Презентация Беляев

Содержание

Слайд 2

ПОНЯТИЯ ФИГУРИРУЮЩИЕ В ТЕМЕ

ПОНЯТИЯ ФИГУРИРУЮЩИЕ В ТЕМЕ

Слайд 3

DATA ENCODING, ИЛИ ШИФРОВАНИЕ КАК ИСКУССТВО

Для скрытия присутствия вируса в системе применяются

DATA ENCODING, ИЛИ ШИФРОВАНИЕ КАК ИСКУССТВО Для скрытия присутствия вируса в системе
различные техники и методы, к примеру использование rootkits или bootkits.
Rootkits- Набор ПО скрывающих присутствие запущенного malware-кода в целевой системе.
Bootkits- Уникальный метод реализации руткитов — модификацию загрузочной записи MBR и загрузку руткита до старта ядра операционной системы.
Задача- усложнить вирусному аналитику анализ образца малваря, когда он уже попал в антивирусную лабораторию. Это позволяет оттянуть время до того, как сигнатуру малваря добавят в антивирусные базы.
Один из вариантов — шифрование собственного кода малвари, называемое обфускацией

Слайд 4

АЛГОРИТМЫ ШИФРОВАНИЯ

Кодирование для отдельных байтов блока с помощью функций ADD и SUB.
ROR-

АЛГОРИТМЫ ШИФРОВАНИЯ Кодирование для отдельных байтов блока с помощью функций ADD и
и ROL-инструкции позволяют перевернуть несколько битов в байте справа или слева. Они должны использоваться вместе, поскольку они необратимы, то есть выполняются только в одну сторону.
ROT — это оригинальный шифр Цезаря. Обычно используется латинский алфавит (A–Z и a–z), начиная с любой буквы, или 94 печатных символа в стандартной кодировке символов ASCII.
Многобайтовые преобразования заключаются в том, что заменяется не один байт, данный алгоритм позволяет использовать больше ключевых значений (к примеру, часто берутся цепочки 4 или 8 байт длиной).

Слайд 5

Внедрение Shell-code.Теория

Шелл-код- часть кода, встроенного в малварь и позволяющего после инфицирования системы

Внедрение Shell-code.Теория Шелл-код- часть кода, встроенного в малварь и позволяющего после инфицирования
жертвы получить доступ к командной оболочке.
Зачем все это нужно? мало просто инфицировать систему, проэксплуатировать уязвимость или положить какую-нибудь системную службу. Все эти действия черных и серых шляп(хакеров) во многих случаях нацелены на получение админского доступа к зараженной машине. Так что малварь — это всего лишь способ попасть на машину и получить shell, то есть управление. А это уже прямой путь к сливу конфиденциальной информации, созданию ботнет-сетей, превращающих целевую систему в зомби, или просто выполнению иных деструктивных функций на взломанной машине.
Шелл-код внедряется в память программы, после чего на него передается управление при помощи использования программных ошибок, таких как переполнение стека или переполнение буфера в куче, или использования атак форматной строки. Управление шелл-коду передается перезаписью адреса возврата в стеке адресом внедренного шелл-кода, перезаписью адресов вызываемых функций или изменением обработчиков прерываний. Результатом всего этого и будет выполнение шелл-кода, который открывает командную строку для использования взломщиком.

Слайд 6

При эксплуатации удаленной уязвимости (exploit) шелл-код может открывать на уязвимом компьютере заранее

При эксплуатации удаленной уязвимости (exploit) шелл-код может открывать на уязвимом компьютере заранее
заданный порт TCP для дальнейшего удаленного доступа к командной оболочке. Такой код называется привязывающим к порту. Если же шелл-код подключается к порту компьютера атакующего (с целью обхода брандмауэра или просачивания через NAT), то такой код называется обратной оболочкой.(NAT-это механизм в сетях TCP/IP, позволяющий преобразовывать IP-адреса транзитных пакетов)
Существуют два способа запуска шелл-кода в память на исполнение:
Метод position-independent code (PIC) — это код, который использует жесткую привязку бинарного кода к определенному адресу или данным. Шелл-код — это по сути PIC. Почему привязка так важна? Шелл не может знать, в каком именно месте оперативной памяти будет располагаться, поскольку во время выполнения различных версий скомпрометированной программы или малвари они могут загрузить шелл-код в разные ячейки памяти.
Метод Identifying Execution Location заключается в том, что шелл-код должен разыменовать базовый указатель при доступе к данным в позиционно независимой структуре памяти.

