Cisco CyberOps Associate - Zagrożenia i ataki
Wirus to rodzaj złośliwego oprogramowania, które rozprzestrzenia się, wstawiając kopię siebie do innego programu. Po uruchomieniu programu, wirusy następnie rozprzestrzeniają się z jednego komputera na drugi, zarażając komputery. Większość wirusów wymaga pomocy człowieka do rozprzestrzeniania się.
Prosty wirus może zainstalować się w pierwszej linii kodu w pliku wykonywalnym. Po aktywacji wirus może sprawdzić dysk pod kątem innych plików wykonywalnych, aby mógł zainfekować wszystkie pliki, których jeszcze nie zainfekował. Wirusy mogą być nieszkodliwe, takie jak te, które wyświetlają obrazek na ekranie, lub mogą być destrukcyjne, takie jak te, które modyfikują lub usuwają pliki na dysku twardym. Wirusy mogą być również programowane do mutacji, aby uniknąć wykrycia.
Większość wirusów jest teraz rozprzestrzeniana za pomocą pamięci USB, płyt CD, DVD, udziałów sieciowych i e-maili. Wirusy e-mailowe są powszechnym rodzajem wirusa.
Termin konia trojańskiego pochodzi z mitologii greckiej. Greccy wojownicy ofiarowali ludziom Troi (Trojanom) olbrzymiego, pustego konia jako prezent. Trojanie wprowadzili olbrzymiego konia do swojego umocnionego miasta, nieświadomi, że zawiera on wielu greckich wojowników. W nocy, po tym jak większość Trojanów poszła spać, wojownicy wyskoczyli z konia, otworzyli bramy miasta i pozwolili na wejście znacznej siły, która przejęła miasto.
Złośliwe oprogramowanie typu koń trojański to oprogramowanie, które wydaje się być legalne, ale zawiera złośliwy kod, który wykorzystuje uprawnienia użytkownika, który go uruchamia. Często trojany są dołączane do gier online.
Koncepcja konia trojańskiego jest elastyczna. Może powodować natychmiastowe szkody, zapewniać zdalny dostęp do systemu lub dostęp przez tylną furtkę. Może również wykonywać działania zgodnie z instrukcjami zdalnymi, takie jak “wyślij mi plik z hasłami raz na tydzień”. Ta tendencja złośliwego oprogramowania do wysyłania danych z powrotem do cyberprzestępcy podkreśla potrzebę monitorowania ruchu wychodzącego pod kątem wskaźników ataku.
Koń trojański jest trudny do wykrycia.
2. Rodzaje koni trojańskich:
| Rodzaj konia trojańskiego | Opis |
|---|---|
| Dostęp zdalny | Umożliwia nieautoryzowany dostęp zdalny. |
| Wysyłanie danych | Dostarcza sprawcy zagrożenia wrażliwe dane, takie jak hasła. |
| Destrukcyjny | Uszkadza lub usuwa pliki. |
| Proxy | Wykorzystuje komputer ofiary jako urządzenie źródłowe do przeprowadzania ataków i wykonywania innych nielegalnych działań. |
| FTP | Umożliwia nieautoryzowane usługi transferu plików na urządzeniach końcowych. |
| Wyłącznik oprogramowania zabezpieczającego | Zatrzymuje działanie programów antywirusowych lub zapór ogniowych. |
| Denial of Service (DoS) | Spowalnia lub zatrzymuje działanie sieci. |
| Keylogger | Aktywnie próbuje ukraść poufne informacje, takie jak numery kart kredytowych, rejestrując wprowadzane klawisze w formularzu internetowym. |
Podczas gdy wirus wymaga programu gospodarza do uruchomienia, robaki mogą działać samodzielnie. Poza początkowym zakażeniem, nie wymagają już udziału użytkownika. Po zainfekowaniu hosta, robak jest w stanie bardzo szybko rozprzestrzeniać się po sieci.
Pomimo technik łagodzenia, które pojawiły się na przestrzeni lat, robaki nadal ewoluują i stanowią stałe zagrożenie. Robaki stały się z czasem bardziej zaawansowane, ale nadal mają tendencję do wykorzystywania słabości w aplikacjach oprogramowania.
Większość ataków robaków składa się z trzech komponentów:
- Podatność umożliwiająca - Robak instaluje się, wykorzystując mechanizm exploit, taki jak załącznik do e-maila, plik wykonywalny lub koń trojański, na podatnym systemie.
- Mechanizm propagacji - Po uzyskaniu dostępu do urządzenia, robak replikuje się i lokalizuje nowe cele.
