Metasploit Framework. Системы обнаружения вторжений (СОВ) IDS/IPS. Тестирование на проникновение

Содержание

Слайд 2

Metasploit Framework

Metasploit Framework

Слайд 3

Metasploit - фреймворк для создания эксплойтов
Основные параметры:
написан на Ruby;
широкая поддержка, распространен в

Metasploit - фреймворк для создания эксплойтов Основные параметры: написан на Ruby; широкая
сборках по пентестингу.

Слайд 4

Основные команды:
? Help menu
back Move back from the current context

Основные команды: ? Help menu back Move back from the current context
banner Display an awesome metasploit banner
cd Change the current working directory
color Toggle color
connect Communicate with a host
exit Exit the console
help Help menu
info Displays information about one or more module
irb Drop into irb scripting mode
jobs Displays and manages jobs
kill kill a job
load Load a framework plugin

Слайд 5

Основные команды (продолжение):
loadpath Searches for and loads modules from a path
quit Exit

Основные команды (продолжение): loadpath Searches for and loads modules from a path
the console
resource Run the commands stored in a file
route Route traffic through a session
save Saves the active datastores
search Searches module names and descriptions
sessions Dump session listings and display information about sessions
set Sets a variable to a value
setg Sets a global variable to a value
show Displays modules of a given type, or all modules
sleep Do nothing for the specified number of seconds
unload Unload a framework plugin
unset Unsets one or more variables
unsetg Unsets one or more global variables
use Selects a module by name
version Show the framework and console library version numbers

Слайд 6

Metasploit использует различные библиотеки, которые играют ключевую роль в функционировании системы.
Эти библиотеки

Metasploit использует различные библиотеки, которые играют ключевую роль в функционировании системы. Эти
представляют собой набор заранее определенных задач, операций и функций, которые могут быть использованы различными модулями системы.
Самая фундаментальная часть фреймфорка является Ruby Extension (Rex).
Некоторые компоненты Rex включают подсистему сокетов (wrapper socket subsystem), реализацию клиентских и серверных протоколов, регистрацию подсистемы (logging subsystem), exploitation utility classes, а также ряд других полезных классов.

Слайд 7

Базовый алгоритм работы с Metasploit Framework

Поиск подходящего модуля с помощью команды search или Google.
Выбор

Базовый алгоритм работы с Metasploit Framework Поиск подходящего модуля с помощью команды
модуля с помощью команды use.
Просмотр настроек выбранного модуля с помощью команд show options (продвинутые настройки — show advanced).
Установка конкретной опции с помощью команды set. Самыми часто задаваемыми опциями являются RHOST и RHOSTS. В первом случае можно задать только один адрес цели, а во втором – множество.
Установка подробного вывода с помощью команды set verbose true (если любопытно знать, что происходит).
Запуск модуля с помощью команды run.

Слайд 8

Armitage

Если вы хотите использовать Metasploit с графическим интерфейсом (GUI), то здесь есть несколько вариантов.

Armitage Если вы хотите использовать Metasploit с графическим интерфейсом (GUI), то здесь
Например, Рафаэль Мадж (Raphael Mudge) разработал Armitage (это имя главного героя в весьма оригинальной научно-фантастической книге о кибер-хакинге «Neuromancer». Ее должен прочитать каждый хакер, которому нравится жанр SciFi).
Чтобы запустить Armitage в Kali, просто введите:
kali > armitage

Слайд 9

Модули

У Metasploit есть шесть разных модулей:
payloads
exploits
post
nops
auxiliary
encoders

Модули У Metasploit есть шесть разных модулей: payloads exploits post nops auxiliary encoders

Слайд 10

Payloads — это код, который мы оставляем на взломанной системе. Некоторые называют их

Payloads — это код, который мы оставляем на взломанной системе. Некоторые называют
слушателями (listener), руткитами (rootkit) и т.д. В Metasploit они называются payload (полезными нагрузками). Payloads включают утилиты командной строки, Meterpreter и т.д. Payload‘ы бывают разных типов, например, staged, inline, NoNX (обходит функцию «No Execute» (без выполнения) в некоторых современных процессорах), PassiveX (обходит правила брандмауэра об исходящем трафике), IPv6 и другие

Слайд 11

Exploits — это шелл-код, который использует уязвимость или недостатки в системе. Это очень

Exploits — это шелл-код, который использует уязвимость или недостатки в системе. Это
специфичный код. Например, есть эксплоиты для операционной системы, пакетов обновлений (SP), для конкретных служб, портов и даже для приложений. Их также можно классифицировать по типам операционных систем, поэтому эксплойт Windows не работает в Linux и наоборот.

Слайд 12

Post — это модули, которые мы можем использовать для пост эксплуатационных атак системы

Post — это модули, которые мы можем использовать для пост эксплуатационных атак
(т.е. после получения доступа к системе).

