Когда я делаю netstat -a на своем копмьютере Windows, я получаю список портов с одним из четырех состояний:
- LISTENING
- CLOSE_WAIT
- TIME_WAIT
- ESTABLISHED
Что CLOSE_WAIT и TIME_WAIT значит / указывает?
Из-за того, как работает TCP/IP, соединения не могут быть закрыты сразу. Пакеты могут выйти из строя или быть переданы повторно после того, как соединение было закрыто. CLOSE_WAIT указывает, что удаленная конечная точка (другая сторона соединения) закрыла соединение. TIME_WAIT указывает, что локальная конечная точка (эта сторона) закрыла соединение. Соединение поддерживается таким образом, что любые задержанные пакеты могут быть сопоставлены с соединением и обработаны соответствующим образом. Соединения будут удалены, когда они тайм-аут в течение четырех минут. Видеть http://en.wikipedia.org/wiki/Transmission_Control_Protocol для более подробной информации.
На персональной сети (LAN) можно просто присвоить IP-адрес. При выборе того же IP-адреса, что и существующий клиент, возникают проблемы. Есть такие компании, как IANA и ICANN, которые отвечают за объем IP-адресов и продают их. Но что мешает вам просто захватить случайный IP-адрес? Это построено на доверии? Что делать, если кто-то захватит IP-адрес и возникнет конфликт. Есть ли способ отслеживать этот IP-адрес для местоположения сервера, используя его?
Являются ли компании, которые фактически поддерживают физические интернет-кабели, проверяют, используют ли клиенты подключения купленные блоки IP-адресов?
Нет ничего, что помешало бы вам прикрепить к интернету ящик, настроенный с чужого IP-адреса. Тем не менее, это не обязательно вызовет какие-либо проблемы для кого-либо еще, кроме вас самих.
Если вы украли чужой IP-адрес за пределами подсети, к которой вы физически подключены, единственное, чего вы достигнете, это не возможность получать какой-либо трафик, так как любой маршрутизатор, ведя себя правильно, будет направлять трафик к реальному владельцу этого IP-адреса. Возможно, вы сможете рекламировать ложные маршруты для любого пограничного маршрутизатора вверх по течению от вас в надежде на то, что они будут распространяться дальше в надежде на то, что трафик будет перенаправлен вам на основе вашего похищенного IP-адреса, но любой незначительно компетентный провайдер/восходящий провайдер никогда не примет маршруты от своих не-корпоративных потребителей. Что касается корпоративных клиентов/других интернет-провайдеров, они связаны определенными правилами о том, какие маршруты они могут рекламировать и использовать с их транзитным провайдером или партнером, которые контролируются 24/7 сетевыми операциями и группами управления. Большинство из них также имеют правила о том, какие маршруты они будут принимать как действительные в зависимости от того, кто их рекламировал. Короче говоря, кража чьего-то IP-адреса за пределами подсети, к которой вы подключены, ничего не дает, если Вы также не можете манипулировать вышестоящими таблицами маршрутизации.
Кроме того, если бы вы украли IP-адрес кого-то в вашей же подсети, вы нарушите трафик как того, кто им владеет, так и самого себя. С любым управляемым коммутатором или маршрутизатором это вызовет сигналы тревоги, поскольку есть дублирующий адрес в сети и, вероятно, приведет к тому, что ваше соединение будет заблокировано каким-то образом.
Существует ли IP-адрес, который приведет к тому, что любой отправленный пакет будет проигнорирован (blackholed)?
Я знаю, что всегда могу настроить маршрутизатор с IP-адресом, а затем просто заставить его игнорировать все пакеты, отправленные ему, но существует ли такая вещь, чтобы спасти меня от этой проблемы?
Если в сети нет устройств с IP-адресом 192.168.0.10, то этот IP-адрес-своего рода черная дыра, и он будет «отбрасывать» весь трафик к нему, просто потому, что он не существует.
Протоколы, которые отслеживают состояние соединения (TCP), могут обнаружить отсутствующий хост назначения. Это не произойдет с UDP, и пакеты просто умрут, в то время как отправляющий хост не будет проинформирован об этом.
Вы можете настроить черную дыру с помощью брандмауэра, установив ее, чтобы тихо отбрасывать пакеты, (а не отклонять) от определенных (или разных) адресов.
Нет такого сетевого стандартного адреса, который будет делать черную дыру для вас в TCP/IP версии 4
Таким образом, у вас есть два варианта:
IP-адрес, который не был назначен ни одному хосту;
Хост с брандмауэром, который тихо отбрасывает пакеты или его вариации, например, с помощью netcat .
nc -vv -l 25 > /dev/null будет прослушивать входящие соединения на TCP-порт 25 и передать результаты /dev/null. Больше примеров здесь.
Вся подсеть также может быть черной дырой (нулевой маршрут).
Офисные документы Microsoft широко используются злоумышленниками для отправки вредоносного файла, а затем убеждают пользователя открыть файл с помощью методов социальной инженерии.
В Microsoft существует несколько способов обмена данными между приложениями, а самый популярный – DDE, который известен как Dynamic Data Exchange, который отправляет сообщения между приложениями и использует общую память для обмена данными между приложениями.
Он может использоваться для одноразового использования или для непрерывного обмена.
Здесь вы можете увидеть видео-учебник для DDE Exploit, сделанный gbhackers:
Хакеры используют этот метод в природе для выполнения вредоносных скриптов и для компрометации жертв.
Корпорация Майкрософт выпустила лучшие методы обеспечения безопасности, чтобы безопасно открывать документы Office, содержащие Dynamic Data Exchange, и настоятельно рекомендует просмотреть функцию безопасности.