- Payload - Każdy złośliwy kod, który prowadzi do jakiegoś działania, jest payloadem. Najczęściej jest to używane do stworzenia tylnych drzwi, które pozwalają sprawcy zagrożenia na dostęp do zainfekowanego hosta lub do stworzenia ataku DoS.
Robaki są samodzielne programy, które atakują system, aby wykorzystać znane podatności. Po udanym wykorzystaniu, robak kopiuje się z atakującego hosta do nowo wykorzystanego systemu i cykl zaczyna się od nowa. Ich mechanizmy propagacji są zwykle wdrażane w sposób trudny do wykrycia.
4. Obecnie najbardziej dominującym malware jest ransomware. Ransomware to malware, który uniemożliwia dostęp do zainfekowanego systemu komputerowego lub jego danych. Cyberprzestępcy następnie żądają zapłaty za zwolnienie systemu komputerowego.
Istnieją dziesiątki wariantów ransomware. Ransomware często używa algorytmu szyfrowania do szyfrowania plików systemowych i danych. Większość znanych algorytmów szyfrowania ransomware nie może być łatwo odszyfrowana, pozostawiając ofiary z niewielką opcją, jak zapłacić żądaną cenę. Płatności są zazwyczaj dokonywane w Bitcoinie, ponieważ użytkownicy bitcoina mogą pozostać anonimowi. Bitcoin to otwarte źródło, waluta cyfrowa, której nikt nie posiada ani nie kontroluje.
E-mail i złośliwe reklamy, znane również jako malvertising, są wektorami dla kampanii ransomware. Wykorzystuje się również inżynierię społeczną, na przykład gdy cyberprzestępcy, którzy identyfikują się jako technicy ds. bezpieczeństwa, dzwonią do domów i przekonują użytkowników do połączenia się ze stroną internetową, która pobiera ransomware na komputer użytkownika.
5. Pozostałe rodzaje malware:
| Rodzaj Malware | Opis |
|---|---|
| Spyware | Służy do zbierania informacji o użytkowniku i wysyłania tych informacji do innej jednostki bez zgody użytkownika. Spyware może być monitorem systemowym, koniem trojańskim, adware, śledzącymi ciasteczkami i keyloggerami. |
| Adware | Wyświetla irytujące wyskakujące okienka, aby generować dochód dla swojego autora. Malware może analizować zainteresowania użytkownika, śledząc odwiedzane strony internetowe. Następnie może wysyłać reklamy w wyskakujących okienkach dotyczące tych stron. |
| Scareware | Obejmuje oszukańcze oprogramowanie, które wykorzystuje inżynierię społeczną do wywoływania szoku lub lęku poprzez stworzenie postrzegania zagrożenia. Zazwyczaj jest kierowany do nieświadomego użytkownika i próbuje przekonać go do zainfekowania komputera, podejmując działania w celu zwalczania fałszywego zagrożenia. |
| Phishing | Próbuje przekonać ludzi do ujawnienia wrażliwych informacji. Przykłady obejmują otrzymywanie e-maila od banku z prośbą o podanie numeru konta i numeru PIN. |
| Rootkity | Instalowane na skompromitowanym systemie. Po zainstalowaniu kontynuuje ukrywanie swojego wtargnięcia i zapewnia uprzywilejowany dostęp do sprawcy zagrożenia. |
6. Kategorie ataków sieciowych:
- Ataki rekonesansowe (zwiadowcze)
- Ataki dostępu
- Ataki DoS
| Technika | Opis |
|---|---|
| Wykonaj zapytanie informacyjne o cel | Sprawca zagrożenia szuka początkowych informacji o celu. Można użyć różnych narzędzi, w tym wyszukiwarki Google, strony internetowej organizacji, whois i innych. |
| Zainicjuj skanowanie pingiem sieci docelowej | Zapytanie informacyjne zwykle ujawnia adres sieciowy celu. Sprawca zagrożenia może teraz zainicjować skanowanie pingiem, aby określić, które adresy IP są aktywne. |
| Zainicjuj skanowanie portów aktywnych adresów IP | Służy do określenia, które porty lub usługi są dostępne. Przykłady skanerów portów to Nmap, SuperScan, Angry IP Scanner i NetScanTools. |
| Uruchom skanery podatności | Służy do zapytania zidentyfikowanych portów, aby określić typ i wersję aplikacji oraz systemu operacyjnego, które są uruchomione na hoście. Przykłady narzędzi to Nipper, Secuna PSI, Core Impact, Nessus v6, SAINT i Open VAS. |
| Uruchom narzędzia do wykorzystywania podatności | Sprawca zagrożenia teraz próbuje odkryć podatne usługi, które mogą być wykorzystane. Istnieje wiele narzędzi do wykorzystywania podatności, w tym Metasploit, Core Impact, Sqlmap, Social Engineer Toolkit i Netsparker. |
Sprawcy zagrożeń używają ataków dostępowych na urządzenia sieciowe i komputery, aby odzyskać dane, uzyskać dostęp lub zwiększyć uprawnienia dostępu do statusu administratora.