Слайд 13

Nops — сокращение от No OPerationS. В процессорах семейства x86 обычно указывается как

Nops — сокращение от No OPerationS. В процессорах семейства x86 обычно указывается
шестнадцатеричный 0x90. Это просто означает «ничего не делать». Это может иметь решающее значение для атак переполнения буфера (buffer overflow). Мы можем посмотреть модули nops с помощью команды show.
msf > show nops

Слайд 14

Auxiliary — включает в себя множество модулей (695), которые не вписываются ни в

Auxiliary — включает в себя множество модулей (695), которые не вписываются ни
одну из других категорий. К ним относятся такие вещи, как фаззеры (fuzzer), сканеры (scanner), модули для DoS-атак (на отказ в обслуживании) и многое другое.

Слайд 15

Encoders — это модули, которые позволяют по-разному кодировать нашу полезную нагрузку (payloads), чтобы

Encoders — это модули, которые позволяют по-разному кодировать нашу полезную нагрузку (payloads),
обойти антивирусное ПО и другие системы безопасности. Мы можем увидеть эти кодировщики, набрав:
msf > show encoders

Слайд 16

Заключение

Мы рассмотрели применение Metasploit Framework для возможности самостоятельного применения администраторами для тестирования

Заключение Мы рассмотрели применение Metasploit Framework для возможности самостоятельного применения администраторами для
защищенности и убедились в доступности и эффективности данного инструмента. Большинство «болевых точек» могут быть с легкостью проверены благодаря широкому набору модулей данного фреймворка. Единственной проблемной областью применения для тестирования защищенности исключительно Metasploit Framework является необходимость проводить трудоемкий ручной поиск уязвимостей, но данная проблема может быть устранена применением сканера уязвимостей, например, из состава «Сканер-ВС».

Слайд 17

Пример SHELLCOD’A

Пример SHELLCOD’A

Слайд 18

Пример SHELLCOD’A (ПРОДОЛЖЕНИЕ)

Пример SHELLCOD’A (ПРОДОЛЖЕНИЕ)

Слайд 19

Пример SHELLCOD’A (ПРОДОЛЖЕНИЕ)

Пример SHELLCOD’A (ПРОДОЛЖЕНИЕ)

Слайд 20

Проверка устойчивости Dr.Web Katana к сетевому EXPLOIT’У
ETERNAL BLUE

Dr.Web KATANA
Kills Active Threats

Проверка устойчивости Dr.Web Katana к сетевому EXPLOIT’У ETERNAL BLUE Dr.Web KATANA Kills
And New Attacks

Несигнатурный антивирус нового поколения для усиления защиты ПК «в связке»
с вашим традиционным антивирусом
Для любого предприятия критичны нарушения бизнес-процессов, несанкционированный доступ к устройствам, эксплуатация уязвимостей, подбор паролей, фишинг и другие противоправные действия, производимые в том числе в ходе вирусозависимых компьютерных инцидентов (ВКИ) с помощью вредоносного ПО (ВПО).
К сожалению, сегодня в силу целого комплекса причин полагаться на антивирусную защиту только одного вендора нельзя.

Слайд 21

Технологически сложные и особо опасные вирусы вирусописатели проверяют на обнаружение вирусными базами

Технологически сложные и особо опасные вирусы вирусописатели проверяют на обнаружение вирусными базами
всех антивирусов перед тем как выпустить такой вирус в «живую природу».
Поэтому если полагаться на проверку только вирусными базами антивирусов — какими бы качественными они ни были — злоумышленники всегда будут иметь временную фору: вредоносный код уже может быть известен антивирусному вендору, но еще не получен антивирусом на устройстве пользователя.
Угроза заражения новейшим НЕИЗВЕСТНЫМ вирусом есть ВСЕГДА.

Слайд 22

Одним из методов снижения вероятности инфицирования является использование нескольких антивирусных решений. Так,

Одним из методов снижения вероятности инфицирования является использование нескольких антивирусных решений. Так,
требование ФСТЭК России гласит:
« 4) в информационной системе должно обеспечиваться использование на разных уровнях информационной системы средств антивирусной защиты разных производителей ».
Когда нужны два антивируса?
Когда основной антивирус пропускает угрозы.
Когда основной антивирус нельзя часто обновлять.
Когда ПК долго находится вне зоны доступа к Интернету.
Когда ПК находится в изолированной сети, обновления в которую доставляются редко.
Несигнатурный антивирус нужен всегда: вы не можете знать, пропустил ли уже ваш антивирус вредоносную программу или нет.

Слайд 23

Несигнатурный антивирус Dr.Web KATANA решает те же задачи, что и традиционный
антивирус:
распознаёт вредоносные

Несигнатурный антивирус Dr.Web KATANA решает те же задачи, что и традиционный антивирус:
процессы,
отражает атаки вредоносных программ,
пресекает попытки проникновения в систему, — но делает это… тоньше.

