Cisco CyberOps Associate - Atakujący i ich narzędzia
1. Jesteśmy atakowani, a atakujący chcą uzyskać dostęp do naszych zasobów. Zasoby to wszystko, co ma wartość dla organizacji, takie jak dane i inne własności intelektualne, serwery, komputery, smartfony, tablety i wiele innych.
2. Określenie “haker” to powszechny termin używany dla aktora zagrożenia. Jednak termin “haker” ma różne znaczenia, np:
np.
Wskaźniki ataku (IOA) skupiają się bardziej na motywacji stojącej za atakiem i potencjalnych środkach, za pomocą których aktorzy zagrożeń mają lub będą kompromitować podatności, aby uzyskać dostęp do zasobów. IOA dotyczą strategii stosowanych przez atakujących. Z tego powodu, zamiast informować o odpowiedzi na pojedyncze zagrożenie, IOA mogą pomóc wygenerować proaktywne podejście do bezpieczeństwa. Wynika to z faktu, że strategie mogą być używane w wielu kontekstach i wielu atakach. Obrona przed strategią może zatem zapobiec przyszłym atakom, które wykorzystują tę samą lub podobną strategię.
Pojęcia:
- Zagrożenie: Potencjalne niebezpieczeństwo dla zasobu, takiego jak dane lub sama sieć.
- Wrażliwość: Słabość w systemie lub jego projekcie, którą można wykorzystać zagrożenie.
- Powierzchnia ataku: To suma podatności w danym systemie, które są dostępne dla atakującego. Powierzchnia ataku opisuje różne punkty, w których atakujący mogą dostać się do systemu i wydobyć z niego dane. Na przykład Twój system operacyjny i przeglądarka internetowa mogą wymagać łatek zabezpieczeń. Oba są podatne na ataki i są wystawione w sieci lub w Internecie. Razem tworzą powierzchnię ataku, którą aktor zagrożenia może wykorzystać.
- Eksploitacja: Mechanizm wykorzystywany do wykorzystania wrażliwości w celu naruszenia zasobu. Eksploity mogą być zdalne lub lokalne. Eksploit zdalny działa przez sieć bez wcześniejszego dostępu do docelowego systemu. Atakujący nie potrzebuje konta w systemie docelowym, aby wykorzystać wrażliwość. W przypadku eksploitacji lokalnej aktor zagrożenia ma pewien rodzaj dostępu użytkownika lub administracyjnego do systemu końcowego. Eksploitacja lokalna niekoniecznie oznacza, że atakujący ma fizyczny dostęp do systemu końcowego.
- Ryzyko: Prawdopodobieństwo, że konkretne zagrożenie wykorzysta określoną wrażliwość zasobu i spowoduje niepożądane konsekwencje.
Zarządzanie ryzykiem to proces, który równoważy koszty operacyjne związane z zapewnianiem środków ochrony zyskami osiągniętymi dzięki ochronie zasobu. Istnieją cztery powszechnie stosowane sposoby zarządzania ryzykiem, jak pokazano w tabeli:
Strategia zarządzania ryzykiem | Wyjaśnienie |
---|---|
Akceptacja ryzyka | To sytuacja, w której koszty opcji zarządzania ryzykiem przewyższają koszty samego ryzyka. Ryzyko jest akceptowane, a żadne działania nie są podejmowane. |
Unikanie ryzyka | Oznacza unikanie jakiejkolwiek ekspozycji na ryzyko poprzez wyeliminowanie działalności lub urządzenia, które stanowi ryzyko. Wyeliminowanie działalności w celu uniknięcia ryzyka oznacza również utratę korzyści możliwych do uzyskania z tej działalności. |
Redukcja ryzyka | Obejmuje zmniejszenie ekspozycji na ryzyko lub zmniejszenie wpływu ryzyka poprzez podjęcie działań mających na celu zmniejszenie ryzyka. Jest to najczęściej stosowana strategia łagodzenia ryzyka. Wymaga dokładnej oceny kosztów strat, strategii łagodzenia ryzyka i korzyści wynikających z operacji lub działalności, która jest zagrożona. |
Transfer ryzyka | Część lub całe ryzyko jest przenoszone na stronę trzecią (np. firma ubezpieczeniowa) |
- Sprytny programista, zdolny do tworzenia nowych programów i wprowadzania zmian w istniejących programach, aby uczynić je bardziej wydajnymi.