- W ataku na hasło, sprawca zagrożenia próbuje odkryć kluczowe hasła systemowe za pomocą różnych metod. Ataki na hasła są bardzo powszechne i można je przeprowadzić za pomocą różnych narzędzi do łamania haseł.
- W atakach spoofingowych, urządzenie sprawcy zagrożenia próbuje podszyć się pod inne urządzenie, fałszując dane. Powszechne ataki spoofingowe obejmują spoofing IP, spoofing MAC i spoofing DHCP. Te ataki spoofingowe zostaną omówione bardziej szczegółowo później w tym module.
Inne ataki dostępowe obejmują:
- W ataku wykorzystującym zaufanie, sprawca zagrożenia używa nieautoryzowanych uprawnień, aby uzyskać dostęp do systemu, możliwie kompromitując cel.
- W ataku z przekierowaniem portów, sprawca zagrożenia używa skompromitowanego systemu jako bazy do ataków na inne cele.
- W ataku typu man-in-the-middle, sprawca zagrożenia jest umieszczony pomiędzy dwoma prawowitymi podmiotami, aby odczytać lub zmodyfikować dane, które przechodzą między dwoma stronami.
- W ataku typu buffer overflow, sprawca zagrożenia wykorzystuje pamięć bufora i zalewa ją nieoczekiwanymi wartościami. Zazwyczaj powoduje to unieruchomienie systemu, tworząc atak DoS.
10. Inżynieria społeczna to atak dostępowy, który próbuje manipulować jednostkami, aby skłonić je do wykonywania działań lub ujawniania poufnych informacji. Niektóre techniki inżynierii społecznej są wykonywane osobiście, podczas gdy inne mogą korzystać z telefonu lub internetu.
Inżynierowie społeczni często polegają na chęci ludzi do niesienia pomocy. Wykorzystują również słabości ludzi.
| Atak inżynierii społecznej | Opis |
|---|---|
| Preteksting | Sprawca zagrożenia udaje, że potrzebuje osobistych lub finansowych danych, aby potwierdzić tożsamość odbiorcy. |
| Phishing | Sprawca zagrożenia wysyła fałszywy e-mail, który jest przebrany za wiadomość od prawdziwego, zaufanego źródła, aby oszukać odbiorcę i skłonić go do zainstalowania złośliwego oprogramowania na swoim urządzeniu lub do udostępnienia osobistych lub finansowych informacji. |
| Spear phishing | Sprawca zagrożenia tworzy ukierunkowany atak phishingowy dostosowany do konkretnej osoby lub organizacji. |
| Spam | Znany również jako niechciana poczta, to niechciane e-maile, które często zawierają szkodliwe linki, złośliwe oprogramowanie lub mylące treści. |
| Coś za coś | Czasami nazywane “Quid pro quo”, to sytuacja, gdy sprawca zagrożenia prosi o osobiste informacje od strony w zamian za coś, na przykład prezent. |
| Baiting | Sprawca zagrożenia zostawia zainfekowany złośliwym oprogramowaniem pendrive w publicznym miejscu. Ofiara znajduje napęd i nieświadomie wkłada go do swojego laptopa, nieumyślnie instalując złośliwe oprogramowanie. |
| Udawanie kogoś innego | W tym typie ataku, sprawca zagrożenia udaje kogoś innego, aby zdobyć zaufanie ofiary. |
| Tailgating | Jest to sytuacja, gdy sprawca zagrożenia szybko podąża za autoryzowaną osobą do bezpiecznego miejsca, aby uzyskać dostęp do bezpiecznego obszaru. |
| Podglądanie przez ramię | Jest to sytuacja, gdy sprawca zagrożenia dyskretnie patrzy przez ramię kogoś, aby ukraść jego hasła lub inne informacje. |
| Grzebanie w śmieciach | Jest to sytuacja, gdy sprawca zagrożenia przeszukuje kosze na śmieci, aby odkryć poufne dokumenty. |
Zestaw narzędzi inżynierii społecznej (SET) został zaprojektowany, aby pomóc białym kapeluszom i innym profesjonalistom ds. bezpieczeństwa sieci w tworzeniu ataków inżynierii społecznej do testowania własnych sieci. Jest to zestaw narzędzi opartych na menu, które pomagają uruchamiać ataki inżynierii społecznej. SET jest przeznaczony tylko do celów edukacyjnych.