Слайд 24

Что контролирует Dr.Web KATANA
Процессы легитимных приложений.
Критические участки системы и системные службы —

Что контролирует Dr.Web KATANA Процессы легитимных приложений. Критические участки системы и системные
загрузочные области диска, ключи реестра, в том числе отвечающие за драйверы виртуальных устройств.
Правила запуска программ.
Отключение безопасного режима Windows.
Возможности добавления в логику работы операционной системы новых задач, нужных злоумышленникам.
Загрузки новых или неизвестных пользователю драйверов.
Коммуникации между компонентами шпионского ПО и его управляющим сервером.
Процессы штатного создания резервных копий файлов.
Все популярные интернет-браузеры (Internet Explorer, Mozilla Firefox, Яндекс.Браузер, Google
Chrome, Vivaldi Browser).
Приложения MS Office (Word/Excel/InfoPath/Lync/Access/Outlook/Visio/WordPad), Windows
Media Player.
Системные приложения.
Приложения, использующие java- (Java 1.8/6/7), flash- и pdf-технологии (Acrobat Reader).

Слайд 25

Dr.Web сертифицирован на отсутствие недекларированных возможностей – по 2 уровню контроля, на

Dr.Web сертифицирован на отсутствие недекларированных возможностей – по 2 уровню контроля, на
соответствие требованиям документа «Требования к средствам антивирусной защиты», утв. приказом ФСТЭК России № 28 от 20.03.2012 г., на соответствие требованиям ФСБ России к антивирусным средствам.
Продукты Dr.Web применяются для защиты информации, содержащейся в различных информационных системах, в том числе информации ограниченного доступа (государственная тайна, персональные данные и т. д.).
Его использование позволяет обеспечить надлежащее выполнение требований норм законодательства РФ о применении мер для защиты:
информации с ограниченным доступом (государственная тайна, персональные данные и т. д.);
отдельных категорий граждан от информации, причиняющей вред.

Слайд 26

Согласно Информационному сообщению ФСТЭК России от 30 июля 2012 г. N 240/24/3095

Согласно Информационному сообщению ФСТЭК России от 30 июля 2012 г. N 240/24/3095
«Об Утверждении требований к средствам антивирусной защиты»:
Средства антивирусной защиты, соответствующие 3, 2 и 1 классам защиты, применяются в информационных системах, в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну.
тип «А» – средства антивирусной защиты (компоненты средств антивирусной защиты), предназначенные для централизованного администрирования средствами антивирусной защиты, установленными на компонентах информационных систем (серверах, автоматизированных рабочих местах).
Средства антивирусной защиты типа «А» не применяются в информационных системах самостоятельно и предназначены для использования только совместно со средствами антивирусной защиты типов «Б» и (или) «В».

Слайд 27

Этап 1
Соединение машин атакующего и жертвы в одну сеть.

Этап 1 Соединение машин атакующего и жертвы в одну сеть.

Слайд 28

Этап 2
Использование нужного эксплоита из базы метасплоит.

Этап 2 Использование нужного эксплоита из базы метасплоит.

Слайд 29

Этап 3
Эксплуатирование с нужными опциями. Dr.Web Katana не отреагировал на запуск неавторизованого

Этап 3 Эксплуатирование с нужными опциями. Dr.Web Katana не отреагировал на запуск неавторизованого кода.
кода.

Слайд 30

Спасибо за внимание!

Спасибо за внимание!

Слайд 31

Системы обнаружения вторжений IDS/IPS

Системы обнаружения вторжений IDS/IPS

Слайд 32

IDS и принципы ее работы;
Предназначение систем обнаружения вторжений;
Элементы IDS;
Основные задачи;
Сильные и слабые

IDS и принципы ее работы; Предназначение систем обнаружения вторжений; Элементы IDS; Основные
стороны систем;
Подвиды IDS по способу мониторинга:
Network – based IDS;
Host IDS;
Подвиды IDS по методу выявления атак:
Метод анализа сигнатур;
Метод аномалий;
Метод политик;
IPS – следующий этап IDS.

Слайд 33

IDS и принципы ее работы

Системы обнаружения вторжений (intrusion detection systems) - это

IDS и принципы ее работы Системы обнаружения вторжений (intrusion detection systems) -
программные или аппаратные средства обнаружения атак и вредоносных действий. Они помогают сетям и компьютерным системам давать им надлежащий отпор. Для достижения этой цели IDS производит сбор информации с многочисленных системных или сетевых источников. Затем система IDS анализирует ее на предмет наличия атак.

Слайд 34

Предназначение систем обнаружения вторжений

Информационные системы и сети постоянно подвергаются кибер-атакам. Брандмауэров и

Предназначение систем обнаружения вторжений Информационные системы и сети постоянно подвергаются кибер-атакам. Брандмауэров
антивирусов для отражения всех этих атак оказывается явно недостаточно, поскольку они лишь способны защитить «парадный вход» компьютерных систем и сетей. Разные подростки, возомнившие себя хакерами, беспрерывно рыщут по интернету в поисках щелей в системах безопасности.

