Файл: Общие сведения о honeypotтехнологиях Описание классификации honeypotтехнологий.pdf
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 10.01.2024
Просмотров: 224
Скачиваний: 4
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
Изучение принципа работы honeypot-системы в ходе выполнения
злоумышленником действий по сбору и анализу данных в honeypot-
системе.
Необходимо переключиться на машину
«Honeypot-Machine», используемую в качестве honeypot-системы. Далее необходимо выполнить просмотр файла «docker_logs.log» (см. рисунок 62).
Рисунок 62 – Просмотр файла «docker_logs.log»
Необходимо найти запись, которая будет содержать информацию об успешной попытке авторизации пользователя «user» в honeypot-системе.
82
Далее необходимо выполнить просмотр файла «file_operation.log» (см. рисунок с 63 по 65).
Рисунок 63 – Просмотр файла «file_operation.log»
Рисунок 64– Просмотр файла «file_operation.log»
Рисунок 65– Просмотр файла «file_operation.log»
83
В разделе с файлом «file_operation.log» будет отображаться информация, связанная с процессами, которые выполнялись в honeypot-системе, операциями, которые выполнялись с тем или иным файлом (каталогом), а также временем выполнения той или иной операции.
Далее необходимо выполнить просмотр файла «input_command.log» (см. рисунок с 66 по 67).
Рисунок 66 – Просмотр файла «input_command.log»
Рисунок 67 – Просмотр файла «input_command.log»
В файле «input_command.log» будут отображаться все команды, которые выполнялись в то или иное время в интерактивном режиме внутри honeypot- системы.
Таким образом honeypot-система зарегистрировала все события, связанные с успешной авторизацией пользователя в системе и выполняемыми им действиями в honeypot-системе.
84
Изучение механизма закрепления в системе методом повышения
привилегий пользователя.
Необходимо переключиться на машину «Hack-Machine», используемую в качестве системы для проведения атак. После получения информации об системе, важным этапом проведения атаки на объект является закрепления в системе, которая была скомпрометирована.
Под закреплением в системе может пониматься получение прав суперпользователя с целью выполнения любых дальнейших действий уже в захваченной системе.
Однако на этапе сбора информации о системе, определено, что учетная запись пользователя «user», через которую было выполнено ssh-подключение в скомпрометированную систему, не имеет прав «sudo». Поэтому закрепление в системе будет производиться через метод повышения привилегий пользователя. Одним из способов повысить привилегии является нахождение в системе установленного приложения, имеющего уязвимость, которая в свою очередь позволит повысить привилегии пользователя. Одним из таких приложений является программа «sudo».
Для начала необходимо проверить версию пакета программы, который установлен в системе (см. рисунок 68).
Рисунок 68 – Определение версии пакета «sudo»
В результате будет выведена версия пакета «sudo» - «1.8.31-1ubuntu1».
Данная версия пакета имеет уязвимость «CVE-2021-3156», которая позволяет получить права пользователя «root» любому пользователю системы. Именно эта уязвимость будет использована для повышения привилегий пользователя
«user».
85
Для эксплуатации данной уязвимости необходимо перейти в домашний каталог пользователя, создать новый каталог «exploit», перейти в него и создать в нем новый файл «exploit.c» (см. рисунок 69).
Рисунок 69 – Подготовительный процесс для эксплуатации уязвимости пакета «sudo»
В системе на машине «Hack-Machine» необходимо создать новую вкладу терминала. Для этого в открытом терминале необходимо нажать на раздел
«Файл», выбрать пункт «Создать вкладку». Далее в новом терминале необходимо выполнить переход в каталог «sudo_exploit», а также выполнить просмотр содержимого данного репозитория (см. рисунок 70).
Рисунок 70 – Подготовительный процесс для эксплуатации уязвимости пакета «sudo»
Далее необходимо выполнить открытие файла «exploit.c» в системе на машине «Hack-Machine» и скопировать содержимое данного файла. После необходимо перейти в терминал, где расположена интерактивная оболочка скомпрометированной системы. Далее необходимо выполнить вставку скопированного текста в файл «exploit.c» на скомпрометированной системе.
После этого необходимо сохранить файл и закрыть его.