В сценарии атаки по электронной почте злоумышленник может использовать DDE-протокол, отправив пользователю специально созданный файл, а затем убедить пользователя открыть файл, как правило, путем соблазна в письме.
Злоумышленнику придется убедить пользователя отключить Защищенный режим и нажать одну или несколько дополнительных подсказок.
Поскольку вложения электронной почты являются основным методом, который злоумышленник может использовать для распространения вредоносного ПО, Microsoft настоятельно рекомендует клиентам проявлять осторожность при открытии подозрительных файловых вложений.
Недавняя уязвимость удаленных исполняемых файлов MS Office позволяет злоумышленнику полностью контролировать зараженную операционную систему Windows, и эта уязвимость затронута всей версией Microsoft Office.
Он был рассмотрен Microsoft с рекомендациями по безопасности CVE-2017-11826.
Смягчение для DDE-атаки – Microsoft
Microsoft Excel
Excel сильно зависит от DDE, чтобы открывать документы, Microsoft предлагает выключить автоматическое обновление ссылок на рабочую книгу, чтобы предотвратить автоматическое обновление из Excel, включая DDE, OLE.
Если вы отключите автоматическое обновление, данные не будут обновлены, поэтому пользователю необходимо вручную подать данные.
Применяется к Office 2007, 2010, 2013, 2014.
Чтобы отключить функцию DDE через пользовательский интерфейс:
Установите Файл-> Опции-> Центр доверия-> Настройки центра доверия … -> Внешний контент-> Параметры безопасности для ссылок на рабочую книгу = Отключить автоматическое обновление ссылок на рабочую книгу.
Чтобы отключить функцию DDE с помощью редактора реестра:
С обновлением Windows 10 после осени Windows Defender Exploit Guard может блокировать вредоносное ПО на базе DDE в соответствии с сокращением поверхности атаки.
Я просмотрел руководства VirtualBox, но ничего чрезвычайно технического не вышло (это был просто общий блеск по этой теме).
Как он назначает другой IP виртуальному копмьютеру, используя одну и ту же сетевую карту?
Почему этот другой IP (с ip addr под Linux) не отображается в разделе «подключенные устройства» моего маршрутизатора, но я могу перенаправить его на него?
Почему, если я подключаюсь к защищенной паролем сети WiFi, мне не требуется вводить мой пароль?
Это многопоточность?
В руководстве по VirtualBox, Глава 6 виртуальных сетей в разделе сетевой мост :
При использовании мостовой сети VirtualBox использует драйвер устройства в вашей хост-системе, фильтрующий данные от физического сетевого адаптера. Этот
поэтому драйвер называется «сетевым фильтром». Это позволяет
VirtualBox перехватывать данные из физической сети и вводить в нее данные, эффективно создавая новый сетевой интерфейс в программном обеспечении.
Когда Гость использует такой новый программный интерфейс, он смотрит на
хост-систему, как если бы Гость был физически подключен к
интерфейсу с помощью сетевого кабеля: хост может отправлять данные гостю
через этот интерфейс и получать данные от него. Это значит, что вы
можете настроить маршрутизацию или мосты между гостями и остальной частью вашей сети.
Сетевой мост — это сетевое устройство, которое соединяет более одного сегмента сети. В модели OSI, мосты действуют в первых двух слоях,
ниже уровня сети.
VirtualBox и другие виртуальные менеджеры
используют системные драйверы для внедрения пакетов в сеть и
притворяются физическим адаптером.
Поскольку все пакеты отправляются по всей сети, каждое устройство, считывает только пакеты
которые отмечены его адресом, виртуальный драйвер просто вводит пакеты собственным виртуальным MAC-адресом и реагирует на пакеты, предназначенные для этого
MAC-адреса, хотя физически такого адаптера не существует.
Это делается на достаточно низком уровне сетевой модели, так что хост
не будет реагировать на эти сообщения на более высоких уровнях,
так как они имеют штамп с другим Mac-адресом, чем у хоста.
Это точно такая же техника, что используется хакерами для атак
Эта атака предполагает использование макросов и вредоносных документов.
В исследовании, которое было выполнено Trend Micro, стало ясно, что макрос, который скрыт в документе, будет искать ярлыки на рабочем столе, и он заменит ярлык вредоносными адресами.
Когда пользователь нажимает на одну из ярлыков, пользователь будет перенаправлен на загрузку дополнительных вредоносных программ на устройство.
Ярлыки, которые являются целями атаки:
Skype
Google Chrome
Mozilla Firefox
Opera
Internet Explorer
Решения и смягчение
Это вредоносное ПО, от использования его макроса до его установки, демонстрирует очень необычное поведение и, вероятно, все еще находится в разработке.
Мы считаем, что вредоносное ПО не широко распространено и до сих пор было всего несколько жертв.
Тем не менее, важно знать об этом вредоносном ПО и методе атаки, поскольку новые и улучшенные версии могут быть в работе.
Microsoft по умолчанию отключает макросы, так как они знают, как злоумышленники используют встроенные коды.
Получение знакомства с настройками макроса системы может помочь пользователям наилучшим образом использовать макрос при фильтрации атак с использованием кода, но обычно рекомендуется избегать загрузки и включения макроса для документов из новых или неизвестных источников.
Вы можете ознакомиться с этой атакой более детально : https://blog.trendmicro.com/trendlabs-security-intelligence/malicious-macro-hijacks-desktop-shortcuts-to-deliver-backdoor/