Слайд 35

Предназначение систем обнаружения вторжений

Благодаря всемирной паутине в их распоряжении очень много совершенно

Предназначение систем обнаружения вторжений Благодаря всемирной паутине в их распоряжении очень много
бесплатного вредоносного софта – всяких слеммеров, слепперов и тому подобных вредных программ. Услугами же профессиональных взломщиков пользуются конкурирующие компании для нейтрализации друг друга. Так что системы, которые обнаруживают вторжение (intrusion detection systems), – насущная необходимость. Неудивительно, что с каждым днем они все более широко используются.

Слайд 36

Элементы IDS

Накапливает события сети или компьютерной системы

Обнаружение кибер – атак и сомнительной

Элементы IDS Накапливает события сети или компьютерной системы Обнаружение кибер – атак
активности

Хранит информацию о событиях и результатах кибер – атак, а также несанкционированных действиях

Управляет параметрами IDS, следит за состоянием сети, дает доступ к информации о событиях

Слайд 37

Основные задачи, решаемые системой обнаружения вторжений

Система обнаружения вторжений имеет две основные задачи:
анализ

Основные задачи, решаемые системой обнаружения вторжений Система обнаружения вторжений имеет две основные
источников информации;
адекватная реакция, основанная на результатах этого анализа.
Для выполнения этих задач система IDS осуществляет следующие действия:

Слайд 38

Основные задачи, решаемые системой обнаружения вторжений

мониторит и анализирует активность пользователей;
занимается аудитом конфигурации

Основные задачи, решаемые системой обнаружения вторжений мониторит и анализирует активность пользователей; занимается
системы и ее слабых мест;
проверяет целостность важнейших системных файлов, а также файлов данных;
проводит статистический анализ состояний системы, основанный на сравнении с теми состояниями, которые имели место во время уже известных атак;
осуществляет аудит операционной системы.

Слайд 39

Сильные и слабые стороны систем

С помощью IDS можно добиться следующего:
улучшить параметры целостности

Сильные и слабые стороны систем С помощью IDS можно добиться следующего: улучшить
сетевой инфраструктуры;
проследить активность пользователя от момента его вхождения в систему и до момента нанесения ей вреда или произведения каких-либо несанкционированных действий;
распознать и оповестить про изменение или удаление данных;
автоматизировать задачи мониторинга интернета с целью поиска самых последних атак;
выявить ошибки в конфигурации системы;
обнаружить начало атаки и оповестить об этом.

Слайд 40

Сильные и слабые стороны систем

Система IDS не в состоянии:
восполнить недостатки в сетевых

Сильные и слабые стороны систем Система IDS не в состоянии: восполнить недостатки
протоколах;
сыграть компенсаторную роль в случае наличия слабых механизмов идентификации и аутентификации в сетях или компьютерных системах, которые она мониторит;
также следует заметить, что IDS не всегда справляется с проблемами, связанными с атаками на пакетном уровне (packet-level).

Слайд 41

Подвиды IDS по способу мониторинга

NIDS (то есть IDS, которые мониторят всю сеть

Подвиды IDS по способу мониторинга NIDS (то есть IDS, которые мониторят всю
(network)) занимаются анализом трафика всей подсети и управляются централизованно. Правильным расположением нескольких NIDS можно добиться мониторинга довольно большой по размеру сети. Они работают в неразборчивом режиме (то есть проверяют все поступающие пакеты, а не делают это выборочно), сравнивая трафик подсети с известными атаками со своей библиотеки. Когда атака идентифицирована или же обнаружена несанкционированная активность, администратору посылается сигнал тревоги. Однако следует упомянуть, что в большой сети с большим трафиком NIDS иногда не справляются с проверкой всех информационных пакетов. Поэтому существует вероятность того, что во время «часа пик» они не смогут распознать атаку.

Слайд 42

Подвиды IDS по способу мониторинга

NIDS (network-based IDS) – это те системы, которые

Подвиды IDS по способу мониторинга NIDS (network-based IDS) – это те системы,
легко встраивать в новые топологии сети, поскольку особого влияния на их функционирование они не оказывают, являясь пассивными. Они лишь фиксируют, записывают и оповещают. Однако нужно также сказать о network-based IDS, что это системы, которые не могут производить анализ информации, подвергнутой шифрованию. Это существенный недостаток, поскольку из-за все более широкого внедрения виртуальных частных сетей (VPN) шифрованная информация все чаще используется киберпреступниками для атак.