- Profesjonalista ds. sieci, wykorzystujący zaawansowane umiejętności programowania, aby zapewnić, że sieci nie są podatne na ataki.
- Osoba próbująca uzyskać nieautoryzowany dostęp do urządzeń w Internecie.
- Indywidualista uruchamiający programy, aby uniemożliwić lub spowolnić dostęp do sieci dla dużej liczby użytkowników lub uszkodzić lub zniszczyć dane na serwerach.
3. Rodzaje "hakerów":
- Białe kapelusze (white hat hackers) to etyczni hakerzy, którzy wykorzystują swoje umiejętności programistyczne w celach dobrych, etycznych i zgodnych z prawem. Mogą przeprowadzać testy penetracyjne sieci w celu kompromitacji sieci i systemów, wykorzystując swoją wiedzę na temat systemów bezpieczeństwa komputerowego do odkrywania podatności sieci. Wrażliwości bezpieczeństwa są zgłaszane programistom i personelowi ds. bezpieczeństwa, którzy próbują naprawić wrażliwość przed jej wykorzystaniem. Niektóre organizacje nagradzają białych kapeluszy, gdy dostarczają informacji pomagających zidentyfikować podatności.
- Szare kapelusze (grey hat hackers) to osoby, które popełniają przestępstwa i działają w sposób niekoniecznie etyczny, ale nie dla osobistego zysku ani w celu wyrządzenia szkody. Przykładem może być osoba, która kompromituje sieć bez zgody, a następnie publicznie ujawnia wrażliwość. Szare kapelusze mogą ujawnić wrażliwość organizacji po skompromitowaniu ich sieci. Pozwala to organizacji na naprawienie problemu.
- Czarne kapelusze (black hat hackers) to nieetyczni przestępcy, którzy naruszają bezpieczeństwo komputerowe i sieci w celu osiągnięcia osobistych korzyści lub złośliwych celów, takich jak atakowanie sieci. Czarni kapelusze wykorzystują podatności, aby naruszyć systemy komputerowe i sieci.
5. Wiele ataków sieciowych można zapobiec, dzieląc się informacjami o wskaźnikach kompromitacji (IOC). Każdy atak ma unikalne identyfikowalne atrybuty. Wskaźniki kompromitacji to dowody, że atak miał miejsce. IOC mogą być cechami, które identyfikują pliki złośliwego oprogramowania, adresy IP serwerów używanych w atakach, nazwy plików i charakterystyczne zmiany wprowadzane do oprogramowania systemu końcowego, między innymi. IOC pomagają personelowi ds. cyberbezpieczeństwa zidentyfikować, co się stało podczas ataku i opracować obronę przeciwko atakowi.
np.
Malware File - "studiox-link-standalone-v20.03.8-stable.exe" sha256 6a6c28f5666b12beecd56a3d1d517e409b5d6866c03f9be44ddd9efffa90f1e0 sha1 eb019ad1c73ee69195c3fc84ebf44e95c147bef8 md5 3a104b73bb96dfed288097e9dc0a11a8 DNS requests domain log.studiox.link domain my.studiox.link domain _sips._tcp.studiox.link domain sip.studiox.link Connections ip 198.51.100.248 ip 203.0.113.82
Wskaźniki ataku (IOA) skupiają się bardziej na motywacji stojącej za atakiem i potencjalnych środkach, za pomocą których aktorzy zagrożeń mają lub będą kompromitować podatności, aby uzyskać dostęp do zasobów. IOA dotyczą strategii stosowanych przez atakujących. Z tego powodu, zamiast informować o odpowiedzi na pojedyncze zagrożenie, IOA mogą pomóc wygenerować proaktywne podejście do bezpieczeństwa. Wynika to z faktu, że strategie mogą być używane w wielu kontekstach i wielu atakach. Obrona przed strategią może zatem zapobiec przyszłym atakom, które wykorzystują tę samą lub podobną strategię.
