Cisco CyberOps Associate - Atakujący i ich narzędzia

1. Jesteśmy atakowani, a atakujący chcą uzyskać dostęp do naszych zasobów. Zasoby to wszystko, co ma wartość dla organizacji, takie jak dane i inne własności intelektualne, serwery, komputery, smartfony, tablety i wiele innych.

Pojęcia:

  • Zagrożenie: Potencjalne niebezpieczeństwo dla zasobu, takiego jak dane lub sama sieć.
  • Wrażliwość: Słabość w systemie lub jego projekcie, którą można wykorzystać zagrożenie.
  • Powierzchnia ataku: To suma podatności w danym systemie, które są dostępne dla atakującego. Powierzchnia ataku opisuje różne punkty, w których atakujący mogą dostać się do systemu i wydobyć z niego dane. Na przykład Twój system operacyjny i przeglądarka internetowa mogą wymagać łatek zabezpieczeń. Oba są podatne na ataki i są wystawione w sieci lub w Internecie. Razem tworzą powierzchnię ataku, którą aktor zagrożenia może wykorzystać.
  • Eksploitacja: Mechanizm wykorzystywany do wykorzystania wrażliwości w celu naruszenia zasobu. Eksploity mogą być zdalne lub lokalne. Eksploit zdalny działa przez sieć bez wcześniejszego dostępu do docelowego systemu. Atakujący nie potrzebuje konta w systemie docelowym, aby wykorzystać wrażliwość. W przypadku eksploitacji lokalnej aktor zagrożenia ma pewien rodzaj dostępu użytkownika lub administracyjnego do systemu końcowego. Eksploitacja lokalna niekoniecznie oznacza, że atakujący ma fizyczny dostęp do systemu końcowego.
  • Ryzyko: Prawdopodobieństwo, że konkretne zagrożenie wykorzysta określoną wrażliwość zasobu i spowoduje niepożądane konsekwencje.

Zarządzanie ryzykiem to proces, który równoważy koszty operacyjne związane z zapewnianiem środków ochrony zyskami osiągniętymi dzięki ochronie zasobu. Istnieją cztery powszechnie stosowane sposoby zarządzania ryzykiem, jak pokazano w tabeli:

Strategia zarządzania ryzykiemWyjaśnienie
Akceptacja ryzykaTo sytuacja, w której koszty opcji zarządzania ryzykiem przewyższają koszty samego ryzyka. Ryzyko jest akceptowane, a żadne działania nie są podejmowane.
Unikanie ryzykaOznacza unikanie jakiejkolwiek ekspozycji na ryzyko poprzez wyeliminowanie działalności lub urządzenia, które stanowi ryzyko. Wyeliminowanie działalności w celu uniknięcia ryzyka oznacza również utratę korzyści możliwych do uzyskania z tej działalności.
Redukcja ryzykaObejmuje zmniejszenie ekspozycji na ryzyko lub zmniejszenie wpływu ryzyka poprzez podjęcie działań mających na celu zmniejszenie ryzyka. Jest to najczęściej stosowana strategia łagodzenia ryzyka. Wymaga dokładnej oceny kosztów strat, strategii łagodzenia ryzyka i korzyści wynikających z operacji lub działalności, która jest zagrożona.
Transfer ryzykaCzęść lub całe ryzyko jest przenoszone na stronę trzecią (np. firma ubezpieczeniowa)