Слайд 43

Подвиды IDS по способу мониторинга

Также NIDS не могут определить, что случилось в

Подвиды IDS по способу мониторинга Также NIDS не могут определить, что случилось
результате атаки, нанесла она вред или нет. Все, что им под силу, – это зафиксировать ее начало. Поэтому администратор вынужден самостоятельно перепроверять каждый случай атаки, чтобы удостовериться в том, что атакующие добились своего. Еще одной существенной проблемой является то, что NIDS с трудом фиксирует атаки при помощи фрагментированных пакетов. Они особенно опасны, поскольку могут нарушить нормальную работу NIDS. Что это может означать для всей сети или компьютерной системы, объяснять не нужно.

Слайд 45

Подвиды IDS по способу мониторинга

HIDS (IDS, мониторящие хост (host)) обслуживают лишь конкретный

Подвиды IDS по способу мониторинга HIDS (IDS, мониторящие хост (host)) обслуживают лишь
компьютер. Это, естественно, обеспечивает намного более высокую эффективность. HIDS анализируют два типа информации: системные логи и результаты аудита операционной системы. Они делают снимок системных файлов и сравнивают его с более ранним снимком. Если критично важные для системы файлы были изменены или удалены, то тогда администратору посылается сигнал тревоги. Существенным преимуществом HIDS является способность выполнять свою работу в ситуации, когда сетевой трафик поддается шифровке. Такое возможно благодаря тому, что находящиеся на хосте (host-based) источники информации можно создавать перед тем, как данные поддаются шифрованию, или после их расшифровки на хосте назначения.

Слайд 46

Подвиды IDS по способу мониторинга

К недостаткам данной системы можно отнести возможность ее

Подвиды IDS по способу мониторинга К недостаткам данной системы можно отнести возможность
блокирования или даже запрещения при помощи определенных типов DoS-атак. Проблема здесь в том, что сенсоры и некоторые средства анализа HIDS находятся на хосте, который подвергается атаке, то есть их тоже атакуют. Тот факт, что HIDS пользуются ресурсами хостов, работу которых они мониторят, тоже сложно назвать плюсом, поскольку это, естественно, уменьшает их производительность.

Слайд 48

Подвиды IDS по методу выявления атак

Метод анализа сигнатур.
В этом случае пакеты данных

Подвиды IDS по методу выявления атак Метод анализа сигнатур. В этом случае
проверяются на наличие сигнатур атаки. Сигнатура атаки – это соответствие события одному из образцов, описывающих известную атаку. Этот метод достаточно эффективен, поскольку при его использовании сообщения о ложных атаках достаточно редки.

Слайд 49

Подвиды IDS по методу выявления атак

Метод аномалий.
При его помощи обнаруживаются неправомерные действия

Подвиды IDS по методу выявления атак Метод аномалий. При его помощи обнаруживаются
в сети и на хостах. На основании истории нормальной работы хоста и сети создаются специальные профили с данными про это. Потом в игру вступают специальные детекторы, которые анализируют события. При помощи различных алгоритмов они производят анализ этих событий, сравнивая их с «нормой» в профилях. Отсутствие надобности накапливать огромное количество сигнатур атак – несомненный плюс этого метода. Однако немалое количество ложных сигналов про атаки при нетипичных, но вполне законных событиях в сети – это несомненный его минус.

Слайд 50

Подвиды IDS по методу выявления атак

Метод политик.
Еще одним методом выявления атак является

Подвиды IDS по методу выявления атак Метод политик. Еще одним методом выявления
метод политик. Суть его – в создании правил сетевой безопасности, в которых, к примеру, может указываться принцип взаимодействия сетей между собой и используемые при этом протоколы. Этот метод перспективен, однако сложность заключается в достаточно непростом процессе создания базы политик.

Слайд 51

IPS – следующий этап IDS

IPS (intrusion prevention system)
IPS расшифровывается как "предотвращение вторжения

IPS – следующий этап IDS IPS (intrusion prevention system) IPS расшифровывается как
в систему". Это расширенные, более функциональные разновидности IDS. IPS IDS системы реактивны (в отличие от обычной). Это означает, что они могут не только выявлять, записывать и оповещать об атаке, но также и выполнять защитные функции. Эти функции включают сброс соединений и блокировку поступающих пакетов трафика. Еще одной отличительной чертой IPS является то, что они работают в режиме онлайн и могут автоматически заблокировать атаки.
Группа компаний ID Systems на сегодняшний день является одним из лидеров рынка в области создания систем безопасности для компьютерных сетей.

