Файл: Paul Troncone and Carl AlbingCybersecurity Ops with bashAttack, Defend, and Analyze from the.pdf
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 12.01.2024
Просмотров: 471
Скачиваний: 1
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
СОДЕРЖАНИЕ
4
Принципы защиты и нападения
В.этой.книге.мы.будем.обсуждать.командную.строку.и.bash.в.контексте.кибер- безопасности..Но.перед.тем,.как.рассматривать.методы.обеспечения.безопасности,.
кратко.обсудим.основополагающие.концепции.
Кибербезопасность
Кибербезопасность.—.это.реализация.мер.по.защите.информации.и.систем,.храня- щих.или.обрабатывающих.информацию..Кибербезопасность.определяется.такими.
принципами,.как:
конфиденциальность;
целостность;
доступность;
строгое.выполнение.обязательств;
аутентификация.
Конфиденциальность
Информация.называется.конфиденциальной,.если.она.может.быть.доступна.только.
авторизованным.пользователям..Авторизованными.называются.пользователи,.
создающие.информацию,.и.предполагаемые.получатели.информации..Нарушение.
конфиденциальности.часто.является.целью.многих.кибератак..Чтобы.нарушить.
конфиденциальность,.злоумышленники.могут.перехватить.информацию.во.
время.ее.передачи.(например,.через.небезопасное.Wi-Fi-соединение)..Или.же.
58 Часть I • Основы могут.обойти.контроль.безопасности.в.системе,.чтобы.украсть.хранящуюся.там.
информацию.
Информация,.которой.хотят.завладеть.злоумышленники,.включает.в.себя.личные.
сообщения.(электронная.почта,.текстовые.сообщения),.фотографии,.сведения,.
составляющие.коммерческую.тайну,.платежные.данные.(номера.кредитных/
дебетовых.карт),.личные.идентификаторы.(номера.социального.страхования),.
конфиденциальную.государственную.и.военную.информацию.
Шифрование.и.контроль.доступа.—.это.стандартные.механизмы,.используемые.
для.защиты.конфиденциальности.
Целостность
Информация.сохраняет.свою.целостность,.если.она.может.быть.изменена.только.
авторизованными.пользователями..Необходимо,.чтобы.целостность.информации.
легко.проверялась,.то.есть.требуется,.чтобы.мы.могли.легко.определить,.была.ли.
информация.изменена.неавторизованной.третьей.стороной.
Целостность.может.быть.нарушена,.когда.информация.находится.в.пути.(переда- ется.от.устройства.к.устройству).или.когда.система.находится.в.состоянии.покоя..
Такое.нарушение.информации.может.быть.как.случайным,.так.и.преднамеренным..
Случайное.нарушение.целостности.может.произойти.из-за.неправильного.ввода.
данных,.отказа.оборудования.и.воздействия.солнечного.излучения..К.преднаме- ренным.действиям.можно.отнести.несанкционированное.изменение.файла,.базы.
данных.или.сетевого.пакета.
Для.подтверждения.целостности.информации.часто.используется.криптографи- ческое.хеширование.
Доступность
Информация.считается.доступной,.если.к.ней.при.необходимости.можно.получить.
доступ.в.любом.месте.и.в.любое.время..Доступ.к.информации.также.должен.быть.
своевременным.и.удобным.для.пользователя.
Атаки.в.отношении.доступности.становятся.все.более.популярными.среди.хакеров,.
поскольку.дают.быстрый.и.видимый.эффект..Случайные.инциденты.по.нарушению.
доступности.могут.случиться.из-за.отключения.питания,.аппаратного.сбоя.или.
Глава 4. Принципы защиты и нападения 59
сбоя.в.программном.обеспечении..К.преднамеренным.действиям.относятся.рас- пределенные.атаки.типа.«отказ.в.обслуживании».(DDoS-атака).и.атаки.в.целях.
вымогательства.
Обычно.для.поддержания.доступности.используется.резервное.копирование.дан- ных.и.резервирование.электропитания,.а.также.переключение.при.сбое.(например,.
переход.от.одной.системы.к.другой).
Строгое выполнение обязательств
Строгое выполнение обязательств.связывает.объект.(пользователя,.программу.
и.т..д.).с.действиями,.предпринимаемыми.этим.объектом..Например,.подпись.лица.
на.юридическом.договоре.может.быть.использована.для.доказательства.того,.что.
лицо.согласилось.с.условиями.договора..Лицу,.подписавшему.договор,.трудно.
впоследствии.отказываться.от.него,.поскольку.доказательством.согласия.с.этим.
договором.выступает.подпись.
Общие.методы.обеспечения.строгого.выполнения.договора.включают.проверку.