Далее в скомпрометированной системе необходимо создать новый файл
«sice.c» таким же образом, что и файл «exploit.c (см. рисунок 71). После выполнить открытие файла «sice.c» в системе на машине «Hack-Machine» и скопировать содержимое данного файла в новый файл «sice.c» в скомпрометированной системе. Далее необходимо создать новый каталог
«libnss_X» в скомпрометированной системе (см. рисунок 71). После этого
86
необходимо выполнить просмотр каталога «exploit» на скомпрометированной системе (см. рисунок 71).
Рисунок 71 – Подготовительный процесс для эксплуатации уязвимости пакета «sudo»
Таким образом в директории exploit должны находиться файлы
«exploit.c», «sice.c» и каталог «libnss_X».
После подготовки всех файлов для эксплуатации уязвимости пакета
«sudo» и повышения привилегий пользователя «user» необходимо выполнить сборку программы «exploit.c» (см. рисунок 72).
Рисунок 72 – Сборка программы «exploit.c»
В результате сборка должна пройти успешно с единственным предупреждением. Кроме этого, должен создаться исполняемый файл
«expoloit».
Далее необходимо выполнить сборку программы «sice.c» (см. рисунок
73).
Рисунок 73 – Сборка программы «sice.c»
В результате сборка должна пройти успешно без ошибок и предупреждений. После сборки всех программ необходимо запустить исполняемый файл «exploit» для эксплуатации уязвимости пакета «sudo» (см. рисунок 74).
87
Рисунок 74 – Эксплуатация уязвимости пакета «sudo»
В результате запуска исполняемого файла «exploit» будут получены права суперпользователя (см. рисунок 74). Также необходимо выполнить команду «whoami» для получения информации о текущем пользователе системы (см. рисунок 74).
Изучение принципа работы honeypot-системы в ходе выполнения
злоумышленником действий, связанных с закреплением в honeypot-
системе методом повышения привилегий пользователя.
Необходимо переключиться на машину
«Honeypot-Machine», используемую в качестве honeypot-системы. Необходимо выполнить просмотр файла «file_operation.log» на информационной панели «Grafana» (см. рисунок с 75 по 77).
Рисунок 75 – Просмотр файла «file_operation.log»
88
Рисунок 76 – Просмотр файла «file_operation.log»
Рисунок 77 – Просмотр файла «file_operation.log»
Таким образом при просмотре раздела с файлом «file_operation.log» будет отображена информация о том, какие операции чтения файлов выполнялись как в домашней директории пользователя, так и в системных директориях honeypot-системы. Кроме этого, данный файл отображает информацию, которая должна указывать, что выполнялись процессы
«sudoedit» и «whoami». Выполнение этих процессов напрямую связанно с пользователем «root».
Далее после просмотра файла «file_operation.log» необходимо выполнить просмотр файла «input_command.log» в соответствующем разделе
(см. рисунок с 78 по 79).
89
Рисунок 78 – Просмотр файла «input_command.log»
Рисунок 79 – Просмотр файла «input_command.log»
В разделе с файлом «input_command.log» будут отображены команды по открытию и созданию файлов формата «.с», команды по сборке программ через компилятор «gcc», команды по запуску исполняемых файлов, в ходе который происходит обращение к системных файлам, связанным с учетной записью суперпользователя.
Таким образом honeypot-система собрала всю информацию, связанную с выполнением в honeypot-системе команд по получению прав пользователя
«root».
90
Изучение механизма получения доступа к объекту сетевой
инфраструктуры методом эксплуатации общеизвестной уязвимости.
Необходимо переключиться на машину «Hack-Machine», используемую в качестве системы для проведения атак. В случае, когда атаки типа побора учетных данных завершаются не удачно, существует возможность получить доступ к системе через эксплуатацию общеизвестных уязвимостей.
В ходе проведения сетевой разведки объекта атаки с помощью утилиты
«nmap» кроме открытого 22 порта были найдены 80 и 8080 открытые порты
(см. рисунок 80).
Рисунок 80 – Результаты проведения сетевой разведки
Версия службы «Apache httpd», развернутая на 80 порту атакуемой системы, является актуальной и не имеет общеизвестных уязвимостей.
Однако версия службы «Apache Tomcat», развернутая на 8080 порту, имеет общеизвестную уязвимость - CVE-2020-9484. В результате эксплуатации данной уязвимости можно произвести удаленное выполнение кода, тем самым скомпрометировав службу «Apache Tomcat» атакуемой системы.