Слайд 52

Snort IDS. Пример Emerging Правила для категории EXPLOITS

alert tcp $EXTERNAL_NET any ->

Snort IDS. Пример Emerging Правила для категории EXPLOITS alert tcp $EXTERNAL_NET any
$HOME_NET 8888 (msg:"ET EXPLOIT CloudMe Sync Buffer Overflow"; flow:established,to_server; content:"|fe e7 d1 61 a8 98 03 69 10 06 e7 6f 6f 0a c4 61 5a ea c8 68 e1 52 d6 68 a2 7c fa 68 ff fd ff ff|"; fast_pattern; distance:0; content:"|92 70 b4 6e 47 27 d5 68 ff ff ff ff bc 48 f9 68|"; distance:0; content:"|3c 06 f8 68 72 a4 f9 68 c0 ff ff ff 92 70 b4 6e|"; distance:0; content:"|ab 57 f0 61 a3 ef b5 6e d1 14 dc 61 0c ed b4 64 45 62 ba 61|"; distance:0; content:"|90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90|"; distance:0; metadataA: former_category EXPLOIT; reference:url,exploit-db.com/exploits/44784/; reference:cve,2018-6892; classtype:attempted-admin; sid:2025766; rev:2; metadata:attack_target Server, deployment Perimeter, signature_severity Major, created_at 2018_06_29, performance_impact Low, updated_at 2018_07_18;)

Слайд 53

Snort IDS. Пример реакции.

03/21-18:49:25.612796 [**] [1:2023672:2] ET TROJAN JS/WSF Downloader Dec 08

Snort IDS. Пример реакции. 03/21-18:49:25.612796 [**] [1:2023672:2] ET TROJAN JS/WSF Downloader Dec
2016 M4 [**] [Classification: A Network Trojan was Detected] [Priority: 1] {TCP} 50.63.125.1:80 -> 192.168.22.94:49161
03/21-18:49:25.612796 [**] [1:2023671:2] ET TROJAN JS/WSF Downloader Dec 08 2016 M3 [**] [Classification: A Network Trojan was Detected] [Priority: 1] {TCP} 50.63.125.1:80 -> 192.168.22.94:49161
03/21-18:49:26.107358 [**] [1:2024035:2] ET TROJAN WS/JS Downloader Mar 07 2017 M1 [**] [Classification: A Network Trojan was Detected] [Priority: 1] {TCP} 192.168.22.94:49161 -> 50.63.125.1:80
03/21-18:49:26.178233 [**] [1:2017399:6] ET WEB_SERVER WebShell Generic eval of base64_decode [**] [Classification: A Network Trojan was Detected] [Priority: 1] {TCP} 50.63.125.1:80 -> 192.168.22.94:4916

Слайд 54

Спасибо за внимание!

Спасибо за внимание!

Слайд 55

Тестирование на проникновение. Схемы и техники проведения тестирования

Тестирование на проникновение. Схемы и техники проведения тестирования

Слайд 56

Рассмотрим следующие этапы тестирования защищенности, присутствующие в практически любом проекте по тестированию

Рассмотрим следующие этапы тестирования защищенности, присутствующие в практически любом проекте по тестированию
на проникновение:

Постановка задачи
Сбор информации и поиск целей
Поиск уязвимостей
Эксплуатация и проведение атак
Расширение зоны влияния и эскалация привилегий
Разработка отчета

Слайд 57

Этап 1. Постановка задачи

Тестирование защищенности любой ИТ-инфраструктуры начинается с постановки задачи. В

Этап 1. Постановка задачи Тестирование защищенности любой ИТ-инфраструктуры начинается с постановки задачи.
нашем случае мы ограничимся поиском максимального количества реальных уязвимостей, которые могут быть проэксплуатированы потенциальными злоумышленниками, имеющими физический доступ к компьютерной сети организации.

Слайд 58

Этап 2. Сбор информации и поиск целей

Для проведения тестирования защищенности специалистам предоставляют

Этап 2. Сбор информации и поиск целей Для проведения тестирования защищенности специалистам
доступ в сеть предприятия. В ходе предварительного сбора проводится сканирование узлов, определяются имена компьютеров, обнаруживаются общедоступные сетевые папки, критичные ресурсы.

Слайд 59

Этап 3. Поиск уязвимостей

Этап 3. Поиск уязвимостей

Слайд 60

Этап 4. Эксплуатация и проведение атак

Для эксплуатации уязвимостей в сетевых сервисах и

Этап 4. Эксплуатация и проведение атак Для эксплуатации уязвимостей в сетевых сервисах
прикладном ПО используются эксплойты из раздела exploit Metasploit Framework. На текущий момент в Metasploit Framework количество готовых к использованию эксплойтов уже приближается к двум тысячам. Подходящие эксплойты можно найти с помощью команды search по коду CVE, названию или версии сервиса (например, search vsftpd).

Слайд 61

Этап 5. Расширение зоны влияния и эскалация привилегий

Зачастую наличие доступа к какой-либо

Этап 5. Расширение зоны влияния и эскалация привилегий Зачастую наличие доступа к
системе позволяет расширить его на другие системы. Иногда возможна и эскалация привилегий, позволяющая обычному пользователю стать администратором.
Рассмотрим две типовые ситуации, знание которых облегчает проведение тестирования защищенности.
Пользователи, использующие одинаковые пароли
Пользователи любят использовать одинаковые пароли в различных системах, поэтому целесообразно проверять однажды подобранные пары логин: пароль во всех доступных системах.

