Анализ трафика и сканирование
- •Вардрайвинг
- •Завершая эту главу
- •Справочные материалы
- •Резюме
- •Компрометация системы
- •Анализ современных тенденций
- •Вымогательство
- •Манипулирование данными
- •Атаки на IoT-устройства
- •Бэкдоры
- •Атаки на мобильные устройства
- •Взлом повседневных устройств
- •Взлом облака
- •Фишинг
- •Эксплуатация уязвимостей
- •Уязвимость нулевого дня
- •Фаззинг
- •Анализ исходного кода
- •Типы эксплойтов нулевого дня
- •Перезапись структурированного обработчика исключений
- •Развертывание полезных нагрузок
- •Компрометация операционных систем
- •Компрометация удаленной системы
- •Компрометация веб-приложений
- •Справочные материалы
- •Резюме
- •Охота на пользовательские реквизиты
- •Стратегии компрометации реквизитов доступа пользователя
- •Получение доступа к сети
- •Сбор учетных данных
- •Взлом реквизитов доступа пользователя
- •Полный перебор
- •Социальная инженерия
- •Атака Pass-the-hash
- •Другие способы взлома реквизитов доступа
- •Справочные материалы
- •Резюме
- •Дальнейшее распространение по сети
- •Инфильтрация
- •Построение карты сети
- •Избежать оповещений
- •Дальнейшее распространение
- •Сканирование портов
- •Sysinternals
- •Общие файловые ресурсы
- •Удаленный доступ к рабочему столу
- •PowerShell
- •Инструментарий управления Windows
- •Запланированные задачи
- •Кража авторизационных токенов
- •Атака Pass-the-hash
- •Active Directory
- •Удаленный доступ к реестру
- •Анализ взломанных хостов
- •Консоли центрального администратора
- •Кража сообщений электронной почты
- •Справочные материалы
- •Резюме
- •Повышение привилегий
- •Инфильтрация
- •Горизонтальное повышение привилегий
- •Вертикальное повышение привилегий
- •Как избежать оповещений
- •Выполнение повышения привилегий
- •Эксплуатация неисправленных операционных систем
- •Манипулирование маркерами доступа
- •Эксплуатация специальных возможностей
- •Application Shimming
- •Обход контроля над учетной записью пользователя
- •Внедрение DLL-библиотек
- •Перехват порядка поиска DLL
- •Перехват поиска dylib
- •Исследование уязвимостей
- •Запускаемые демоны
- •Практический пример повышения привилегий в Windows 8
- •Выводы
- •Справочные материалы
- •Резюме
- •Политика безопасности
- •Проверка политики безопасности
- •Обучение конечного пользователя
- •Рекомендации по безопасности для пользователей социальных сетей
- •Тренинг по безопасности
- •Использование политики
- •Белый список приложений
- •Усиление защиты
- •Мониторинг на предмет соответствия
- •Справочные материалы
- •Резюме
- •Сегментация сети
- •Глубоко эшелонированная защита
- •Инфраструктура и службы
- •Документы в процессе передачи
- •Конечные точки
- •Сегментация физической сети
- •Открывая схему сети
- •Обеспечение удаленного доступа к сети
- •VPN типа «сеть–сеть»
- •Сегментация виртуальной сети
- •Безопасность гибридной облачной сети
- •Справочные материалы
- •Резюме
- •Активные сенсоры
- •Возможности обнаружения
- •Индикаторы компрометации
- •Системы обнаружения вторжений
- •Система предотвращения вторжений
- •Обнаружение на основе правил
- •Обнаружение на основе аномалий
- •Поведенческая аналитика внутри организации
- •Размещение устройств
- •Поведенческая аналитика в гибридном облаке
- •Центр безопасности Azure
- •Справочные материалы
- •Резюме
- •Киберразведка
- •Введение в киберразведку
- •Инструментальные средства киберразведки с открытым исходным кодом
- •Средства киберразведки компании Microsoft
- •Центр безопасности Azure
- •Использование киберразведки для расследования подозрительной деятельности
- •Справочные материалы
- •Резюме
- •Расследование инцидента
- •Масштаб проблемы
- •Ключевые артефакты
- •Исследование скомпрометированной системы внутри организации
