Автор: Jeremy Trinka

Давайте спробуємо типову ситуацію, в якій знаходиться пентестер.

У п'ятницю пополудні дзижчання ноутбуків не чути ритмічною музикою з навушників, підключених до смартфону. Знайдений хеш досі не зламаний, а комп'ютер, де відбувається весь процес, який не вимикався з ранку вівторка. Друга банку енергетика вдарилася об край сміттєвого кошика.

Випрасуваний повсякденно-діловий костюм, який ви змушені носити, починає сковувати ваш подих, оскільки всередині зароджується розчарування. До того моменту, коли вам потрібно повідомити клієнту про результати роботи залишається кілька годин, однак немає ніякого бажання з'являтися в офісі до того, як завдання не буде вирішена повністю.

Зробіть глибокий вдих. Настав час відкласти роботу, повернутися в початок і спробувати поглянути на поточну ситуацію під новим кутом зору.

За часів Backtrack і ранніх версій Kali Linux на фоновому зображенні робочого столу, використовуваному за замовчуванням, висів наступний слоган: «Тим тихіше ви стаєте, тим більше зможете почути» (який краще було б швидко поміняти, щоб не привертати до себе увагу). Тільки після того, як я став професійним пентестером, я зрозумів мудрість цього вислову. Оскільки технології безперервно розвиваються, як тільки ви проникли в чужу мережу, то повинні в найкоротші терміни розібратися, як влаштована ця мережа. На жаль, у більшості мережевих і системних адміністраторів, як і у звичайних людей, є звички, і щоб знайти щось цікаве і має вартість, все, що нам потрібно - просто зачаїтися і слухати.

Коли мова заходить про тестування на проникнення, починається протистояння між двома угрупованнями. З одного боку, пентестер хоче знайти вразливість, з іншого - системний адміністратор хоче показати, що система стійка до кібератаки. У деякому роді ця тема схожа зі змаганнями з аматорського футболу, які спонсорує пивним пабом. Після гри учасники обох команд проводять час в барі, але спрагу виграшу і успіху ніхто не відміняв. Різниця між футболом і пентестом в тому, що в спортивній грі правила прозорі, і всі учасники знають про стратегію досягнення результатів.

Поза всяким сумнівом, завдання пентестера полягає в тому, щоб безпечно симулювати легітимну загрозу з метою визначення ризиків. Однак без досконального розуміння ситуації складно придумати хороші ліки. Сунь-Цзи одного разу сказав:

«Якщо ви не знаєте ні супротивника, ні себе, то будете програвати кожну битву».

Щоб убезпечити мережу від кіберзагроз кожен адміністратор повинен бути знайомий не тільки зі своїми інструментами, але інструментами противника (по крайней мере, на інформаційному рівні). Перебувати в темряві - не найоптимальніший шлях.

Вступ

У цій статті в основному я спробую дати відповідь на питання «чому», і торкнуся відповіді на питання «як». Існує безліч всяких відео і посібників, де розповідається про те, як використовувати інструменти, і взагалі наводиться набагато більше інформації, ніж можна вмістити в одну статтю. Крім того, я допускаю, що у інших фахівців може бути інша думка щодо згадуваних утиліт. Наведений тут список далеко не повний. Якщо ваша думка відрізняється про мого, я буду радий почитати ваші коментарі.

Тепер переходимо безпосередньо до опису інструментів.

1. Responder

На мій погляд, ця утиліта знаходиться на чолі списку. Коли дослідник починає свою роботу і починає розмову про «обмеженої функціональності», цей інструмент - перше, що спадає на думку. Якщо ви - пентестер, то після підключення до мережі і початку пошуку вразливостей, Responder - перша утиліта, якій потрібно скористатися. Суть роботи Responder зводиться до прослуховування трафіку і модифікації відповідей в наступних протоколах:

У Responder є й інші можливості, але я приділю увагу тільки цим трьом протоколами.