2. Określenie haker” to powszechny termin używany dla aktora zagrożenia. Jednak termin “haker” ma różne znaczenia, np:
  • Sprytny programista, zdolny do tworzenia nowych programów i wprowadzania zmian w istniejących programach, aby uczynić je bardziej wydajnymi.
  • Profesjonalista ds. sieci, wykorzystujący zaawansowane umiejętności programowania, aby zapewnić, że sieci nie są podatne na ataki.
  • Osoba próbująca uzyskać nieautoryzowany dostęp do urządzeń w Internecie.
  • Indywidualista uruchamiający programy, aby uniemożliwić lub spowolnić dostęp do sieci dla dużej liczby użytkowników lub uszkodzić lub zniszczyć dane na serwerach.
3. Rodzaje "hakerów":
  • Białe kapelusze (white hat hackers) to etyczni hakerzy, którzy wykorzystują swoje umiejętności programistyczne w celach dobrych, etycznych i zgodnych z prawem. Mogą przeprowadzać testy penetracyjne sieci w celu kompromitacji sieci i systemów, wykorzystując swoją wiedzę na temat systemów bezpieczeństwa komputerowego do odkrywania podatności sieci. Wrażliwości bezpieczeństwa są zgłaszane programistom i personelowi ds. bezpieczeństwa, którzy próbują naprawić wrażliwość przed jej wykorzystaniem. Niektóre organizacje nagradzają białych kapeluszy, gdy dostarczają informacji pomagających zidentyfikować podatności.
  • Szare kapelusze (grey hat hackers) to osoby, które popełniają przestępstwa i działają w sposób niekoniecznie etyczny, ale nie dla osobistego zysku ani w celu wyrządzenia szkody. Przykładem może być osoba, która kompromituje sieć bez zgody, a następnie publicznie ujawnia wrażliwość. Szare kapelusze mogą ujawnić wrażliwość organizacji po skompromitowaniu ich sieci. Pozwala to organizacji na naprawienie problemu.
  • Czarne kapelusze (black hat hackers) to nieetyczni przestępcy, którzy naruszają bezpieczeństwo komputerowe i sieci w celu osiągnięcia osobistych korzyści lub złośliwych celów, takich jak atakowanie sieci. Czarni kapelusze wykorzystują podatności, aby naruszyć systemy komputerowe i sieci.
4. Cyberprzestępcy to aktorzy zagrożenia, którzy motywowani są zarabianiem pieniędzy za wszelką cenę. Często działają niezależnie, ale częściej są finansowani i sponsorowani przez organizacje przestępcze. Działają w podziemnej gospodarce, gdzie handlują eksploitami, narzędziami oraz informacjami osobistymi i własnością intelektualną. Organizacje muszą działać i chronić swoje zasoby, użytkowników i klientów. Muszą opracować i stosować zadania z zakresu cyberbezpieczeństwa. 

5. Wiele ataków sieciowych można zapobiec, dzieląc się informacjami o wskaźnikach kompromitacji (IOC). Każdy atak ma unikalne identyfikowalne atrybuty. Wskaźniki kompromitacji to dowody, że atak miał miejsce. IOC mogą być cechami, które identyfikują pliki złośliwego oprogramowania, adresy IP serwerów używanych w atakach, nazwy plików i charakterystyczne zmiany wprowadzane do oprogramowania systemu końcowego, między innymi. IOC pomagają personelowi ds. cyberbezpieczeństwa zidentyfikować, co się stało podczas ataku i opracować obronę przeciwko atakowi. 

np.
Malware File - "studiox-link-standalone-v20.03.8-stable.exe" 
    sha256    6a6c28f5666b12beecd56a3d1d517e409b5d6866c03f9be44ddd9efffa90f1e0    
    sha1    eb019ad1c73ee69195c3fc84ebf44e95c147bef8    
    md5    3a104b73bb96dfed288097e9dc0a11a8     
DNS requests 
    domain    log.studiox.link     
    domain    my.studiox.link     
    domain    _sips._tcp.studiox.link     
    domain    sip.studiox.link     
Connections 
    ip    198.51.100.248     
    ip    203.0.113.82

Wskaźniki ataku (IOA) skupiają się bardziej na motywacji stojącej za atakiem i potencjalnych środkach, za pomocą których aktorzy zagrożeń mają lub będą kompromitować podatności, aby uzyskać dostęp do zasobów. IOA dotyczą strategii stosowanych przez atakujących. Z tego powodu, zamiast informować o odpowiedzi na pojedyncze zagrożenie, IOA mogą pomóc wygenerować proaktywne podejście do bezpieczeństwa. Wynika to z faktu, że strategie mogą być używane w wielu kontekstach i wielu atakach. Obrona przed strategią może zatem zapobiec przyszłym atakom, które wykorzystują tę samą lub podobną strategię.