Для эксплуатации данной уязвимости системы на виртуальной машине
«Hack-Machine» необходимо открыть терминал. Далее необходимо выполнить переход в директорию «tomcat_exploit» (см. рисунок 81).
91
Рисунок 81 – Выполнение перехода в директорию «tomcat_exploit»
Далее необходимо выполнить просмотр директории «tomcat_exploit»
(см. рисунок 82). После необходимо выполнить просмотр файл «exploit.sh»
(см. рисунок 82). Кроме этого, необходимо выполнить проверку, что переменная «remote_ip» в данном файле имеет значение IP-адреса системы, используемой в качестве проведения атак (см. рисунок 82).
Рисунок 82 – Подготовительный процесс для эксплуатации общеизвестной уязвимости
Также для выполнения эксплуатации уязвимости на сервис «Apache
Tomcat» необходимо выполнить прослушивание http-сервера на 80 порту. Для этого необходимо открыть новую вкладку терминала и выполнить команду по запуску прослушивания с помощью python3 (см. рисунок 83).
Рисунок 83 – Выполнение процесса прослушивания http-сервера
Также необходимо запустить утилиту netсat на определенном порту с целью развертывания обратной оболочки, если эксплуатация уязвимости
92
пройдет успешно. Для этого необходимо открыть еще одну вкладу терминала и выполнить команду по запуску netсat (см. рисунок 84).
Рисунок 84 – Процесс развертывания обратной оболочки с помощью netstat
Далее необходимо вернуться во вкладку терминала, где выполнялся просмотр файл «exploit.sh». После необходимо выдать данному файлу права на выполнение и запустить данный скрипт (см. рисунок 85).
Рисунок 85 – Запуска файла «exploit.sh»
В процессе запуска файла «exploit.sh» создаются файлы для эксплуатации общеизвестной уязвимости службы «Apache Tomcat» (см. рисунок 86), после чего программа выводит информацию об успешном завершении своей работы (см. рисунок 87).
Рисунок 86 – Результаты запуска эксплойта общеизвестной уязвимости службы «Apache Tomcat»
Рисунок 87 – Результаты запуска эксплойта общеизвестной уязвимости службы «Apache Tomcat»
93
Несмотря на то, что эксплойт завершился успешно, можно наблюдать информацию о том, что служба «Apache Tomcat» атакуемого объекта возвращает ошибку, связанную с тем, что служба не может найти файл, через который выполняется эксплуатация уязвимости.
Таким образом такая атака, несмотря на наличие общедоступной уязвимости, пройдет неуспешно. После проведения атаки необходимо выполнить команду по остановке сервера http на 80 порту, а также команду по остановке работы утилиты «netсat».
Изучение принципа работы honeypot-системы при получении
злоумышленником доступа к honeypot-системе методом эксплуатации
общеизвестной уязвимости.
Необходимо переключиться на машину
«Honeypot-Machine», используемую в качестве honeypot-системы. Далее необходимо выполнить просмотр раздела с файлом «docker_net.log» (см. рисунок 88).
Рисунок 88 – Просмотр файла «docker_net.log»
По отображаемой информации можно сделать вывод, что пользователь с IP-адресом 192.168.110.150 производил множественную отправку пакетов на порт 8080 honeypot-системы.
Таким образом honeypot-система зафиксировала события, связанные с атакой на службу «Apache Tomcat».
94
Изучение механизма проведения DDoS-атак методом TCP-flood на
объект сетевой инфраструктуры.
Необходимо переключиться на машину «Hack-Machine», используемую в качестве системы для проведения атак. Еще одной разновидностью атак на объект сетевой инфраструктуры являются DDoS-атаки. Такой тип атак не позволит получить доступ к объекту, однако сможет вывести из строя всю систему. Для проведения DDoS-атак будет применяться утилита «hping3».
Для этого необходимо выполнить переход в домашнюю директорию пользователя «user» (см. рисунок 89). Далее с правами суперпользователя запустить утилиту «hping3» в режиме «flood» для отправки множества пакетов на 80 порт атакуемой системы (ip-адрес системы) (см. рисунок 89). Также с помощью дополнительных параметров утилита «hping3» будет отправлять определенное количество пакетов с одинаковым размером, при этом делая задержку при отправке пакетов. Кроме этого, ключ «--rand-source» позволит отправлять пакеты с разных IP-адресов (см. рисунок 89).
