Cisco CyberOps Associate - Luki w zabezpieczeniach

1. Gospodarze wysyłają żądanie ARP do innych gospodarzy w segmencie sieci, aby określić adres MAC gospodarza o określonym adresie IP. Wszystkie gospodarze w podsieci odbierają i przetwarzają żądanie ARP. Gospodarz z pasującym adresem IP w żądaniu ARP wysyła odpowiedź ARP.

Każdy klient może wysłać nieproszone odpowiedzi ARP, nazywane “gratuitous ARP”. Często jest to robione, gdy urządzenie uruchamia się po raz pierwszy, aby poinformować wszystkie inne urządzenia w lokalnej sieci o nowym adresie MAC urządzenia. Gdy gospodarz wysyła gratuitous ARP, inne gospodarze w podsieci przechowują adres MAC i adres IP zawarte w gratuitous ARP w swoich tabelach ARP.

Jednak ta funkcja ARP oznacza również, że każdy gospodarz może twierdzić, że jest właścicielem dowolnego IP/MAC, który wybierze. Aktor zagrożenia może zatruć pamięć podręczną ARP urządzeń w lokalnej sieci, tworząc atak MiTM, aby przekierować ruch. Celem jest skojarzenie adresu MAC aktora zagrożenia z adresem IP domyślnej bramy w pamięciach podręcznych ARP gospodarzy w segmencie LAN. Pozycjonuje to aktora zagrożenia między ofiarą a wszystkimi innymi systemami poza lokalną podsiecią.

2. Zatrucie tablicy ARP:


3. Protokół Domain Name System (DNS) definiuje zautomatyzowaną usługę, która dopasowuje nazwy zasobów, takie jak www.cisco.com, do wymaganego numerycznego adresu sieciowego, takiego jak adres IPv4 lub IPv6. Zawiera format zapytań, odpowiedzi i danych oraz używa rekordów zasobów (RR) do identyfikacji typu odpowiedzi DNS.

Zabezpieczanie DNS jest często pomijane. Jednak jest to kluczowe dla działania sieci i powinno być odpowiednio zabezpieczone.

Ataki DNS obejmują następujące:

  • Ataki na otwarte serwery DNS 
  • Ukryte ataki DNS 
  • Ataki cieniowania domen DNS 
  • Ataki tunelowe DNS 
  • Ataki na otwarte serwery DNS

Wiele organizacji korzysta z usług publicznie otwartych serwerów DNS, takich jak GoogleDNS (8.8.8.8), aby dostarczać odpowiedzi na zapytania. Ten typ serwera DNS nazywa się otwartym serwerem. Otwarty serwer DNS odpowiada na zapytania od klientów spoza swojej domeny administracyjnej. Otwarte serwery DNS są podatne na wiele szkodliwych działań opisanych w tabeli.

Podatności resolvera DNSOpis
Ataki na zatruwanie pamięci podręcznej DNSAktorzy zagrożeń wysyłają sfałszowane, fałszywe informacje o zasobach rekordów (RR) do resolvera DNS, aby przekierować użytkowników z prawdziwych stron na złośliwe strony. Ataki na zatruwanie pamięci podręcznej DNS mogą być wszystkie używane do poinformowania resolvera DNS o użyciu złośliwego serwera nazw, który dostarcza informacji RR do złośliwych działań.
Ataki amplifikacji i odbicia DNSAktorzy zagrożeń używają ataków DoS lub DDoS na otwarte resolvery DNS, aby zwiększyć objętość ataków i ukryć prawdziwe źródło ataku. Aktorzy zagrożeń wysyłają wiadomości DNS do otwartych resolverów, używając adresu IP hosta docelowego. Te ataki są możliwe, ponieważ otwarty resolver odpowie na zapytania od każdego, kto zadaje pytanie.
Ataki na wykorzystanie zasobów DNSAtak DoS, który zużywa zasoby otwartych resolverów DNS. Ten atak DoS zużywa wszystkie dostępne zasoby, aby negatywnie wpłynąć na działanie otwartego resolvera DNS. Skutkiem tego ataku DoS może być konieczność zrestartowania otwartego resolvera DNS lub zatrzymania i ponownego uruchomienia usług.


Techniki ukrywania DNSOpis
Fast FluxAktorzy zagrożeń używają tej techniki, aby ukryć swoje strony phishingowe i dostarczające złośliwe oprogramowanie za szybko zmieniającą się siecią skompromitowanych hostów DNS. Adresy IP DNS są ciągle zmieniane w ciągu kilku minut. Botnety często korzystają z technik Fast Flux, aby skutecznie ukryć złośliwe serwery przed wykryciem.
Double IP FluxAktorzy zagrożeń używają tej techniki do szybkiej zmiany mapowań nazwy hosta na adres IP oraz do zmiany autorytatywnego serwera nazw. Zwiększa to trudność zidentyfikowania źródła ataku.
Algorytmy generowania domenAktorzy zagrożeń używają tej techniki w złośliwym oprogramowaniu do losowego generowania nazw domen, które następnie mogą być używane jako punkty zbiegowe do ich serwerów sterowania i kontroli (C&C).