Якщо ви працюєте системним адміністратором, то можливо щось чули про ці протоколи, але не зможете згадати звідки. Ви могли бачити згадки цих понять у навчальній літературі від Microsoft, яка вже давно втратила актуальність, або, в залежності від того, як довго ви в темі, могли налаштовувати ці протоколи.

NBT-NS - протокол-пережиток минулого, залишений Microsoft з метою сумісності, щоб додатки, де використовується NetBIOS, могли працювати в мережах TCP / IP. Протокол LLMNR схожий з DNS і спирається на багатоадресні (multicast) однорангові (peer-to-peer) комунікації для перетворення імен. Цей протокол з'явився за часів Windows Vista, що, як ми розуміємо, не може обіцяти нічого хорошого. Навіть якщо ви ніколи не стикалися ні з одним з вищезазначених понять, пакети даних протоколів поширюються по мережі, про що чудово обізнані зловмисника як реальні, так і вигадані.

З іншого боку, протокол WPAD вирішує цілком конкретні завдання. У більшості корпоративних мереж використовується автоматичне конфігурування проксі-сервера (PAC) з метою контролю доступу хостів до інтернету. І WPAD дозволяє здійснювати цей контроль щодо просто. Комп'ютери в мережі посилають широковещательное повідомлення в пошуках файлу, використовуваного протоколом WPAD, і автоматичної настройки проксі. І саме в цей момент може здійснюватися шкідлива діяльність.

Фахівці з кібербезпеки добре знають, що більшість протоколів, де використовується широкомовні і багатоадресні комунікації в будь-якій формі, мають уразливості. Якщо подивитися з позиції зловмисника, то один з найбільш поширених кейсів - крадіжка облікових записів і злом хешів, отриманих після ініціації або повторного використання «рукостискань».

На жаль, системні адміністратори в основному приділяють увагу нескінченного списку завдань, пов'язаних з працездатністю системи. Для особливо зайнятих існують прості методи захисту від подібного роду кіберзагроз, суть яких зводиться до відключення відповідних протоколів. Для передачі файлу, пов'язаного з автоматичним настроюванням проксі-сервера, необхідно використовувати більш безпечні методи, як, наприклад, групові політики. Розумію, що спокуса скористатися автоматичним детектуванням налаштувань досить великий, однак намагайтеся уникати подібного роду фішок.

2. PowerShell Empire

Перш, ніж утиліта Empire з'явилася в широких масах, пентестери користувалися інфраструктурою на базі C2-серверів, де агент повинен був розташовуватися на диску. Згодом подібні розробки ставали публічним надбанням, потрапляли в сервіс Virus Total, а потім в бази антивірусів. Звичайно, способи обходу антивірусів існували і існують, однак подібного роду трюки часто пов'язані з додатковими і вельми трудомісткими танцями з бубном. По суті, протистояння між вірусопісателямі і антивірусними компаніями представляло собою нескінченну гру в кішки-мишки. Подібний розклад був до того моменту, поки на горизонті не з'явився метод, що припускає використання безфайлові агентів, який багато в чому змінив правила гри.

Те, що відбулося можна порівняти з колективним підсвідомістю пентестеров, які в один момент прийшли до висновку, що найбільш просунутий інструментарій вже знаходиться на всіх сучасних робочих станціях по всьому світу. Залишилося тільки змайструвати фреймворк, що і зробила команда Empire.

У підсумку багато фреймворки і утиліти, що використовуються пентестерамі під час експлуатації і пост-експлуатації проломів, стали адаптуватися під PowerShell. Звичайно ж, реальні зловмисники також не могли обійти цю тему стороною.

Якщо поглянути на цю ситуацію з позиції системного адміністратора, цей факт означає рівно одне: деякі заходи безпеки можна легко обійти. Агенти, включаючи шкідливий, які не використовують файли, можна легко розгорнути на базі PowerShell. Подібного роду розробки існують виключно в пам'яті, що не зберігаються на жорсткому диску і не використовують USB ( хоча цей метод все ще залишається робочим ). В наші дні все більше шкідливий мешкають виключно в пам'яті. В кінці даного документа наводиться посилання на статтю, де ця тема висвітлюється більш докладно. Як підсумок, більшість антивірусів, чий функціонал заточений під сканування файлів на диску, стають все менш ефективними. В результаті фокус починає зміщуватися на пошук джерела інфекції, який, найчастіше, знаходиться в макросах часто мінливих офісних файлів (Word / Excel).