подлинности.пользователя,.цифровые.подписи.и.ведение.системного.журнала.
Аутентификация
Аутентификация.—.это.успешная.идентификация.и.проверка.личности.поль- зователя..Аутентификация.—.важнейший.компонент,.обеспечивающий.доступ.
к.информации.или.возможность.изменения.информации.только.авторизованным.
пользователем..Механизм.аутентификации.является.одним.из.наиболее.значимых.
компонентов.информационных.систем,.поскольку.успех.других.четырех.принципов.
часто.зависит.от.аутентификации.
К.общим.средствам,.используемым.для.аутентификации,.относятся.имена.пользо- вателей.и.пароли,.карты.электронных.ключей.и.биометрические.данные.
Жизненный цикл атаки
Опытные.злоумышленники,.такие.как.киберпреступники.и.элитные.хакеры,.
не.работают.случайным.образом..Они.следуют.общей.и.эффективной.страте- гии.выполнения.атак..Стратегия.«М-тенденции.2010:.передовая.постоянная.
60 Часть I • Основы угроза».(
http://bit.ly/2Cn5RJH
).была.разработана.знаменитой.американской.фирмой.
Mandiant’s.и.известна.как.жизненный цикл атаки.(Attack.Life.Cycle)..В.дальнейшем.
эта.модель.была.усовершенствована.и.на.данный.момент.включает.в.себя.восемь.
пунктов.
1.. Разведка.(Reconnaissance).
2.. Начальная.эксплуатация.(Initial.Exploitation).
3.. Установка.точки.опоры.(Establish.Foothold).
4.. Повышение.привилегий.(Escalate.Privileges).
5.. Внутренняя.разведка.(Internal.Reconnaissance).
6.. Боковое.смещение.(Lateral.Movement).
7.. Сохранение.присутствия.(Maintain.Presence).
8.. Завершение.миссии.(Complete.Mission).
На.протяжении.всей.книги.мы.будем.разрабатывать.инструменты,.которые.имеют.
отношение.ко.многим.этапам.этой.модели.
Разведка
На.этапе.разведки.злоумышленник.определяет.адресное.пространство.и.схему.
целевой.сети,.используемые.технологии,.связанные.с.ними.уязвимости,.а.также.
получает.информацию.о.пользователях.и.иерархии.целевой.организации.
Разведывательную.деятельность.можно.разделить.на.два.вида:.пассивную.и.ак- тивную..При.пассивной разведке.в.окружающую.целевую.среду.не.вводятся.
никакие.данные.и.не.изменяется.состояние.системы..Как.правило,.она.не.обна- руживается.целью..К.примерам.пассивных.действий.относятся.поиск.пакетов.
в.проводной.или.беспроводной.сети,.поиск.в.Интернете.и.запросы.системы.до- менных.имен.(DNS).
При.активной разведке.вводятся.данные.и/или.изменяется.состояние.целевой.
системы..Она.может.быть.потенциально.обнаружена.в.целевой.системе..Примеры.
активной.разведки:.сканирование.портов,.сканирование.уязвимостей.и.просмотр.
веб-сайтов.
В.конце.этапа.разведки.злоумышленник.получит.подробное.описание.целевой.сети,.
некоторые.сведения.о.пользователях.сети,.сведения.о.потенциальных.уязвимостях.
и.во.многих.случаях.о.действительных.учетных.данных.для.сети.
Глава 4. Принципы защиты и нападения 61
Начальная эксплуатация
Фаза.начальной эксплуатации.начинается,.когда.злоумышленник.предпринимает.
свое.первое.действие,.чтобы.получить.доступ.к.системе..При.этом.обычно.исполь- зуется.найденная.уязвимость.в.системе..К.методам.первоначальной.эксплуатации.
относятся.использование.переполненного.буфера,.SQL-инъекции,.межсайтовый.
скриптинг.(XSS),.метод.«грубой.силы».(перебор).и.фишинг.
В.конце.фазы.начальной.эксплуатации.злоумышленник.получит.некоторый.уро- вень.доступа.к.системе,.например.возможность.читать.или.записывать.данные.или.
выполнять.произвольный.код.
Установка точки опоры
После.того.как.злоумышленник.получит.первоначальный.доступ.к.системе,.он.
должен.убедиться,.что.у.него.есть.возможность.оставаться.в.системе.в.течение.дли- тельного.времени.и.по.мере.необходимости.восстанавливать.доступ..В.частности,.
злоумышленник.не.хочет.обращаться.к.системе.каждый.раз,.когда.ему.необходим.
доступ,.поскольку.это.увеличивает.операционный.риск..К.методам,.используемым.
для.установки.точки.опоры,.относятся.создание.новых.пользователей.системы;.