Przedsiębiorstwa muszą edukować swoich użytkowników na temat ryzyka związanego z inżynierią społeczną i opracować strategie weryfikacji tożsamości przez telefon, e-mail lub osobiście.
11. Bezpieczeństwo cybernetyczne jest tak silne, jak najsłabsze ogniwo. Najsłabszym ogniwem w bezpieczeństwie cybernetycznym może być personel w organizacji, a inżynieria społeczna stanowi poważne zagrożenie dla bezpieczeństwa.
12. Atak typu Denial of Service (DoS) powoduje pewnego rodzaju przerwanie usług sieciowych dla użytkowników, urządzeń lub aplikacji. Istnieją dwa główne typy ataków DoS:
- Przytłaczająca ilość ruchu - Sprawca zagrożenia wysyła ogromną ilość danych z prędkością, której sieć, host lub aplikacja nie są w stanie obsłużyć. Powoduje to spowolnienie czasu transmisji i odpowiedzi. Może to również spowodować awarię urządzenia lub usługi.
- Złośliwie sformatowane pakiety - Sprawca zagrożenia wysyła złośliwie sformatowany pakiet do hosta lub aplikacji, a odbiorca nie jest w stanie go obsłużyć. Powoduje to bardzo wolne działanie urządzenia odbierającego lub jego awarię.
Ataki DoS stanowią poważne ryzyko, ponieważ przerywają komunikację i powodują znaczne straty czasu i pieniędzy. Te ataki są stosunkowo proste do przeprowadzenia, nawet przez niewykwalifikowanego sprawcę zagrożenia.
Rozproszony atak DoS (DDoS) jest podobny do ataku DoS, ale pochodzi z wielu, skoordynowanych źródeł. Na przykład, sprawca zagrożenia buduje sieć zainfekowanych hostów, znanych jako zombie. Sprawca zagrożenia korzysta z systemu poleceń i kontroli (CnC) do wysyłania poleceń sterujących do zombie. Zombie ciągle skanują i zarażają więcej hostów złośliwym oprogramowaniem bot. Złośliwe oprogramowanie bot jest zaprojektowane tak, aby zainfekować hosta, czyniąc go zombie, który może komunikować się z systemem CnC. Zbiór zombie nazywa się botnetem. Gdy jest gotowy, sprawca zagrożenia instruuje system CnC, aby botnet zombie przeprowadził atak DDoS.
13. Jeśli sprawcy zagrożeń mogą skompromitować wiele hostów, mogą przeprowadzić rozproszony atak DoS (DDoS). Ataki DDoS są podobne do ataków DoS pod względem intencji, z tym że atak DDoS zwiększa swoją skalę, ponieważ pochodzi z wielu skoordynowanych źródeł, jak pokazano na rysunku. Atak DDoS może korzystać z setek lub tysięcy źródeł, jak w przypadku ataków DDoS opartych na IoT.
| Komponent | Opis |
|---|---|
| Zombie | Odnosi się do grupy skompromitowanych hostów (tj. agentów). Te hosty uruchamiają złośliwy kod nazywany robotami (tj. botami). Złośliwe oprogramowanie zombie ciągle próbuje samodzielnie się rozmnażać jak robak. |
| Boty | Boty to złośliwe oprogramowanie zaprojektowane do zainfekowania hosta i komunikacji z systemem obsługi. Boty mogą również rejestrować naciśnięcia klawiszy, zbierać hasła, przechwytywać i analizować pakiety i więcej. |
| Botnet | Odnosi się do grupy zombie, które zostały zainfekowane za pomocą samoreplikującego się złośliwego oprogramowania (tj. botów) i są kontrolowane przez obsługę. |
| Obsługa | Odnosi się do głównego serwera poleceń i kontroli (CnC lub C2) kontrolującego grupy zombie. Twórca botnetu może używać Internet Relay Chat (IRC) lub serwera sieciowego na serwerze C2 do zdalnej kontroli zombie. |
| Botmaster | Jest to sprawca zagrożenia, który kontroluje botnet i obsługę. |
Wczesnym przykładem użycia źle sformatowanych pakietów był Ping of Death. W tym starszym ataku, sprawca zagrożenia wysłał ping of death, który był żądaniem echa w pakiecie IP większym niż maksymalny rozmiar pakietu wynoszący 65 535 bajtów. Odbierający host nie byłby w stanie obsłużyć pakietu o takim rozmiarze i uległby awarii.