4. Domain shadowing polega na tym, że aktor zagrożenia zbiera dane uwierzytelniające konta domen w celu cicho tworzenia wielu subdomen, które będą używane podczas ataków. Te subdomeny zazwyczaj wskazują na złośliwe serwery bez alarmowania rzeczywistego właściciela domeny nadrzędnej.

5. Botnety stały się popularną metodą ataku aktorów zagrożeń. Najczęściej botnety są używane do rozprzestrzeniania złośliwego oprogramowania lub do przeprowadzania ataków DDoS i phishingowych.

DNS w przedsiębiorstwie jest czasami pomijany jako protokół, który może być używany przez botnety. Z tego powodu, gdy ruch DNS jest uznawany za część incydentu, atak jest często już zakończony. Niezbędne jest, aby analityk cyberbezpieczeństwa był w stanie wykryć, kiedy atakujący używa tunelowania DNS do kradzieży danych, oraz zapobiegać i zawierać atak. Aby to osiągnąć, analityk bezpieczeństwa musi zaimplementować rozwiązanie, które może blokować komunikację wychodzącą z zainfekowanych hostów.

Aktorzy zagrożeń, którzy używają tunelowania DNS, umieszczają ruch nie-DNS w ruchu DNS. Ta metoda często omija rozwiązania zabezpieczające. Aby aktor zagrożeń mógł używać tunelowania DNS, różne typy rekordów DNS, takie jak TXT, MX, SRV, NULL, A lub CNAME, są modyfikowane. Na przykład, rekord TXT może przechowywać polecenia, które są wysyłane do zainfekowanych botów hosta jako odpowiedzi DNS. Atak tunelowania DNS za pomocą TXT działa tak:

  1. Dane są dzielone na wiele zakodowanych fragmentów.
  2. Każdy fragment jest umieszczany w etykiecie nazwy domeny niższego poziomu zapytania DNS.
  3. Ponieważ nie ma odpowiedzi od lokalnego lub sieciowego DNS na zapytanie, żądanie jest wysyłane do rekurencyjnych serwerów DNS dostawcy usług internetowych.
  4. Usługa rekurencyjnego DNS przekieruje zapytanie do autorytatywnego serwera nazw atakującego.
  5. Proces jest powtarzany, dopóki wszystkie zapytania zawierające fragmenty nie zostaną wysłane.
  6. Gdy autorytatywny serwer nazw atakującego otrzymuje zapytania DNS od zainfekowanych urządzeń, wysyła odpowiedzi na każde zapytanie DNS, które zawiera enkapsulowane, zakodowane polecenia.
  7. Złośliwe oprogramowanie na skompromitowanym hoście łączy ponownie fragmenty i wykonuje ukryte w nich polecenia.
Aby móc zatrzymać tunelowanie DNS, musi być użyty filtr, który sprawdza ruch DNS. Zwróć szczególną uwagę na zapytania DNS, które są dłuższe niż średnio, lub te, które mają podejrzaną nazwę domeny. 

6. Serwery DHCP dynamicznie dostarczają informacji o konfiguracji IP klientom.

Atak DHCP spoofing występuje, gdy do sieci podłączony jest nieautoryzowany serwer DHCP, który dostarcza fałszywe parametry konfiguracji IP prawidłowym klientom. Nieautoryzowany serwer może dostarczyć różne mylące informacje:

  • Błędna brama domyślna - Aktor zagrożenia dostarcza nieprawidłową bramę lub adres IP swojego hosta, aby stworzyć atak MiTM. Może to pozostać całkowicie niewykryte, ponieważ intruz przechwytuje przepływ danych przez sieć. 
  • Błędny serwer DNS - Aktor zagrożenia dostarcza nieprawidłowy adres serwera DNS, kierując użytkownika na złośliwą stronę internetową. 
  • Błędny adres IP - Aktor zagrożenia dostarcza nieprawidłowy adres IP, nieprawidłowy adres IP bramy domyślnej lub oba. Następnie aktor zagrożenia tworzy atak DoS na kliencie DHCP. Załóżmy, że aktor zagrożenia pomyślnie podłączył nieautoryzowany serwer DHCP do portu przełącznika w tej samej podsieci co docelowi klienci. Celem nieautoryzowanego serwera jest dostarczenie klientom fałszywych informacji o konfiguracji IP.