6. Etyczne hakowanie polega na korzystaniu z wielu różnych typów narzędzi do testowania sieci i urządzeń końcowych. W celu walidacji bezpieczeństwa sieci i jej systemów opracowano wiele narzędzi do testowania penetracji sieci. Jednak wiele z tych narzędzi może być również wykorzystywane przez aktorów zagrożeń do eksploatacji.
7. Narzędzia:
Kategorie narzędzi | Opis |
---|---|
Narzędzia do łamania haseł | Hasła są najbardziej podatnym zagrożeniem dla bezpieczeństwa. Narzędzia do łamania haseł często nazywane są narzędziami do odzyskiwania haseł i mogą być używane do łamania lub odzyskiwania hasła. Jest to realizowane albo poprzez usunięcie oryginalnego hasła, po obejściu szyfrowania danych, albo poprzez bezpośrednie odkrycie hasła. Łamacze haseł wielokrotnie próbują zgadnąć hasło, aby uzyskać dostęp do systemu. Przykłady narzędzi do łamania haseł to John the Ripper, Ophcrack, L0phtCrack, THC Hydra, RainbowCrack i Medusa. |
Narzędzia do hakowania sieci bezprzewodowych | Sieci bezprzewodowe są bardziej podatne na zagrożenia dla bezpieczeństwa sieci. Narzędzia do hakowania sieci bezprzewodowych są używane do celowego hakowania sieci bezprzewodowej w celu wykrycia luk w zabezpieczeniach. Przykłady narzędzi do hakowania sieci bezprzewodowych to Aircrack-ng, Kismet, InSSIDer, KisMAC, Firesheep i NetStumbler. |
Narzędzia do skanowania i hakowania sieci | Narzędzia do skanowania sieci są używane do sondowania urządzeń sieciowych, serwerów i hostów pod kątem otwartych portów TCP lub UDP. Przykłady narzędzi do skanowania to Nmap, SuperScan, Angry IP Scanner i NetScanTools. |
Narzędzia do tworzenia pakietów | Narzędzia do tworzenia pakietów są używane do sondowania i testowania odporności zapory na specjalnie przygotowane fałszywe pakiety. Przykłady takich narzędzi to Hping, Scapy, Socat, Yersinia, Netcat, Nping i Nemesis. |
Snifery pakietów | Narzędzia do przechwytywania pakietów są używane do przechwytywania i analizy pakietów w tradycyjnych sieciach LAN Ethernet lub WLAN. Narzędzia te obejmują Wireshark, Tcpdump, Ettercap, Dsniff, EtherApe, Paros, Fiddler, Ratproxy i SSLstrip. |
Detektory rootkitów | Detektor rootkitów to sprawdzarka integralności katalogów i plików używana przez białe kapelusze do wykrywania zainstalowanych rootkitów. Przykładowe narzędzia to AIDE, Netfilter i PF: OpenBSD Packet Filter. |
Fuzzery do wyszukiwania podatności | Fuzzery są narzędziami używanymi przez aktorów zagrożeń podczas prób odkrycia luk w zabezpieczeniach systemu komputerowego. Przykłady fuzzery to Skipfish, Wapiti i W3af. |
Narzędzia do analizy śladów | Białe kapelusze używają narzędzi do analizy śladów, aby wywęszyć dowolny ślad dowodu istniejący w danym systemie komputerowym. Przykładowe narzędzia to Sleuth Kit, Helix, Maltego i Encase. |
Debuggery | Narzędzia do debugowania są używane przez czarne kapelusze do inżynierii wstecznej plików binarnych podczas pisania exploitów. Są one również używane przez białe kapelusze podczas analizy złośliwego oprogramowania. Narzędzia do debugowania obejmują GDB, WinDbg, IDA Pro i Immunity Debugger. |
Systemy operacyjne do hakowania | Systemy operacyjne do hakowania to specjalnie zaprojektowane systemy operacyjne z wstępnie załadowanymi narzędziami i technologiami zoptymalizowanymi do hakowania. Przykłady specjalnie zaprojektowanych systemów operacyjnych do hakowania to Kali Linux, SELinux, Knoppix, Parrot OS i BackBox Linux. |