Рисунок 89 – Реализация DDoS-атаки через утилиту «hping3»
Через некоторое время (10-15 секунд) необходимо остановить выполнение работы утилиты «hping3». После этого проверить доступность атакуемой системы с помощью команды «ping». В случае отсутствия доступа к системе, можно утверждать, что DDoS-атака прошла успешна. Если же атакуемая система доступна через команду «ping», значит атака прошла не успешна. В результате работы утилиты «hping3» и проведения DDoS-атаки система должна быть доступна.
Изучение принципа работы honeypot-системы в ходе проведения
злоумышленником DDoS-атак методом TCP-flood.
Необходимо переключиться на машину
«Honeypot-Machine», используемую в качестве honeypot-системы. Необходимо выполнить
95
просмотр файла «docker_net.log» в информационной панели «Grafana» (см. рисунок с 90 по 91).
Рисунок 90 – Просмотр файла «docker_net.log»
Рисунок 91 – Просмотр файла «docker_net.log»
В результате просмотра раздела с файлом «docker_net.log» будет отображена информация о том, что производились множественные попытки отправки пакетов с разных IP-адресов на один порт honeypot-системы. Данным портом является 80 порт. Далее необходимо выполнить просмотр размера файла «docker_net.log» в терминале Linux (см. рисунок 92).
Рисунок 92 – Просмотр размера файла «docker_net.log»
96
Такой большой размер файла, означает, что производилось большое количество попыток отправки пакетов на IP-адрес honeypot-системы.
Таким образом, honepot-система зафиксировала DDoS-атаку через собранный сетевой трафик.
Завершите работу с honeypot-системой. Для этого необходимо открыть терминал, где был запущен bash-скрипт «honeypot.sh». Далее ввести команду
«0» для завершения работы системы (см. рисунок 93).
Рисунок 93 – Завершение работы honeypot-системы
После этого необходимо отрыть web-браузер и выполнить просмотр файла «password_honeypot.log» в информационной панели «Grafana» (см. рисунок с 94 по 95).
Рисунок 94 – Просмотр файла «password_honeypot.log»
злоумышленником действий по сбору и анализу данных в honeypot-
системе.
Необходимо переключиться на машину
«Honeypot-Machine», используемую в качестве honeypot-системы. Далее необходимо выполнить просмотр файла «docker_logs.log» (см. рисунок 62).
Рисунок 62 – Просмотр файла «docker_logs.log»
Необходимо найти запись, которая будет содержать информацию об успешной попытке авторизации пользователя «user» в honeypot-системе.
82
Далее необходимо выполнить просмотр файла «file_operation.log» (см. рисунок с 63 по 65).
Рисунок 63 – Просмотр файла «file_operation.log»
Рисунок 64– Просмотр файла «file_operation.log»
Рисунок 65– Просмотр файла «file_operation.log»
83
В разделе с файлом «file_operation.log» будет отображаться информация, связанная с процессами, которые выполнялись в honeypot-системе, операциями, которые выполнялись с тем или иным файлом (каталогом), а также временем выполнения той или иной операции.
Далее необходимо выполнить просмотр файла «input_command.log» (см. рисунок с 66 по 67).
Рисунок 66 – Просмотр файла «input_command.log»
Рисунок 67 – Просмотр файла «input_command.log»
В файле «input_command.log» будут отображаться все команды, которые выполнялись в то или иное время в интерактивном режиме внутри honeypot- системы.
Таким образом honeypot-система зарегистрировала все события, связанные с успешной авторизацией пользователя в системе и выполняемыми им действиями в honeypot-системе.
84
Изучение механизма закрепления в системе методом повышения
привилегий пользователя.
Необходимо переключиться на машину «Hack-Machine», используемую в качестве системы для проведения атак. После получения информации об системе, важным этапом проведения атаки на объект является закрепления в системе, которая была скомпрометирована.
Под закреплением в системе может пониматься получение прав суперпользователя с целью выполнения любых дальнейших действий уже в захваченной системе.