7. Przykładowe działanie ataku opartego na sieci Web (HTTP/HTTPS):

Ofiara nieświadomie odwiedza stronę internetową, która została skompromitowana przez złośliwe oprogramowanie. Skompromitowana strona internetowa przekierowuje użytkownika, często przez wiele skompromitowanych serwerów, do strony zawierającej złośliwy kod. Użytkownik odwiedza tę stronę z złośliwym kodem, a jego komputer zostaje zainfekowany. Nazywa się to atakiem typu drive by download. Gdy użytkownik odwiedza stronę, zestaw narzędzi do exploitów skanuje oprogramowanie działające na komputerze ofiary, w tym system operacyjny, Java lub Flash player, szukając exploitu w oprogramowaniu. Zestaw narzędzi do exploitów to często skrypt PHP i dostarcza atakującemu konsolę zarządzania do zarządzania atakiem. Po zidentyfikowaniu podatnego pakietu oprogramowania działającego na komputerze ofiary, zestaw narzędzi do exploitów kontaktuje się z serwerem zestawu narzędzi do exploitów, aby pobrać kod, który może wykorzystać podatność do uruchomienia złośliwego kodu na komputerze ofiary. Po skompromitowaniu komputera ofiary, łączy się on z serwerem złośliwego oprogramowania i pobiera ładunek. Może to być złośliwe oprogramowanie lub usługa pobierania plików, która pobiera inne złośliwe oprogramowanie. Ostateczny pakiet złośliwego oprogramowania jest uruchamiany na komputerze ofiary.

8. Aktorzy zagrożeń często korzystają z złośliwych ramek inline (iFrames). iFrame to element HTML, który pozwala przeglądarce załadować inną stronę internetową z innego źródła. Ataki iFrame stały się bardzo powszechne, ponieważ często są używane do wstawiania reklam z innych źródeł do strony. Aktorzy zagrożeń kompromitują serwer sieciowy i modyfikują strony internetowe, dodając HTML dla złośliwego iFrame. HTML łączy się z serwerem sieciowym aktora zagrożeń. W niektórych przypadkach załadowana strona iFrame składa się tylko z kilku pikseli. To sprawia, że jest bardzo trudno do zobaczenia dla użytkownika. Ponieważ iFrame jest uruchamiany na stronie, może być używany do dostarczania złośliwego exploitu, takiego jak spam reklamowy, zestaw narzędzi do exploitów i inne złośliwe oprogramowanie.

Sposoby na zapobieganie lub zmniejszanie złośliwych iFrames:
  • Użycie proxy sieciowego, aby zablokować złośliwe strony.
  • Ze względu na to, że atakujący często zmieniają źródłowy HTML iFrame na skompromitowanej stronie internetowej, upewnij się, że deweloperzy stron internetowych nie używają iFrames. Izoluje to wszelką zawartość od stron internetowych stron trzecich i ułatwia znalezienie zmodyfikowanych stron.
9. Inny typ ataku HTTP to atak poduszkowy HTTP 302. Aktorzy zagrożeń używają kodu statusu odpowiedzi HTTP 302 Found, aby skierować przeglądarkę internetową użytkownika do nowej lokalizacji. Aktorzy zagrożeń często korzystają z prawidłowych funkcji HTTP, takich jak przekierowania HTTP, do przeprowadzania swoich ataków. HTTP pozwala serwerom przekierować żądanie HTTP klienta na inny serwer. Przekierowanie HTTP jest używane, na przykład, gdy treść sieci Web została przeniesiona na inny adres URL lub nazwę domeny. Pozwala to na dalsze funkcjonowanie starych adresów URL i zakładek. Dlatego analitycy bezpieczeństwa powinni zrozumieć, jak działa taka funkcja jak przekierowanie HTTP i jak może być używana podczas ataków.

Gdy odpowiedzią z serwera jest status 302 Found, dostarcza on również adres URL w polu lokalizacji. Przeglądarka uważa, że nową lokalizacją jest adres URL podany w nagłówku. Przeglądarka jest zapraszana do żądania tego nowego adresu URL. Ta funkcja przekierowania może być używana wiele razy, aż przeglądarka w końcu trafi na stronę, która zawiera exploit. Przekierowania mogą być trudne do wykrycia ze względu na fakt, że prawidłowe przekierowania często występują w sieci.

10. Dzisiaj wiadomości HTML są dostępne z wielu różnych urządzeń, które często nie są chronione przez firewall firmy. HTML umożliwia więcej ataków ze względu na ilość dostępu, która czasami może ominąć różne warstwy zabezpieczeń.