Ataki z przepełnieniem bufora są ciągle ewoluowane. Na przykład, niedawno odkryto podatność na zdalny atak odmowy obsługi w systemie Microsoft Windows 10. Konkretnie, sprawca zagrożenia stworzył złośliwy kod, aby uzyskać dostęp do pamięci poza zakresem. Gdy ten kod jest dostępny dla procesu Windows AHCACHE.SYS, próbuje wywołać awarię systemu, odmawiając obsługi użytkownikowi. Wyszukaj w Internecie “TALOS-2016-0191 blog”, aby przejść do strony internetowej Cisco Talos z informacjami o zagrożeniach i przeczytać opis takiego ataku.
Sprawcy zagrożeń dawno temu nauczyli się, że “ukrywanie to przetrwanie”. Oznacza to, że ich złośliwe oprogramowanie i metody ataku są najskuteczniejsze, gdy są niewykryte. Z tego powodu wiele ataków korzysta z tajemniczych technik unikania, aby ukryć ładunek ataku. Ich celem jest uniknięcie wykrycia poprzez omijanie obrony sieciowej i hosta.
Niektóre z metod unikania używanych przez sprawców zagrożeń obejmują:
| Metoda unikania | Opis |
|---|---|
| Szyfrowanie i tunelowanie | Ta technika unikania używa tunelowania do ukrycia lub szyfrowania plików złośliwego oprogramowania. Utrudnia to wykrycie i identyfikację złośliwego oprogramowania przez wiele technik wykrywania bezpieczeństwa. Tunelowanie może oznaczać ukrywanie skradzionych danych wewnątrz prawidłowych pakietów. |
| Wyczerpanie zasobów | Ta technika unikania sprawia, że host docelowy jest zbyt zajęty, aby prawidłowo korzystać z technik wykrywania bezpieczeństwa. |
| Fragmentacja ruchu | Ta technika unikania dzieli złośliwy ładunek na mniejsze pakiety, aby ominąć wykrywanie bezpieczeństwa sieci. Po tym, jak fragmentowane pakiety omijają system wykrywania bezpieczeństwa, złośliwe oprogramowanie jest ponownie składane i może zacząć wysyłać wrażliwe dane poza sieć. |
| Błędna interpretacja na poziomie protokołu | Ta technika unikania występuje, gdy obrona sieciowa nie obsługuje prawidłowo funkcji PDU, takich jak suma kontrolna lub wartość TTL. Może to zmylić zaporę ogniową, aby zignorowała pakiety, które powinna sprawdzić. |
| Podmiana ruchu | W tej technice unikania, sprawca zagrożenia próbuje oszukać IPS, zaciemniając dane w ładunku. Jest to robione poprzez kodowanie go w innym formacie. Na przykład, sprawca zagrożenia mógłby użyć zakodowanego ruchu w Unicode zamiast ASCII. IPS nie rozpoznaje prawdziwego znaczenia danych, ale docelowy system końcowy może odczytać dane. |
| Wstawianie ruchu | Podobne do podmiany ruchu, ale sprawca zagrożenia wstawia dodatkowe bajty danych w złośliwą sekwencję danych. Reguły IPS pomijają złośliwe dane, akceptując pełną sekwencję danych. |
| Pivoting | Ta technika zakłada, że sprawca zagrożenia skompromitował hosta wewnętrznego i chce rozszerzyć swój dostęp dalej do skompromitowanej sieci. Przykładem jest sprawca zagrożenia, który uzyskał dostęp do hasła administratora na skompromitowanym hoście i próbuje zalogować się do innego hosta za pomocą tych samych danych uwierzytelniających. |
| Rootkity | Rootkit to skomplikowane narzędzie atakującego używane przez doświadczonych sprawców zagrożeń. Integruje się z najniższymi poziomami systemu operacyjnego. Gdy program próbuje wylistować pliki, procesy lub połączenia sieciowe, rootkit prezentuje oczyszczoną wersję wyjścia, eliminując wszelkie obciążające dane wyjściowe. Celem rootkita jest całkowite ukrycie działań atakującego na lokalnym systemie. |
| Proxies | Ruch sieciowy może być przekierowywany przez systemy pośrednie, aby ukryć ostateczne miejsce przeznaczenia dla skradzionych danych. W ten sposób znane systemy poleceń i kontroli nie mogą być zablokowane przez przedsiębiorstwo, ponieważ miejsce przeznaczenia proxy wydaje się nieszkodliwe. Dodatkowo, jeśli dane są kradzione, miejsce przeznaczenia dla skradzionych danych może być rozproszone wśród wielu proxy, co nie zwraca uwagi na fakt, że jedno nieznane miejsce przeznaczenia służy jako miejsce przeznaczenia dla dużych ilości ruchu sieciowego. |