- •Исследование скомпрометированной системы в гибридном облаке
- •Ищите и обрящете
- •Выводы
- •Справочные материалы
- •Резюме
- •Процесс восстановления
- •План послеаварийного восстановления
- •Процесс планирования послеаварийного восстановления
- •Вызовы
- •Восстановление без перерыва в обслуживании
- •Планирование на случай непредвиденных обстоятельств
- •Процесс планирования на случай непредвиденных обстоятельств в сфере IT
- •Передовые методы восстановления
- •Справочные материалы
- •Резюме
- •Управление уязвимостями
- •Создание стратегии управления уязвимостями
- •Инвентаризация ресурсов
- •Управление информацией
- •Оценка рисков
- •Оценка уязвимостей
- •Отчеты и отслеживание исправлений
- •Планирование реагирования
- •Инструменты управления уязвимостями
- •Реализация управления уязвимостями
- •Передовые методы управления уязвимостями
- •Реализация управления уязвимостями с помощью Nessus
- •Flexera (Secunia) Personal Software Inspecto
- •Заключение
- •Справочные материалы
- •Резюме
- •Анализ журналов
- •Сопоставление данных
- •Журналы операционной системы
- •Журналы Windows
- •Журналы Linux
- •Журналы брандмауэра
- •Журналы веб-сервера
- •Справочные материалы
- •Резюме
- •Предметный указатель
|
|
|
|
hang |
e |
|
|
|
|
||
|
|
|
C |
|
|
E |
|
|
|
||
|
|
X |
|
|
|
|
|
|
|
||
|
- |
|
|
|
|
|
d |
|
|
||
|
F |
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
i |
r |
|
P |
|
|
|
|
|
NOW! |
o |
||||
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
|
w Click |
|
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
|||
|
|
p |
|
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
|
|
e |
|
|
|
|
|
|
|
|
|
n |
|
|
|
||
|
|
|
|
|
|
17. |
|
|
|||
|
|
|
|
-xcha |
|
|
|
|
|||
|
|
|
|
|
|
18. |
|
|
|||
|
|
|
|
|
|
19. |
|
|
20.
21.
22.
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
Резюме 93to |
BUY |
|
|
|||||||
|
|
|
|
|
||||||
|
|
|
|
|
m |
|||||
w Click |
|
|
|
|
|
|
||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
Constantakis C. Securing Access in Network Operations – Emerging Tools for |
|
|
|
|
|
|
||||
|
|
|
|
-x cha |
|
|
|
|
Simplifying a Carrier’s Network Security Administration // Information Sys- tems Security. 2007. № 16 (1). C. 42–46. https://search.proquest.com/docview/ 229620046.
Peikari C., and Fogie S. Maximum Wireless Security // Flylib.com. 2017. http:// flylib.com/books/en/4.234.1.86/1/.
Nmap: the Network Mapper –Free Security Scanner // Nmap.org. 2017.https:// nmap.org/.
Using Wireshark to Analyze a Packet Capture File // Samsclass.info. 2017. https://samsclass.info/106/proj13/p3_Wireshark_pcap_file.htm.
Point Blank Security – Wardriving tools, wireless and 802.11 utilities. (aero- sol, aircrack, airsnarf, airtraf, netstumbler, ministumbler, kismet, and more!) // Pointblanksecurity.com. 2017. http://pointblanksecurity.com/wardriving-tools. php.
Nessus5onUbuntu12.04installandminireview//HackerTarget.2017.https:// hackertarget.com/nessus-5-on-ubuntu-12-04-installand-mini-review/.
Резюме
Вэтой главе был представлен подробный обзор разведки, используемой при кибератаках. В ней мы обсудили внешнюю разведку и выявили способы, с по- мощьюкоторыхзлоумышленникиполучаютинформациюосетиорганизации. Мыувидели,наскольколегкоскомпрометироватьлюдейизаставитьихвыдать конфиденциальную информацию. Мы подробно обсудили социальную инже- нерию – один из самых страшных типов разведывательных атак на сегодня.
Вэтой главе также были рассмотрены инструменты, используемые для внут ренней разведки, сканирования сетей, и те, что можно применять для взлома беспроводных сетей.
В следующей главе мы подробно обсудим, как хакеры могут скомпромети- ровать системы, используя информацию, полученную на этом этапе.