использование.возможностей.удаленного.доступа,.таких.как.Secure.Shell.(SSH),.
Telnet.или.протокол.удаленного.рабочего.стола.(RDP);.установка.вредоносных.
программ,.таких.как.«троянский.конь».(RAT).
Успешное.выполнение.фазы.«Установка.точки.опоры».позволяет.злоумышлен- нику.постоянно.сохранять.присутствие.в.системе.и.по.мере.необходимости.вос- станавливать.доступ.
Точка опоры считается постоянной, если она способна выдержать обычные действия по обслуживанию системы, такие как перезагрузка и установка ис- правлений.
Повышение привилегий
Когда.злоумышленник.получает.первоначальный.доступ.к.системе,.он.может.
сделать.это.только.на.непривилегированном.уровне..Как.непривилегированный.
пользователь,.злоумышленник.не.имеет.возможности.сбрасывать.пароли,.уста- навливать.программное.обеспечение,.просматривать.файлы.других.пользователей.
1 2 3 4 5 6 7 8 9 ... 23
62 Часть I • Основы или.изменять.нужные.настройки..Чтобы.решить.эту.проблему,.злоумышленнику.
необходимо.повысить привилегии.до.учетной.записи.
root
.или.администратора..
К.методам.достижения.этой.цели.относятся.использование.уязвимостей,.связан- ных.с.переполнением.буфера.локальной.системы,.кража.учетных.данных.и.про- цесс.инъекции.
В.конце.этапа.повышения привилегий.злоумышленник.получает.доступ.к.при- вилегированной.учетной.записи.
root
.или.аккаунту.администратора.в.локальной.
системе..Если.злоумышленнику.особенно.повезет,.он.также.получит.доступ.к.при- вилегированной.учетной.записи.домена,.которая.может.использоваться.в.разных.
системах.сети.
Внутренняя разведка
Теперь,.когда.злоумышленник.установил.точку.опоры.и.получил.привилегиро- ванный.доступ.к.системе,.он.может.начать.опрашивать.сеть.из.своей.новой.точки.
расположения..Методы,.используемые.на.этом.этапе,.не.сильно.отличаются.от.
методов.предыдущего.этапа.разведки..Основное.отличие.заключается.в.том,.что.
теперь.злоумышленник.имеет.опорную.точку.внутри.целевой.сети.и.сможет.пере- числить.значительно.больше.хостов..Кроме.того,.теперь.будут.видны.внутренние.
сетевые.протоколы,.связанные,.например,.с.Active.Directory.
В.конце.фазы.внутренней разведки.у.злоумышленника.будет.более.подробная.
карта.целевой.сети,.хостов.и.пользователей,.которую.можно.использовать.для.
уточнения.общей.стратегии.и.определения.действий.на.следующей.фазе.жизнен- ного.цикла.
Боковое смещение
Из-за.особенностей.компьютерных.сетей.маловероятно,.что.злоумышленник.сразу,.
на.этапе.первоначального.подключения,.получит.доступ.к.той.системе,.которая.
необходима.ему.для.выполнения.задуманной.задачи..Поэтому.злоумышленнику.
придется.перемещаться.в.боковом.направлении.по.сети,.чтобы.найти.и.получить.
доступ.к.требуемой.системе.
Методы,.используемые.на.этапе.бокового смещения,.включают.в.себя.кражу.учет- ных.данных,.передачу.хеша.и.прямое.использование.выявленных.уязвимостей.на.
удаленных.хостах..В.конце.этого.этапа.злоумышленник.получит.доступ.к.хосту.
или.хостам,.требуемым.для.выполнения.необходимой.задачи,.и,.вероятно,.доступ.
к.нескольким.другим.хостам,.расположенным.между.ними..Многие.злоумыш-
Глава 4. Принципы защиты и нападения 63
ленники.по.мере.их.бокового.смещения.по.сети.оставляют.постоянные.бэкдоры.
(«черные.ходы»).в.системах,.которые.впоследствии.помогут.восстановить.доступ.
и.затруднить.полное.удаление.опорных.точек.из.сети,.если.будет.обнаружена.их.
активность.
Сохранение присутствия
Злоумышленники,.как.правило,.не.поддерживают.постоянное.сетевое.подклю- чение.к.вредоносным.программам,.внедренным.в.целевую.систему.и.распростра- няющим.действие.по.всей.целевой.сети,.поскольку.это.увеличивает.вероятность.
обнаружения.этих.вредоносных.программ..В.качестве.альтернативы.злоумышлен- ники.могут.периодически.вызывать.внедренные.вредоносные.программы.на.свой.
командно-административный.(C&C).сервер,.чтобы.эти.программы.могли.получать.