Найкращий метод захисту від безфайлові шкідливий - або Applocker або будь-яке інше додаток, яке підтримує білі списки програм. Звичайно, складання білого списку може зайняти деякий час і, ймовірно вимагатиме втручання керівництва вашої компанії, проте в цілому безпеку робочих станцій рухається в цьому напрямку. Таким чином, використовуючи дану технологію, ви опинитеся на вістрі сучасних тенденцій.

Крім того, не зайвим буде проаналізувати, як використовується PowerShell у вашій системі. Чи можуть звичайні користувачі використовувати цей інструмент, і якщо так, то чому?

Коли мова заходить про запобігання загроз, дозвольте мені відразу ж заощадити вам багато часу. Обмеження, пов'язані з політикою виконання в PowerShell, легко обходяться (див. Прапор «-ExecutionPolicy Bypass»).

3. Hashcat і словники

Ця солодка парочка перебуває в моєму списку абсолютно заслужено. Злом хешів і відновлення паролів - досить зрозуміла тема, тому я не буду приділяти цьому питанню багато часу.

Hashcat - зломщик паролів, що дозволяє працювати в зв'язці графічними процесорами і підтримує безліч форматів. Зазвичай використовується разом з хешамі, отриманими утилітою Responder. Крім Hashcat обов'язково потрібно мати USB-диск і кілька гігабайт словників. Перебором паролів по словнику я користуюся під час кожного пентеста, але тут є один нюанс. Оскільки злом паролів може зайняти тривалий час, слід вибирати оптимальне поєднання між витраченим часом і передбачуваним результатом.

Пентестери, якщо ви підбираєте паролі за допомогою одного ноутбука, то це неправильний підхід. Потрібно хоча б два. Плюс хороший графічний процесор для підвищення ймовірності успіху.

Сисадміни, зробіть ревізію своїх політик і конфігурацій. Хороша практика - слідувати індустріальним стандартам як, наприклад, DISA STIG . Стандарти, на зразок DISA STIG, підтримують безліч операційних систем і програмного забезпечення, а також містять ключові конфігурації, що дозволяють захиститися від автономного злому паролів і атак, пов'язаних з повторним відтворенням (replay attack). Сюди ж можуть входити політики паролів, рекомендованих Національним інститутом стандартів і технологій (NIST), нестандартні схеми аутентифікації і багато іншого. У стандарті DISA навіть передбачені шаблони групових політик , Які можуть бути імпортовані і адаптовані під ваші потреби, що значно економить час. До сих пір використовуєте NTLMv1? Паролі менше 8 символів? Тоді знайте, що ваша система дуже вразлива.

4. Інструменти для тестування веб-додатків

Якщо ви - пентестер, то, ймовірно, ще раз почуєте прописну істину. Для всіх інших хотів би сказати, що утиліти для тестування веб-додатків і сканери вразливостей - не одне й те саме.

Безсумнівно, сканери вразливостей ( Nessus , Nexpose , Retina і т. д.) можуть мати функціонал, пов'язаний з тестуванням веб-додатків, а інструменти тестування можуть мати функції сканера, однак я все ж рекомендую уникати універсальності і не використовувати якийсь один клас утиліт у всіх випадках. Інструменти тестування більше заточені під роботу на рівні додатків, а не на рівні служб і протоколів. Використовуйте цей клас утиліт для тестування сторінок у внутрішніх і зовнішніх мережах. З іншого боку, сканери вразливостей більше підходять для тестування і оцінки безпеки портів, протоколів і служб.

У наші дні багато організацій впроваджують корпоративні веб-додатки, інтранет-сайти і системи звітності. Передбачається, що раз сайт використовується виключно для внутрішніх потреб, то немає необхідності проводити дослідження коду на предмет безпеки, і можна давати доступ всім користувачам. Такий підхід призводить до того, що рано чи пізно знаходяться уразливості, придатні для експлуатації.