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
C |
|
E |
|
|
||
|
|
X |
|
|
|
|
|
||
|
- |
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
||
|
|
|
|
|
|
|
|||
|
|
|
|
|
BUY |
|
|
||
|
|
|
|
to |
|
|
|
|
|
w Click |
|
|
|
|
m |
||||
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
df |
|
|
|
e |
|
|
|
|
|
|
|
n |
|
|
||
|
|
|
|
|
|
Глава 5 |
|||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
Компрометация системы
Предыдущаяглавадалавампредставлениеопредвестникеатаки.Внеймыоб- судили инструменты и методы, используемые для сбора информации о жерт- ве,чтобы можно было спланировать и осуществить атаку.Мытакже коснулись методов внешней и внутренней разведки. В этой главе мы обсудим, как вы- полняются реальные атаки после сбора информации о цели на этапе разведки, видимыетенденции в выборе инструментов атаки,методов и целей хакерами, как можно использовать фишинг для проведения реальной атаки, а также по- говорим об уязвимости нулевого дня и методах, используемых хакерами для ихобнаружения.Наконец,вданнойглавебудетподробнорассказаноотом,как можно проводить атаки на компьютеры, серверы и веб-сайты.
План тем выглядиттак:
анализ современных тенденций;фишинг;эксплуатация уязвимости;
угроза нулевого дня;шаги, предпринимаемые для заражения системы:
– развертывание полезных нагрузок; – заражение операционных систем; – заражение удаленной системы; – заражение веб-систем.
Анализ современных тенденций
Со временем хакерыдоказали экспертам по кибербезопасности,что они могут бытьнастойчивыми,болеетворческимиивсеболееизощреннымивсвоихата- ках. Они научились приспосабливаться к изменениям в IT-ландшафте, чтобы всегда действовать эффективно при запуске атаки. Несмотря на то что в кон- тексте кибератак не существует закона Мура или его эквивалента, можно ска- зать, что методы взлома с каждым годом становятся все более изощренными. В последние несколько лет наблюдается тенденция в отношении предпочти- тельных атак и способов их реализации. Они включают в себя перечисленные ниже приемы.
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
|
|
e |
|
|
|
|
|
|
|
Вымогательство |
|||||
|
|
|
|
|
n |
|
|
|
||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
Анализ современныхтенденций 95to |
BUY |
|
|
|||||||
|
|
|
|
|
||||||
|
|
|
|
|
m |
|||||
w Click |
|
|
|
|
|
|
||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
Ранее в большинстве случаев хакеры получали доходы от продажи данных, украденных у компаний. Тем не менее в последние три года было замече- но, что они используют другую тактику – вымогают деньги непосредственно у своих жертв.Они могутлибо хранить компьютерные файлы с целью выкупа, либо угрожать опубликовать порочащую информацию о жертве. В обоих слу- чаях они просят выплатить деньги до истечения определенного срока. Одна из самых известных попыток вымогательства – это действия программы-вы- могателя WannaCry, которая появилась в мае 2017 г. WannaCry заразил сотни тысяч компьютеров в более чем 150 странах.
От России до США работа целых организаций была остановлена после того, как пользователям закрыли доступ к их данным,которые были зашифрованы. Вымогатель предпринял попытку вымогать у пользователей деньги, потребо- вав перевести 300 долл. на Bitcoin-кошелек в течение 72 ч, после чего сумма выкупа должна была удвоиться. Кроме этого, пользователей строго-настрого предупредили о постоянной блокировке файлов, если оплата не будет произ- ведена в течение 7 дней.
Каксообщалось,WannaCryзаработалтолько50000долл.смомента,каквего кодебылобнаруженпереключатель,препятствовавшийуничтожениюданных. Тем не менее он мог нанести большой ущерб. Эксперты говорят, что если бы в коде не было переключателя уничтожения,то вымогатель все еще функцио- нировалбылибозаразилбольшоеколичествокомпьютеров.Вскорепослетого, как WannaCry был нейтрализован, поступили сообщения о новом вирусе-вы- могателе.
Вредоносное ПО заразило компьютеры в Украине, которых, согласно сооб- щениям,былодесяткитысяч.Россиятакжепострадалаиз-затого,чтокомпью- теры, используемые для мониторинга Чернобыльской атомной электростан- ции, были скомпрометированы, в результате чего сотрудники на местах стали прибегатьксредствамнекомпьютерногомониторинга,такимкакнаблюдение. Также пострадали некоторые компании в США и Австралии.