Слайд 62

ИТ-специалисты, забывающие удалить из тестовой среды критичные данные
В крупных организациях у серьезных

ИТ-специалисты, забывающие удалить из тестовой среды критичные данные В крупных организациях у
систем, как правило, имеется тестовая среда, на которой отрабатываются изменения, обучаются пользователи и т.п. Тестовые среды очень часто создаются путем восстановления из резервных копий боевых сред, при этом, так как они являются тестовыми, то не всегда уделяется должное внимание вопросам информационной безопасности. Так, например, могут создать учетную запись администратора с легко угадываемым паролем либо не установить критичные обновления операционной системы. Специалисты по тестированию защищенности, получив доступ к тестовой среде, выгружают данные пользователей (логины/хеши паролей), которые в основной своей массе соответствуют тем, что используются в боевой системе.

Слайд 63

Этап 6. Разработка отчета

Если результаты тестирования защищенности интересуют не только самого системного

Этап 6. Разработка отчета Если результаты тестирования защищенности интересуют не только самого
администратора, то имеет смысл подготовить качественный отчет.
Основной составляющей отчета является информация об уязвимостях, которая, как правило, представляется в следующем структурированном виде:
обнаружение – информация о названии уязвимости, ее кодах, перечень узлов, подверженных ей.
эксплуатация – скриншоты и журналы, демонстрирующие эксплуатацию уязвимости;
риск – к чему может привести эксплуатация уязвимости;
рекомендации – рекомендации технического и организационного характера по устранению уязвимости.

Слайд 64

Спасибо за внимание!

Спасибо за внимание!

Слайд 65

 Расследование инцидентов blue teaming

Расследование инцидентов blue teaming

Слайд 66


Red Team (атакующая сторона) – позволяет проводить реальные кибератаки с целью тренировки

Red Team (атакующая сторона) – позволяет проводить реальные кибератаки с целью тренировки
и оценки эффективности людей, процессов и технологий, используемых для защиты информационной инфраструктуры. Цель — повышение готовности и способности организации реагировать на атаки до того, как они произойдут в действительности.
Blue Team (обороняющаяся) - Защищает инфраструктуру за счет реализации процессов и технологий имеющихся средств защиты. Совершенствует навыки выявления вторжений в инфраструктуру и эффективность отражения сложных атак.
Purple Team – термин используется для описания красной и синей команд, работающих в унисон. Эти группы обмениваются информацией и идеями, чтобы повысить общую безопасность организации.

 
Термины

Слайд 67

 
Blue Team решаемые задачи


Выявление слабых мест до того, как это сделают

Blue Team решаемые задачи Выявление слабых мест до того, как это сделают
злоумышленники
Приобретение опыта реагирования на реальные инциденты без рисков и потерь
Определение критических данных в зоне риска и способов получения к ним доступа злоумышленниками

Слайд 68

 
Blue Team особенности работ


Отсутствуют ограничения в средствах достижения цели
Проводится встреча команд

Blue Team особенности работ Отсутствуют ограничения в средствах достижения цели Проводится встреча
Red и Blue для подробного анализа событий, предпринятых и обнаруженных векторов атак и эффективности мер противодействия
Применяются сценарии проведения операций

Слайд 69

 
Blue Team общие навыки


Полное понимание стратегии безопасности организации в отношении людей, инструментов и технологий.
Навыки

Blue Team общие навыки Полное понимание стратегии безопасности организации в отношении людей,
анализа для точного определения наиболее опасных угроз и определения приоритетности ответных мер
Методы усиления защиты для уменьшения поверхности атаки, особенно в том, что касается системы доменных имен (DNS), для предотвращения фишинговых атак и других методов взлома через Интернет.
Хорошая осведомленность о существующих средствах и системах обнаружения безопасности и механизмах их оповещения.

Слайд 70

 
Blue Team построение работы

Проведение DNS-исследования
Проведение цифрового анализа для определения базовой сетевой активности и более легкого

Blue Team построение работы Проведение DNS-исследования Проведение цифрового анализа для определения базовой
выявления необычной или подозрительной активности.
Обзор, настройка и мониторинг программного обеспечения безопасности во всей среде
Обеспечение надлежащей настройки и актуальности методов защиты периметра , таких как брандмауэры, антивирусное и антивирусное программное обеспечение
Использование доступа с минимальными привилегиями , что означает, что организация предоставляет самый низкий уровень доступа, возможный для каждого пользователя или устройства, чтобы помочь ограничить боковое перемещение по сети в случае нарушения
Использование микросегментации , техники безопасности, которая включает разделение периметров на небольшие зоны для обеспечения отдельного доступа к каждой части сети.