Przykłady zagrożeń e-mailowych:

  • Ataki oparte na załącznikach - Aktorzy zagrożeń osadzają złośliwe treści w plikach biznesowych, takich jak e-mail od działu IT. Prawowici użytkownicy otwierają złośliwe treści. Złośliwe oprogramowanie jest używane w szeroko zakrojonych atakach, często kierowanych na konkretną pion biznesowy, aby wydawały się prawowite, skłaniając użytkowników pracujących w tym pionie do otwierania załączników lub klikania osadzonych linków. 
  • E-mail spoofing - Aktorzy zagrożeń tworzą wiadomości e-mail z sfałszowanym adresem nadawcy, który ma na celu oszukanie odbiorcy, aby dostarczył pieniądze lub wrażliwe informacje. Na przykład bank wysyła do Ciebie e-mail z prośbą o zaktualizowanie Twoich danych uwierzytelniających. Gdy ten e-mail wyświetla identyczne logo banku, jak poczta, którą wcześniej otworzyłeś i była prawowita, ma większą szansę na otwarcie, otwarcie załączników i kliknięcie linków. Sfałszowany e-mail może nawet poprosić Cię o weryfikację Twoich danych uwierzytelniających, aby bank miał pewność, że to Ty, ujawniając Twoje dane logowania. 
  • Spam - Aktorzy zagrożeń wysyłają niechciane e-maile zawierające reklamy lub złośliwe pliki. Ten typ e-maila jest najczęściej wysyłany w celu wywołania odpowiedzi, informując aktora zagrożeń, że e-mail jest ważny i użytkownik otworzył spam.
  • Otwarty serwer przekazywania poczty - Aktorzy zagrożeń wykorzystują serwery korporacyjne, które są nieprawidłowo skonfigurowane jako otwarte serwery przekazywania poczty, do wysyłania dużych ilości spamu lub złośliwego oprogramowania do nieświadomych użytkowników. Otwarty serwer przekazywania poczty to serwer SMTP, który pozwala każdemu w Internecie na wysyłanie poczty. Ponieważ każdy może korzystać z serwera, są one podatne na spamerów i robaki. Bardzo duże ilości spamu mogą być wysyłane za pomocą otwartego serwera przekazywania poczty. Ważne jest, aby korporacyjne serwery pocztowe nigdy nie były ustawione jako otwarte przekaźniki. Znacznie to zmniejszy ilość niechcianych e-maili. 
  • Homoglify - Aktorzy zagrożeń mogą używać znaków tekstowych, które są bardzo podobne lub nawet identyczne do prawowitych znaków tekstowych. Na przykład może być trudno odróżnić O (duża litera O) od 0 (zero) lub l (mała litera “L”) od 1 (jedynka). Mogą być one używane w e-mailach phishingowych, aby wyglądały bardzo przekonująco. W DNS te znaki są bardzo różne od prawdziwych. Gdy rekord DNS jest przeszukiwany, pod linkiem z homoglifem znajduje się zupełnie inny adres URL.

11. Wstrzykiwanie kodu polega na tym, że atakujący są w stanie wykonywać polecenia na systemie operacyjnym serwera internetowego za pośrednictwem podatnej aplikacji internetowej. Może to nastąpić, jeśli aplikacja internetowa udostępnia atakującemu pola wejściowe do wprowadzania szkodliwych danych. Polecenia atakującego są wykonywane za pośrednictwem aplikacji internetowej i mają takie same uprawnienia jak aplikacja internetowa. Ten typ ataku jest używany, ponieważ często brakuje wystarczającej walidacji danych wejściowych. 

12. SQL Injection:

SQL to język używany do zapytań do bazy danych relacyjnej. Aktorzy zagrożeń używają wstrzykiwania SQL do naruszenia bazy danych relacyjnej, tworzenia szkodliwych zapytań SQL i uzyskiwania wrażliwych danych z bazy danych relacyjnej.

Jednym z najczęstszych ataków na bazę danych jest atak wstrzykiwania SQL. Atak wstrzykiwania SQL polega na wstawieniu zapytania SQL za pomocą danych wejściowych od klienta do aplikacji. Udane wykorzystanie wstrzykiwania SQL może odczytać wrażliwe dane z bazy danych, modyfikować dane w bazie danych, wykonywać operacje administracyjne na bazie danych, a czasami wydawać polecenia systemowi operacyjnemu.

Jeżeli aplikacja nie korzysta z surowej walidacji danych wejściowych, będzie podatna na atak wstrzykiwania SQL. Jeśli aplikacja akceptuje i przetwarza dane dostarczone przez użytkownika bez jakiejkolwiek walidacji danych wejściowych, aktor zagrożenia mógłby przesłać złośliwie skonstruowany ciąg wejściowy, aby wywołać atak wstrzykiwania SQL.

Analitycy bezpieczeństwa powinni być w stanie rozpoznać podejrzane zapytania SQL, aby wykryć, czy baza danych relacyjna była poddana atakom wstrzykiwania SQL. Muszą być w stanie określić, które ID użytkownika zostało użyte przez aktora zagrożenia do logowania, a następnie zidentyfikować jakiekolwiek informacje lub dalszy dostęp, z którego aktor zagrożenia mógłby skorzystać po udanym logowaniu.