До того как произошли эти инциденты международного масштаба, в раз- личных компаниях были зафиксированы локальные и единичные случаи вы- могательства. Помимо распространения вредоносного ПО, хакеры вымогали деньги,угрожая скомпрометироватьсайты.ИнцидентсAshley Madison–хоро- ший пример подобного типа вымогательства. После неудачных попыток вы- могательства хакеры раскрыли личные данные миллионов людей. Владельцы сайта не воспринимали всерьез угрозы, исходящие со стороны хакеров, и по- этому не платили и не закрывали сайт, как им было предложено. Хакеры реа- лизовали свои угрозы, когда опубликовали данные о пользователях, которые зарегистрировалисьнасайте,воткрытомдоступе.Некоторыеизэтихлюдейза- регистрировались,используя рабочие данные,такие как e-mail-адреса.В июле было подтверждено, что компания предложила заплатить в общей сложности 11 млн долл.,чтобы компенсировать ущерб,причиненный 36 млн пользовате-
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
F |
|
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
|
NOW! |
o |
P |
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
|
|
|
|
|
BUY |
|
|
||||||||
|
|
|
|
to |
96 Компрометация системы |
|
|
|
|
to |
|
|
|
|
|
|
|||||||
w Click |
|
w Click |
|
|
|
|
|
|
|
||||||||||||||
|
|
|
|
|
|
|
m |
|
|
|
|
|
|
|
m |
||||||||
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
o |
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
. |
|
|
|
|
g |
.c |
|
||||||
|
|
p |
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
df |
|
|
n |
e |
|
||||||
|
|
|
|
|
|
лей.С аналогичным случаем вымогательства под названием Sharjah столкнул- |
|
|
|
|
|
|
|
||||||||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
ся банк Объединенных Арабских Эмиратов в 2015 г. Хакер завладел пользова- тельскимиданными с целью получения выкупа итребовал отбанка выплатить ему 3 млн долл.Время от времени он публиковал часть пользовательских дан- ных в Twitter. Банк также преуменьшал значимость угрозы и даже заставил Twitter заблокировать аккаунт, который использовал злоумышленник. Эта от- срочка была недолгой, т. к. хакер создал новую учетную запись и, чтобы ото- мстить, опубликовал пользовательские данные, которые содержали личные данные владельцев учетной записи, их транзакции и сведения о субъектах, с которыми они заключили сделку.Хакер даже связался с некоторыми пользо- вателями с помощью текстовых сообщений.
Эти инциденты показывают, что число вымогательств растет. Хакеры внед ряются в системы с целью скопировать как можно больше данных, а затем успешно удерживать их, чтобы получить выкуп, исчисляющийся огромны- ми суммами. С логистической точки зрения, это проще, чем пытаться про- дать украденные данные третьим лицам. Хакеры также могут договориться о бóльшей сумме, поскольку данные, которые они хранят, более ценны для владельцев,чем длятретьих лиц.Атаки с целью вымогательства,такие,где ис- пользуются вирусы-вымогатели, также стали эффективными, поскольку едва ли существует способ обойти дешифрование, кроме как заплатить.
Манипулирование данными
Еще одна видимая тенденция, касающаяся компрометации систем, – это ма- нипулирование данными вместо их удаления или публикации, потому что такие атаки нарушают целостность данных. Ничто так не заставляет страдать жертву, как факт недоверия к целостности своих собственных данных. Мани- пулирование данными может быть тривиальным (иногда изменяется только одно значение), но последствия могут быть далеко идущими. Манипулирова- ние данными часто трудно обнаружить, и хакеры могут даже манипулировать даннымиврезервномхранилище,чтобыгарантироватьотсутствиевосстанов- ления. В одном из реальных примеров было известно, что китайские шпионы атакуют сети оборонных подрядчиков США, чтобы украсть чертежи. Однако (22) были опасения, что они могли также манипулировать данными, исполь- зуемыми подрядчиками. Это, в свою очередь, может подорвать работоспособ- ностьоружия,поставляемоговСША,иливнестиизменениявметодыегорабо- тытакимобразом,чтотретьисторонытакжесмогутиметькакой-либоуровень контроля.
Говорят,что манипулированиеданными–следующая стадия киберпреступ ления,и ожидается,что в ближайшем будущем будетеще многотаких случаев. Говорят,что промышленные предприятия СШАне готовы ктаким атакам.Экс- перты по кибербезопасности предупреждают о неминуемых угрозах манипу- ляционных атак на медицинские, финансовые и правительственные данные. Это связано с тем, что хакеры могли ранее и могут до сих пор похищать дан-