Narzędzia do szyfrowania | Te narzędzia chronią zawartość danych organizacji, gdy są one przechowywane lub przesyłane. Narzędzia do szyfrowania używają schematów algorytmów do kodowania danych, aby zapobiec nieautoryzowanemu dostępowi do danych. Przykłady tych narzędzi to VeraCrypt, CipherShed, Open SSH, OpenSSL, OpenVPN i Stunnel. |
Narzędzia do wykorzystywania podatności | Te narzędzia identyfikują, czy zdalny host jest podatny na atak bezpieczeństwa. Przykłady narzędzi do wykorzystywania podatności to Metasploit, Core Impact, Sqlmap, Social Engineer Tool Kit i Netsparker. |
Skanery podatności | Te narzędzia skanują sieć lub system w celu identyfikacji otwartych portów. Mogą być również używane do skanowania znanych podatności oraz skanowania maszyn wirtualnych, urządzeń BYOD i baz danych klientów. Przykłady tych narzędzi to Nipper, Securia PSI, Core Impact, Nessus, SAINT i Open VAS. |
8. Kategorie ataków:
Kategoria ataku | Opis |
---|---|
Atak podsłuchowy | Atak podsłuchowy polega na przechwyceniu i nasłuchiwaniu ruchu sieciowego przez aktora zagrożenia. Ten atak jest również określany jako sniffing lub snooping. |
Atak na modyfikację danych | Ataki na modyfikację danych występują, gdy aktor zagrożenia przechwycił ruch w sieci przedsiębiorstwa i zmienił dane w pakietach bez wiedzy nadawcy lub odbiorcy. |
Atak na podszywanie się pod adres IP | Atak na podszywanie się pod adres IP polega na tym, że aktor zagrożenia konstruuje pakiet IP, który wydaje się pochodzić z prawidłowego adresu wewnątrz intranetu korporacyjnego. |
Ataki oparte na hasłach | Ataki oparte na hasłach występują, gdy aktor zagrożenia uzyskał dane uwierzytelniające prawidłowego użytkownika. Aktorzy zagrożeń następnie używają tego konta do uzyskania list innych użytkowników i informacji o sieci. Mogą również zmieniać konfiguracje serwerów i sieci oraz modyfikować, przekierowywać lub usuwać dane. |
Atak typu DoS | Atak DoS uniemożliwia normalne korzystanie z komputera lub sieci przez prawidłowych użytkowników. Po uzyskaniu dostępu do sieci, atak DoS może spowodować awarię aplikacji lub usług sieciowych. Atak DoS może również zalać komputer lub całą sieć ruchem do momentu wyłączenia z powodu przeciążenia. Atak DoS może również blokować ruch, co skutkuje utratą dostępu do zasobów sieciowych przez uprawnionych użytkowników. |
Atak typu MiTM | Atak typu MiTM występuje, gdy aktorzy zagrożeń umieścili się pomiędzy źródłem a miejscem docelowym. Mogą teraz aktywnie monitorować, przechwytywać i kontrolować komunikację w sposób transparentny. |
Atak na skompromitowany klucz | Atak na skompromitowany klucz występuje, gdy aktor zagrożenia uzyskał tajny klucz. Nazywa się to skompromitowanym kluczem. Skompromitowany klucz może być używany do uzyskania dostępu do zabezpieczonej komunikacji bez wiedzy nadawcy lub odbiorcy o ataku. |
Atak sniffera | Sniffer to aplikacja lub urządzenie, które może czytać, monitorować i przechwytywać wymianę danych sieciowych oraz czytać pakiety sieciowe. Jeśli pakiety nie są szyfrowane, sniffer daje pełen widok na dane wewnątrz pakietu. Nawet pakiety enkapsulowane (tunelowane) mogą być otwarte i odczytane, chyba że są szyfrowane, a aktor zagrożenia nie ma dostępu do klucza. |