6. Etyczne hakowanie polega na korzystaniu z wielu różnych typów narzędzi do testowania sieci i urządzeń końcowych. W celu walidacji bezpieczeństwa sieci i jej systemów opracowano wiele narzędzi do testowania penetracji sieci. Jednak wiele z tych narzędzi może być również wykorzystywane przez aktorów zagrożeń do eksploatacji.

7. Narzędzia:

Kategorie narzędziOpis
Narzędzia do łamania hasełHasła są najbardziej podatnym zagrożeniem dla bezpieczeństwa. Narzędzia do łamania haseł często nazywane są narzędziami do odzyskiwania haseł i mogą być używane do łamania lub odzyskiwania hasła. Jest to realizowane albo poprzez usunięcie oryginalnego hasła, po obejściu szyfrowania danych, albo poprzez bezpośrednie odkrycie hasła. Łamacze haseł wielokrotnie próbują zgadnąć hasło, aby uzyskać dostęp do systemu. Przykłady narzędzi do łamania haseł to John the Ripper, Ophcrack, L0phtCrack, THC Hydra, RainbowCrack i Medusa.
Narzędzia do hakowania sieci bezprzewodowychSieci bezprzewodowe są bardziej podatne na zagrożenia dla bezpieczeństwa sieci. Narzędzia do hakowania sieci bezprzewodowych są używane do celowego hakowania sieci bezprzewodowej w celu wykrycia luk w zabezpieczeniach. Przykłady narzędzi do hakowania sieci bezprzewodowych to Aircrack-ng, Kismet, InSSIDer, KisMAC, Firesheep i NetStumbler.
Narzędzia do skanowania i hakowania sieciNarzędzia do skanowania sieci są używane do sondowania urządzeń sieciowych, serwerów i hostów pod kątem otwartych portów TCP lub UDP. Przykłady narzędzi do skanowania to Nmap, SuperScan, Angry IP Scanner i NetScanTools.
Narzędzia do tworzenia pakietówNarzędzia do tworzenia pakietów są używane do sondowania i testowania odporności zapory na specjalnie przygotowane fałszywe pakiety. Przykłady takich narzędzi to Hping, Scapy, Socat, Yersinia, Netcat, Nping i Nemesis.
Snifery pakietówNarzędzia do przechwytywania pakietów są używane do przechwytywania i analizy pakietów w tradycyjnych sieciach LAN Ethernet lub WLAN. Narzędzia te obejmują Wireshark, Tcpdump, Ettercap, Dsniff, EtherApe, Paros, Fiddler, Ratproxy i SSLstrip.
Detektory rootkitówDetektor rootkitów to sprawdzarka integralności katalogów i plików używana przez białe kapelusze do wykrywania zainstalowanych rootkitów. Przykładowe narzędzia to AIDE, Netfilter i PF: OpenBSD Packet Filter.
Fuzzery do wyszukiwania podatnościFuzzery są narzędziami używanymi przez aktorów zagrożeń podczas prób odkrycia luk w zabezpieczeniach systemu komputerowego. Przykłady fuzzery to Skipfish, Wapiti i W3af.
Narzędzia do analizy śladówBiałe kapelusze używają narzędzi do analizy śladów, aby wywęszyć dowolny ślad dowodu istniejący w danym systemie komputerowym. Przykładowe narzędzia to Sleuth Kit, Helix, Maltego i Encase.
DebuggeryNarzędzia do debugowania są używane przez czarne kapelusze do inżynierii wstecznej plików binarnych podczas pisania exploitów. Są one również używane przez białe kapelusze podczas analizy złośliwego oprogramowania. Narzędzia do debugowania obejmują GDB, WinDbg, IDA Pro i Immunity Debugger.
Systemy operacyjne do hakowaniaSystemy operacyjne do hakowania to specjalnie zaprojektowane systemy operacyjne z wstępnie załadowanymi narzędziami i technologiami zoptymalizowanymi do hakowania. Przykłady specjalnie zaprojektowanych systemów operacyjnych do hakowania to Kali Linux, SELinux, Knoppix, Parrot OS i BackBox Linux.
Narzędzia do szyfrowaniaTe narzędzia chronią zawartość danych organizacji, gdy są one przechowywane lub przesyłane. Narzędzia do szyfrowania używają schematów algorytmów do kodowania danych, aby zapobiec nieautoryzowanemu dostępowi do danych. Przykłady tych narzędzi to VeraCrypt, CipherShed, Open SSH, OpenSSL, OpenVPN i Stunnel.
Narzędzia do wykorzystywania podatnościTe narzędzia identyfikują, czy zdalny host jest podatny na atak bezpieczeństwa. Przykłady narzędzi do wykorzystywania podatności to Metasploit, Core Impact, Sqlmap, Social Engineer Tool Kit i Netsparker.
Skanery podatnościTe narzędzia skanują sieć lub system w celu identyfikacji otwartych portów. Mogą być również używane do skanowania znanych podatności oraz skanowania maszyn wirtualnych, urządzeń BYOD i baz danych klientów. Przykłady tych narzędzi to Nipper, Securia PSI, Core Impact, Nessus, SAINT i Open VAS.