Однако на этапе сбора информации о системе, определено, что учетная запись пользователя «user», через которую было выполнено ssh-подключение в скомпрометированную систему, не имеет прав «sudo». Поэтому закрепление в системе будет производиться через метод повышения привилегий пользователя. Одним из способов повысить привилегии является нахождение в системе установленного приложения, имеющего уязвимость, которая в свою очередь позволит повысить привилегии пользователя. Одним из таких приложений является программа «sudo».
Для начала необходимо проверить версию пакета программы, который установлен в системе (см. рисунок 68).
Рисунок 68 – Определение версии пакета «sudo»
В результате будет выведена версия пакета «sudo» - «1.8.31-1ubuntu1».
Данная версия пакета имеет уязвимость «CVE-2021-3156», которая позволяет получить права пользователя «root» любому пользователю системы. Именно эта уязвимость будет использована для повышения привилегий пользователя
«user».
85
Для эксплуатации данной уязвимости необходимо перейти в домашний каталог пользователя, создать новый каталог «exploit», перейти в него и создать в нем новый файл «exploit.c» (см. рисунок 69).
Рисунок 69 – Подготовительный процесс для эксплуатации уязвимости пакета «sudo»
В системе на машине «Hack-Machine» необходимо создать новую вкладу терминала. Для этого в открытом терминале необходимо нажать на раздел
«Файл», выбрать пункт «Создать вкладку». Далее в новом терминале необходимо выполнить переход в каталог «sudo_exploit», а также выполнить просмотр содержимого данного репозитория (см. рисунок 70).
Рисунок 70 – Подготовительный процесс для эксплуатации уязвимости пакета «sudo»
Далее необходимо выполнить открытие файла «exploit.c» в системе на машине «Hack-Machine» и скопировать содержимое данного файла. После необходимо перейти в терминал, где расположена интерактивная оболочка скомпрометированной системы. Далее необходимо выполнить вставку скопированного текста в файл «exploit.c» на скомпрометированной системе.
После этого необходимо сохранить файл и закрыть его.
Далее в скомпрометированной системе необходимо создать новый файл
«sice.c» таким же образом, что и файл «exploit.c (см. рисунок 71). После выполнить открытие файла «sice.c» в системе на машине «Hack-Machine» и скопировать содержимое данного файла в новый файл «sice.c» в скомпрометированной системе. Далее необходимо создать новый каталог
«libnss_X» в скомпрометированной системе (см. рисунок 71). После этого
86
необходимо выполнить просмотр каталога «exploit» на скомпрометированной системе (см. рисунок 71).
Рисунок 71 – Подготовительный процесс для эксплуатации уязвимости пакета «sudo»
Таким образом в директории exploit должны находиться файлы
«exploit.c», «sice.c» и каталог «libnss_X».
После подготовки всех файлов для эксплуатации уязвимости пакета
«sudo» и повышения привилегий пользователя «user» необходимо выполнить сборку программы «exploit.c» (см. рисунок 72).
Рисунок 72 – Сборка программы «exploit.c»
В результате сборка должна пройти успешно с единственным предупреждением. Кроме этого, должен создаться исполняемый файл
«expoloit».
Далее необходимо выполнить сборку программы «sice.c» (см. рисунок
73).
Рисунок 73 – Сборка программы «sice.c»
В результате сборка должна пройти успешно без ошибок и предупреждений. После сборки всех программ необходимо запустить исполняемый файл «exploit» для эксплуатации уязвимости пакета «sudo» (см. рисунок 74).
87
Рисунок 74 – Эксплуатация уязвимости пакета «sudo»
В результате запуска исполняемого файла «exploit» будут получены права суперпользователя (см. рисунок 74). Также необходимо выполнить команду «whoami» для получения информации о текущем пользователе системы (см. рисунок 74).
Изучение принципа работы honeypot-системы в ходе выполнения
злоумышленником действий, связанных с закреплением в honeypot-
системе методом повышения привилегий пользователя.
Необходимо переключиться на машину
«Honeypot-Machine», используемую в качестве honeypot-системы. Необходимо выполнить просмотр файла «file_operation.log» на информационной панели «Grafana» (см. рисунок с 75 по 77).