Слайд 7

ОБНАРУЖЕНИЕ ШЕЛЛ-КОДА НА ВЗЛОМАННОЙ МАШИНЕ

Хакеры, дорожащие своей свободой и репутацией, пишут шелл-коды,

ОБНАРУЖЕНИЕ ШЕЛЛ-КОДА НА ВЗЛОМАННОЙ МАШИНЕ Хакеры, дорожащие своей свободой и репутацией, пишут
используя техники, скрывающие их атаку. Так, типичная система обнаружения вторжений (англ. IDS) обычно просматривает весь входящий сетевой трафик в поисках структуры, специфичной для шелл-кода. Если IDS находит такую структуру, то пакет, содержащий эту сигнатуру, уничтожается до того, как он еще достигнет своей цели. Однако слабая позиция IDS состоит в данном случае в том, что если трафик закодирован, то распознать его не удастся.

Слайд 8

Практика:

Для шелл-кодинга мы будем использовать:
MetaSploit Framework
Nmap scanner
OS: Linux(в нашем случае Kali Linux)

Практика: Для шелл-кодинга мы будем использовать: MetaSploit Framework Nmap scanner OS: Linux(в нашем случае Kali Linux)

Слайд 9

Как выглядит MetaSploit Framework:

Как выглядит MetaSploit Framework:

Слайд 10

Как выглядит NMAP scaner:

Как выглядит NMAP scaner:

Слайд 11

ПРАКТИКА: 1.Сканируем порты с помощью NMAP

ПРАКТИКА: 1.Сканируем порты с помощью NMAP

Слайд 12

2.Ищем открытые порты в базе MetaSploit (ранг эксплоита важен)+важно изучить требования эксплоита,

2.Ищем открытые порты в базе MetaSploit (ранг эксплоита важен)+важно изучить требования эксплоита, описание, цели)
описание, цели)

Слайд 13

3.Применяем эксплоит, меняем конфигурацию, ip атакуемой машины

3.Применяем эксплоит, меняем конфигурацию, ip атакуемой машины

Слайд 14

4.Ищем совместимый PayLoads(жесткая привязка-метод PIC)

4.Ищем совместимый PayLoads(жесткая привязка-метод PIC)

Слайд 15

5.Применяем PayLoad (в нашем случае- meterpreter)+меняем в конфиге локальный ip

5.Применяем PayLoad (в нашем случае- meterpreter)+меняем в конфиге локальный ip

Слайд 16

6.Запускаем эксплоит

Таким образом, мы успешно использовали Metasploit фреймворк для получения доступа к

6.Запускаем эксплоит Таким образом, мы успешно использовали Metasploit фреймворк для получения доступа
удаленному серверу с запущенным на нем Windows 2003 Server. Мы предоставили себе возможность выполнять команды в командной оболочке, что дает нам право полностью контролировать удаленную машину и запускать любые задачи на ней.
Имя файла: Презентация-Беляев.pptx
Количество просмотров: 41
Количество скачиваний: 0
- Предыдущая
3 лекция_ЭС
Следующая -
09

Похожие презентации

Образовательная система «ГРАНИ БОГАТСТВА» Чтобы заработать на жизнь, надо работать, но чтобы разбогатеть нужно представить что-то
О стратегии социально-экономического развития Амурской области
«Маркетинг успеха – эффективность работы на прединвестиционной стадии Проекта»
Презентация на тему Закон постоянства состава
Смайлики. Личное понятие,
TaxoPhone 12.0. Обучение сервисного департамента
Рельеф Африки
Тундра
Hello
Презентация на тему Брестская крепость
Административные реформы в Великобритании Подготовила Клеутина С.А. Группа МЭ-092
Презентация новой серии электронных учебников «Интернет университет.Второе высшее образование дома»
Лирические народные песни
Большое путешествие (урок – зачёт по разделу «Путешествие по городам и странам»)
Предмет и метод бухгалтерского учета
Лукашевич Н.В, Добров Б.В. Операции с онтологиями: сопоставление, порождение, наращивание, подрезание
Веселая грамота
Раскол христианской церкви
Нацизм и математика
Презентация на тему Тарифные льготы как инструмент привлечения иностранных инвестиций
Оформление ИП
ЭКСКУРСИЯ ВО ВНИИООБ
Натуральная карловарская гейзерная соль
КАРТОННО-БУМАЖНЫЕ МАТЕРИАЛЫ И ТАРА
Информационные вызовы современности и их отображение в информационном пространстве
Employment termination
Системы управления базами данных
Развитие советского машиностроения в 1970-1980 года
LiveInternet
Обратная связь
Для правообладателей
Email: Нажмите что бы посмотреть