8. Kategorie ataków:

Kategoria atakuOpis
Atak podsłuchowyAtak podsłuchowy polega na przechwyceniu i nasłuchiwaniu ruchu sieciowego przez aktora zagrożenia. Ten atak jest również określany jako sniffing lub snooping.
Atak na modyfikację danychAtaki na modyfikację danych występują, gdy aktor zagrożenia przechwycił ruch w sieci przedsiębiorstwa i zmienił dane w pakietach bez wiedzy nadawcy lub odbiorcy.
Atak na podszywanie się pod adres IPAtak na podszywanie się pod adres IP polega na tym, że aktor zagrożenia konstruuje pakiet IP, który wydaje się pochodzić z prawidłowego adresu wewnątrz intranetu korporacyjnego.
Ataki oparte na hasłachAtaki oparte na hasłach występują, gdy aktor zagrożenia uzyskał dane uwierzytelniające prawidłowego użytkownika. Aktorzy zagrożeń następnie używają tego konta do uzyskania list innych użytkowników i informacji o sieci. Mogą również zmieniać konfiguracje serwerów i sieci oraz modyfikować, przekierowywać lub usuwać dane.
Atak typu DoSAtak DoS uniemożliwia normalne korzystanie z komputera lub sieci przez prawidłowych użytkowników. Po uzyskaniu dostępu do sieci, atak DoS może spowodować awarię aplikacji lub usług sieciowych. Atak DoS może również zalać komputer lub całą sieć ruchem do momentu wyłączenia z powodu przeciążenia. Atak DoS może również blokować ruch, co skutkuje utratą dostępu do zasobów sieciowych przez uprawnionych użytkowników.
Atak typu MiTMAtak typu MiTM występuje, gdy aktorzy zagrożeń umieścili się pomiędzy źródłem a miejscem docelowym. Mogą teraz aktywnie monitorować, przechwytywać i kontrolować komunikację w sposób transparentny.
Atak na skompromitowany kluczAtak na skompromitowany klucz występuje, gdy aktor zagrożenia uzyskał tajny klucz. Nazywa się to skompromitowanym kluczem. Skompromitowany klucz może być używany do uzyskania dostępu do zabezpieczonej komunikacji bez wiedzy nadawcy lub odbiorcy o ataku.
Atak snifferaSniffer to aplikacja lub urządzenie, które może czytać, monitorować i przechwytywać wymianę danych sieciowych oraz czytać pakiety sieciowe. Jeśli pakiety nie są szyfrowane, sniffer daje pełen widok na dane wewnątrz pakietu. Nawet pakiety enkapsulowane (tunelowane) mogą być otwarte i odczytane, chyba że są szyfrowane, a aktor zagrożenia nie ma dostępu do klucza.