автоматические.инструкции.или.прямые.указания.от.человека..Это.действие,.про- исходящее.на.этапе.«Сохранение.присутствия»,.известное.как.установка маяка.
(beaconing),.является.частью.общего.обслуживания,.которое.злоумышленник.
должен.выполнить,.чтобы.сохранить.свое.присутствие.в.сети.
Завершение миссии
Последняя.фаза.жизненного.цикла.атаки,.или.завершение миссии,.позволяет.зло- умышленнику.выполнить.свою.работу..Эта.фаза.часто.принимает.форму.сбора.
и.отсылки.информации.отслеживания.из.целевой.сети..Чтобы.избежать.обнару- жения,.злоумышленники.пытаются.маскировать.эксфильтрацию.(постепенное.
просачивание).под.обычный.трафик,.используя.для.этого.стандартные.порты.
и.протоколы,.такие.как.HTTP,.HTTPS.и.DNS.
Несмотря на то что не все вторжения завершаются эксфильтрацией данных, этот этап также часто называют заключительной фазой.
Выводы
Компьютерная.безопасность.—.это.комплекс.мер.по.защите.информации.и.систем,.
хранящих.или.обрабатывающих.информацию..Информация.должна.быть.доступ- ной.для.чтения.и.изменяться.только.уполномоченными.сторонами..Она.должна.
быть.доступна.там,.где.она.необходима..Кроме.того,.требуется.гарантия,.что.доступ.
64 Часть I • Основы к.системе.смогут.получить.только.авторизованные.объекты,.а.все.их.действия.
должны.регистрироваться.
Атака.всегда.проходит.согласно.определенному.плану,.обычно.называемому.жиз- ненным.циклом.атаки..Атака.начинается.с.выбора.цели.и.проведения.разведки.
и.заканчивается.удалением.данных.или.разрушением.системы.
Дополнительные сведения о методах атак, связанных с этой и аналогичными моделями эксплуатации, можно получить в системе MITRE: Adversarial Tactics,
Techniques & Common Knowledge (ATT&CK) (https://attack.mitre.org/).
Во.второй.части.мы.рассмотрим,.как.можно.использовать.командную.строку.для.
выполнения.операций.кибербезопасности.с.помощью.сбора,.обработки.и.анализа.
данных.
Часть II
Защитные операции с использованием bash
Готовьтесь.к.неизвестному,.изучая,.
как.другие.в.прошлом.справлялись.
с.непредвиденным.и.непредсказуемым.
Джордж С. Паттон (George S. Patton)
В.части.II.мы.подробно.рассмотрим,.как.использовать.команд- ную.строку.с.целью.сбора,.обработки,.анализа.и.отображения.
данных.для.защитных.операций.кибербезопасности.
5
Сбор информации
Данные.—.это.основа.почти.каждой.операции.по.обеспечению.безопасности..
Данные.сообщают.вам.текущее.состояние.системы,.говорят.о.том,.что.произошло.
ранее,.и.даже.о.том,.что.еще.может.произойти..Они.необходимы.для.проведения.
криминалистической.экспертизы,.проверки.соответствия.и.обнаружения.вредо- носных.действий..В.табл..5.1.приводится.описание.данных,.которые.обычно.от- носятся.к.защитным.операциям,.и.их.обычное.месторасположение.
Таблица 5.1. Данные, которые нас интересуют
Данные
Описание данных
Расположение данных
Файлы.
журналов
Подробности.обо.всех.
происходящих.в.системе.
процессах.и.о.самом.состоянии.
системы..Интересные.лог-файлы.
включают.журналы.веб-сервера.
и.DNS-сервера,.журналы.
маршрутизатора,.брандмауэра,.
системы.обнаружения.вторжений.
и.журналы.приложений
В.Linux.большинство.лог-файлов.
находится.в.каталоге./var/log...
В.Windows.системные.журналы.
находятся.в.журнале.событий.
(Event.Log)
История.
команд
Список.недавно.выполненных.
команд
В.Linux.расположение.файла.истории.
можно.найти,.выполнив.команду.
echo.$HISTFILE..Этот.файл.обычно.
расположен.в.домашнем.каталоге.
пользователя.в..bash_history
Временные.
файлы
Различные.пользовательские.
и.системные.файлы,.к.которым.
был.недавно.получен.доступ,.
которые.были.сохранены.или.
обработаны
В.Windows.временные.файлы.можно.
найти.по.адресу.c:\windows\temp.
и.%USERPROFILE%\AppData\.
Local\..В.Linux.временные.файлы.
обычно.размещаются.в.каталоге./tmp.
и./var/tmp..Временный.каталог.Linux.
можно.также.найти.с.помощью.команды.
echo.$TMPDIR