Слайд 71

Blue Team навыки команды


Организованность и детализация
Анализ кибербезопасности и профиль угроз
Методы закалки
Знание

Blue Team навыки команды Организованность и детализация Анализ кибербезопасности и профиль угроз
систем обнаружения
SIEM

Слайд 72

Специализированное ПО


Cobalt Strike - это фреймворк для проведения тестов на проникновение.

Специализированное ПО Cobalt Strike - это фреймворк для проведения тестов на проникновение.
Продвинутая система встроенного скриптового языка позволяет проводить наиболее эффективные атаки.
Dradis Framework является платформой с открытым исходным кодом для упрощения совместной работы и отчетности в области информационной безопасности. Dradis является автономным веб-приложением, которое обеспечивает централизованное хранение информации.
Faraday IDE — самая мощная среда для совместной работы, true multiplayer penetration testing. Работает в режиме реального времени, моментально обрабатывая результаты, присланные тем или иным пентестером.
Nessus Один из самых популярных сканеров уязвимостей, разработанный компанией Tenable Network Security.
OpenVAS (Open Vulnerability Assessment System, Открытая Система Оценки Уязвимости, первоначальное название GNessUs) фреймворк состоящий из нескольких сервисов и утилит, позволяющий производить сканирование узлов сети на наличие уязвимостей и управление уязвимостями.
GoPhish OpenSource фреймворк для фишинга. Позволяет проводить массированные фишинговые атаки.

Слайд 73

 СПАСИБО ЗА ВНИМАНИЕ!

СПАСИБО ЗА ВНИМАНИЕ!

Слайд 74

Подготовка к тестированию и сбор информации

Подготовка к тестированию и сбор информации

Слайд 75

Подготовка к тестированию (Разведка)

Различные учебные пособия по безопасности объясняют процесс тестирования

Подготовка к тестированию (Разведка) Различные учебные пособия по безопасности объясняют процесс тестирования
по-разному, но в целом весь процесс можно разделить на следующие шесть этапов.

Слайд 76

Подготовка к тестированию(Разведка)

Сбор информации и знакомство с целевыми системами - это

Подготовка к тестированию(Разведка) Сбор информации и знакомство с целевыми системами - это
первый процесс тестирования.
Разведка - это набор процессов и методов, используемых для скрытого обнаружения уязвимостей и сбора информации о целевой системе.
Во время разведки собирается как можно больше информации о целевой системе, следуя семи шагам:
Сбор исходной информации (Black box, White box, Grey box);
Определение адреса сети (диапазона сети для тестирования);
Определение активных хостов;
Определение открытых портов и точек доступа (ssh, telnet,…);
Определение OS;
Определение открытых служб на открытых портах;
Построение карты сети.

Слайд 77

Подготовка к тестированию (Разведка)

Существует два вида разведки - активная разведка и

Подготовка к тестированию (Разведка) Существует два вида разведки - активная разведка и
пассивная разведка.
Активная Разведка
Непосредственное взаимодействие с компьютерной системой для получения информации. Эта информация может быть актуальной и точной. Есть риск быть обнаруженным, если планируется активная разведка без соответствующих разрешений. В случае обнаружения системный администратор целевой системы может принять серьезные меры против таких действий и применить меры, чтобы отслеживать последующие противоправные действия.
Пассивная Разведка
В этом процессе нет прямого подключения к компьютерной системе. Этот процесс используется для сбора необходимой информации, при этом никогда нет взаимодействия с целевыми системами напрямую.

Слайд 78

Сбор информации (Сканирование)

Сканирование используется для сбора возможной информации о целевой компьютерной

Сбор информации (Сканирование) Сканирование используется для сбора возможной информации о целевой компьютерной
системе или сети.
Сканирование может быть как пассивными, так и активными.
Просмотр веб-сайта компании является примером пассивного сканирования, в то время как попытка получить доступ к конфиденциальной информации с помощью социальной инженерии является примером активного сканирования.
Сканирование - это первый шаг, на котором собирается как можно больше информации, чтобы найти способы проникновения в целевую систему или, по крайней мере, решить, какой тип атак будет более подходящим для целевой системы.

Слайд 79

На этом этапе собирается следующая информация:
Доменное имя;
IP-адреса;
Пространства имен;
Информация о сотрудниках;
Номера телефонов;
Электронная почта;
Информация

На этом этапе собирается следующая информация: Доменное имя; IP-адреса; Пространства имен; Информация
о деятельности (предназначении) системы.
PS: Далее используются различные техники по сбору информации ( можно просмотреть курс по Этичному хакингу [ от Специалист’а])

Сбор информации (Сканирование)

Слайд 80

Спасибо за внимание!

Спасибо за внимание!

Слайд 81

Фаза непрерывного тестирования на проникновение

Фаза непрерывного тестирования на проникновение
Имя файла: Metasploit-Framework.-Системы-обнаружения-вторжений-(СОВ)-IDS/IPS.-Тестирование-на-проникновение.pptx
Количество просмотров: 79
Количество скачиваний: 0