Рисунок 75 – Просмотр файла «file_operation.log»
88
Рисунок 76 – Просмотр файла «file_operation.log»
Рисунок 77 – Просмотр файла «file_operation.log»
Таким образом при просмотре раздела с файлом «file_operation.log» будет отображена информация о том, какие операции чтения файлов выполнялись как в домашней директории пользователя, так и в системных директориях honeypot-системы. Кроме этого, данный файл отображает информацию, которая должна указывать, что выполнялись процессы
«sudoedit» и «whoami». Выполнение этих процессов напрямую связанно с пользователем «root».
Далее после просмотра файла «file_operation.log» необходимо выполнить просмотр файла «input_command.log» в соответствующем разделе
(см. рисунок с 78 по 79).
89
Рисунок 78 – Просмотр файла «input_command.log»
Рисунок 79 – Просмотр файла «input_command.log»
В разделе с файлом «input_command.log» будут отображены команды по открытию и созданию файлов формата «.с», команды по сборке программ через компилятор «gcc», команды по запуску исполняемых файлов, в ходе который происходит обращение к системных файлам, связанным с учетной записью суперпользователя.
Таким образом honeypot-система собрала всю информацию, связанную с выполнением в honeypot-системе команд по получению прав пользователя
«root».
90
Изучение механизма получения доступа к объекту сетевой
инфраструктуры методом эксплуатации общеизвестной уязвимости.
Необходимо переключиться на машину «Hack-Machine», используемую в качестве системы для проведения атак. В случае, когда атаки типа побора учетных данных завершаются не удачно, существует возможность получить доступ к системе через эксплуатацию общеизвестных уязвимостей.
В ходе проведения сетевой разведки объекта атаки с помощью утилиты
«nmap» кроме открытого 22 порта были найдены 80 и 8080 открытые порты
(см. рисунок 80).
Рисунок 80 – Результаты проведения сетевой разведки
Версия службы «Apache httpd», развернутая на 80 порту атакуемой системы, является актуальной и не имеет общеизвестных уязвимостей.
Однако версия службы «Apache Tomcat», развернутая на 8080 порту, имеет общеизвестную уязвимость - CVE-2020-9484. В результате эксплуатации данной уязвимости можно произвести удаленное выполнение кода, тем самым скомпрометировав службу «Apache Tomcat» атакуемой системы.
Для эксплуатации данной уязвимости системы на виртуальной машине
«Hack-Machine» необходимо открыть терминал. Далее необходимо выполнить переход в директорию «tomcat_exploit» (см. рисунок 81).
91
Рисунок 81 – Выполнение перехода в директорию «tomcat_exploit»
Далее необходимо выполнить просмотр директории «tomcat_exploit»
(см. рисунок 82). После необходимо выполнить просмотр файл «exploit.sh»
(см. рисунок 82). Кроме этого, необходимо выполнить проверку, что переменная «remote_ip» в данном файле имеет значение IP-адреса системы, используемой в качестве проведения атак (см. рисунок 82).
Рисунок 82 – Подготовительный процесс для эксплуатации общеизвестной уязвимости
Также для выполнения эксплуатации уязвимости на сервис «Apache
Tomcat» необходимо выполнить прослушивание http-сервера на 80 порту. Для этого необходимо открыть новую вкладку терминала и выполнить команду по запуску прослушивания с помощью python3 (см. рисунок 83).
Рисунок 83 – Выполнение процесса прослушивания http-сервера
Также необходимо запустить утилиту netсat на определенном порту с целью развертывания обратной оболочки, если эксплуатация уязвимости
92
пройдет успешно. Для этого необходимо открыть еще одну вкладу терминала и выполнить команду по запуску netсat (см. рисунок 84).
Рисунок 84 – Процесс развертывания обратной оболочки с помощью netstat
Далее необходимо вернуться во вкладку терминала, где выполнялся просмотр файл «exploit.sh». После необходимо выдать данному файлу права на выполнение и запустить данный скрипт (см. рисунок 85).
Рисунок 85 – Запуска файла «exploit.sh»
В процессе запуска файла «exploit.sh» создаются файлы для эксплуатации общеизвестной уязвимости службы «Apache Tomcat» (см. рисунок 86), после чего программа выводит информацию об успешном завершении своей работы (см. рисунок 87).