Особисто я під час пентестов спочатку намагаюся знайти явні уразливості, пов'язані неправильної конфігурацією служб і хостами із застарілим програмним забезпеченням. Якщо пошуки не увінчалися успіхом, я піднімаюся на рівень вище і приступаю до тестування веб-додатки. Оскільки ця область надзвичайно велика, завжди можна знайти що-небудь компрометує. Ось деякі класи проломів, які знаходяться найбільш часто:

Якщо ви працюєте системним адміністратором в організації, де використовуються внутрішні веб-додатки, проаналізуйте, наскільки часто відбувається ревізія коду. Повторне використання коду стає причиною проблем особливо тоді, коли відбувається імпорт з невідомих джерел разом з дірками безпеки і потенційно шкідливими функціями. Більш того, останнім часом методологія «Always Be Shipping» (Завжди будьте мобільними) все частіше використовується при розробці програмного забезпечення. Суть цієї технології полягає в тому, що основний упор робиться на отримання функціонального коду замість допущення, що проломи завжди можуть існувати.

Ознайомтеся з проектом OWASP , Який повністю сфокусований на безпечній розробці додатків. Проаналізуйте життєвий цикл розробки програмного забезпечення (Software Development Lifecycle; SDLC) на предмет того, чи присутні там блоки, пов'язані з тестуванням безпеки додатків. У проекті OWASP даються деякі рекомендації щодо цієї теми.

Ознайомтеся з двома методологіями тестування додатків:

Крім того, рекомендую хоча б раз в квартал перевіряти додатки за допомогою різних утиліт і сканерів: Burp Suite Pro , OWASP Zed Attack Proxy (ZAP) , Acunetix , Trustwave і т.д.

5. Arpspoof і Wireshark

Спочатку статті я згадав про те, що потрібно поглянути на ситуацію під новим кутом зору. Цей зв'язок двох посад утиліт якраз пояснює те, що малося на увазі.

Arpspoof дозволяє пентестеру виявитися між жертвою і шлюзом, а Wireshark дає можливість перехопити пакети з інтерфейсу для подальшого аналізу. Грубо кажучи, під час пентеста ви перенаправляє трафік від жертви (наприклад, з робочої станції) і далі аналізуєте вміст перехопленої інформації. Іноді досить зрозуміти, хто бере участь в комунікації, і перехопити деякі дані у відкритому вигляді, щоб отримати щось цікаве.

З того моменту як була представлені перші теоретичні концепції, MiTM-атаки (типу «людина посередині) до сих пір залишаються ефективними в сучасних мережах. З огляду на, що на даний момент в переважній більшості внутрішніх мереж використовується протокол IPv4 (подібний стан речей зміниться ще не скоро) і архітектуру протоколу ARP, традиційні MiTM-атака буде залишатися актуальною.

Багато хто помилково припускають, що, якщо комунікації відбуваються всередині мережі, цей факт дає гарантію безпеки, і немає необхідності використовувати шифрування всередині підмереж. Навіть якщо ваша мережа знаходиться поза інтернетом, ніхто не гарантує, що зловмисник не зможе проникнути ззовні і підключитися до ваших комунікацій.

Розмірковуючи в тій же самій парадигмі, можна припустити, що робоча станція буде скомпрометована зловмисником з іншої країни за допомогою трояна, що дозволяє здійснити MiTM-атаку. Альтернативний і більш реалістичний сценарій пов'язаний з інсайдерською загрозою. Наприклад, співробітник, який має технічні пізнання і не дуже чисті помисли, ознайомився з декількома відео на Youtube і вирішив підкотити до секретарки, до якої раптом «раптово» спалахнули симпатії. Загрози, пов'язані з інсайдерами актуальні особливо в тих організаціях, керівники яких добре відомі і дуже багаті. Пам'ятайте, що заздрість часто штовхає людей на необдумані вчинки.

Тепер поговоримо про методи захисту.