Рисунок 86 – Результаты запуска эксплойта общеизвестной уязвимости службы «Apache Tomcat»
Рисунок 87 – Результаты запуска эксплойта общеизвестной уязвимости службы «Apache Tomcat»
93
Несмотря на то, что эксплойт завершился успешно, можно наблюдать информацию о том, что служба «Apache Tomcat» атакуемого объекта возвращает ошибку, связанную с тем, что служба не может найти файл, через который выполняется эксплуатация уязвимости.
Таким образом такая атака, несмотря на наличие общедоступной уязвимости, пройдет неуспешно. После проведения атаки необходимо выполнить команду по остановке сервера http на 80 порту, а также команду по остановке работы утилиты «netсat».
Изучение принципа работы honeypot-системы при получении
злоумышленником доступа к honeypot-системе методом эксплуатации
общеизвестной уязвимости.
Необходимо переключиться на машину
«Honeypot-Machine», используемую в качестве honeypot-системы. Далее необходимо выполнить просмотр раздела с файлом «docker_net.log» (см. рисунок 88).
Рисунок 88 – Просмотр файла «docker_net.log»
По отображаемой информации можно сделать вывод, что пользователь с IP-адресом 192.168.110.150 производил множественную отправку пакетов на порт 8080 honeypot-системы.
Таким образом honeypot-система зафиксировала события, связанные с атакой на службу «Apache Tomcat».
94
Изучение механизма проведения DDoS-атак методом TCP-flood на
объект сетевой инфраструктуры.
Необходимо переключиться на машину «Hack-Machine», используемую в качестве системы для проведения атак. Еще одной разновидностью атак на объект сетевой инфраструктуры являются DDoS-атаки. Такой тип атак не позволит получить доступ к объекту, однако сможет вывести из строя всю систему. Для проведения DDoS-атак будет применяться утилита «hping3».
Для этого необходимо выполнить переход в домашнюю директорию пользователя «user» (см. рисунок 89). Далее с правами суперпользователя запустить утилиту «hping3» в режиме «flood» для отправки множества пакетов на 80 порт атакуемой системы (ip-адрес системы) (см. рисунок 89). Также с помощью дополнительных параметров утилита «hping3» будет отправлять определенное количество пакетов с одинаковым размером, при этом делая задержку при отправке пакетов. Кроме этого, ключ «--rand-source» позволит отправлять пакеты с разных IP-адресов (см. рисунок 89).
Рисунок 89 – Реализация DDoS-атаки через утилиту «hping3»
Через некоторое время (10-15 секунд) необходимо остановить выполнение работы утилиты «hping3». После этого проверить доступность атакуемой системы с помощью команды «ping». В случае отсутствия доступа к системе, можно утверждать, что DDoS-атака прошла успешна. Если же атакуемая система доступна через команду «ping», значит атака прошла не успешна. В результате работы утилиты «hping3» и проведения DDoS-атаки система должна быть доступна.
Изучение принципа работы honeypot-системы в ходе проведения
злоумышленником DDoS-атак методом TCP-flood.
Необходимо переключиться на машину
«Honeypot-Machine», используемую в качестве honeypot-системы. Необходимо выполнить
95
просмотр файла «docker_net.log» в информационной панели «Grafana» (см. рисунок с 90 по 91).
Рисунок 90 – Просмотр файла «docker_net.log»
Рисунок 91 – Просмотр файла «docker_net.log»
В результате просмотра раздела с файлом «docker_net.log» будет отображена информация о том, что производились множественные попытки отправки пакетов с разных IP-адресов на один порт honeypot-системы. Данным портом является 80 порт. Далее необходимо выполнить просмотр размера файла «docker_net.log» в терминале Linux (см. рисунок 92).
Рисунок 92 – Просмотр размера файла «docker_net.log»
96
Такой большой размер файла, означает, что производилось большое количество попыток отправки пакетов на IP-адрес honeypot-системы.
Таким образом, honepot-система зафиксировала DDoS-атаку через собранный сетевой трафик.
Завершите работу с honeypot-системой. Для этого необходимо открыть терминал, где был запущен bash-скрипт «honeypot.sh». Далее ввести команду
«0» для завершения работы системы (см. рисунок 93).
Рисунок 93 – Завершение работы honeypot-системы
После этого необходимо отрыть web-браузер и выполнить просмотр файла «password_honeypot.log» в информационной панели «Grafana» (см. рисунок с 94 по 95).
Рисунок 94 – Просмотр файла «password_honeypot.log»