Шифруйте комунікації навіть у внутрішніх мережах. Помилково припускати, що комунікації всередині мережі захищені просто тому, що шлюз не підключений до інтернету. Всі програми, що працюють за схемою клієнт-сервер, по можливості повинні шифрувати свої комунікації.

VLAN-сегменти повинні бути правильно спроектовані, а вся мережа повинні бути захищена від неавторизованих пристроїв. Можливо, слід впровадити систему управління мережевим доступом (Network Access Control; NAC) або стандарт 802.1X. Вимкніть невикористовувані порти і подумайте про Sticky MAC-адресах, якщо у вас обмежений бюджет.

Чи заміслюваліся ви коли-небудь про тестування IDS-системи? Існують даже безкоштовні Вимоги варіанти з відкрітім віхіднім кодом, что дозволяють оцініті ефективність. например, Security Onion . Правила IDS-систем прізначені для Виявлення аномальної мережевої актівності, яка, например, может свідчіті про СПРОБА реалізуваті атаку, пов'язану з отруєнням ARP-кешу (ARP poisoning). Спробуйте впровадіті у собі подібного роду кошти, если у вас є потрібні ресурси І, Звичайно, одобрения начальства. В якості пробного Кроку такоже можна спробуваті системи Honeypot. Тут також доступні варіанти з відкритим вихідним кодом. например, Honeyd .

нумератори піддоменів

Нумератори піддоменів (subdomain enumerator) я вирішив виділити окремо, оскільки ця тема повноцінно не перетинається з жодною з перерахованих вище утиліт, але заслуговує розгляду. Якщо ви читаєте канал r / netsec , То, ймовірно, помітили, що останнім часом з'явилося багато нумераторів і брутефорсеров піддоменів.

Чому ця тема актуальна?

Незалежно від того, хто намагається проникнути в вашу мережу, найнятий пентестер або зловмисник, розвідка займає 80% часу, і зазвичай перший крок пов'язаний з перебором піддоменів. Зловмиснику навіть не потрібно торкатися вашої системи, щоб зрозуміти точки дотику зі всесвітньою павутиною. утиліти на зразок Fierce значно спрощують цю роботу.

Сисадміни, якби я вас запитав, наскільки ваша система видима з інтернету, змогли б ви відповісти мені на це питання? Які порти і протоколи доступні з «дикої природи»? Чи доступні веб-консолі? Запустіть пошук по базі Whois для головного домену, який використовується вашою організацією і зареєстрованого у популярного реєстратора ( Network Solutions , GoDaddy , і т.д.). За результатами пошуку проаналізуйте отримані імена, поштові та електронні адреси. Якщо в списку виявляться справжні імена і адреси, то цієї інформації вже може бути досить для зловмисників. Наприклад, через пошукову систему Shodan можна знайти всі доступні пристрої. Введіть зовнішні IP-адреси в пошуковій системі і погляньте на отримані результати, які доступні кожному.

Наведу приклад. Якщо ви - системний адміністратор і не знайомі з Фініасом Фішером (Phineas Fisher), я не здивуюся. Але якщо ви - пентестер, і не знаєте, хто ця людина, то вам повинно бути соромно.

У 2016 році фірма «Hacking Team», що розташовувалася в Мілані, була відома як виробник кібер-зброї для урядів по всьому світу. Ці друзі були зламані людиною під псевдонімом, зазначеним вище. В результаті стався витік величезного обсягу даних, і з'явилася одна з найбільш ґрунтовних статей, присвячених реальним зломів . Погляньте на Крок 2, зазначений в тій замітці, який називається «Subdomain Enumeration» (перерахування піддоменів). Я не буду коментувати етичність даного заходу, але незалежно від того, на якій стороні ви перебуваєте, деталі, описані Фініасом Фішером, представляють величезну цінність для фахівців з безпеки і системних адміністраторів і дозволяють зрозуміти, як мислить зловмисник.

Сунь-Цзи сказав наступне:

«Якщо ви знаєте ворога і себе, вам не потрібно турбуватися про результат сотні битв».

Інтерпретацію цього вислову залишаю на ваш розсуд.