Архив метки: Аудит ИБ

Теоретические основы тестирования на проникновение (pentest) Часть I Введение

Что такое тестирование на проникновение?

Для начала предлагаем разобраться, что же такое тестирование на проникновение? В это статье  мы рассмотрим, что такое тестирование на проникновение или пентест и почему это важно. Затем мы рассмотрим различные типы тестов на проникновение и различные подходы, которые используются специалистами по информационной безопасности. Национальный институт безопасности и технологий определяет пентестинг,  как тестирование системы безопасности, в ходе которого эксперты имитируют реальные атаки для выявления методов обхода выстроенной системы безопасности приложения, инфраструктуры или сети. Это зачастую включает в себя использование реальных атак на системы, которые находятся в промышленной эксплуатации, а также атаки с целью получения доступа к конфиденциальной информации с помощью инструментов и методов, обычно используемых хакерами. Теперь, когда кибератаки становятся нормой, как никогда важно регулярно проводить сканирование уязвимостей и тестирование на проникновение, чтобы выявить уязвимости и убедиться, что выстроенная система информационной безопасности работает. Учитывая тот факт , что реальные атаки на системы в проде это не то, что будет выполняться ежемесячно или ежеквартально. Многие компании неохотно проводят пентест, например 1 раз в год , скажем так для галочки , игнорируя важность этих мероприятий для бизнеса.

Теперь, когда мы подсветили важность пентеста нам нужно опеределить различные подходы, которые мы можем использовать для проведения теста на проникновение. Один тест на проникновение в разных компаниях не даст нам одинаковый результат, потому что каждая компания использует разные инструменты, системы, приложения. Ключевой принцип здесь – это гибкость в своих подходах. Как известно, восемьдесят процентов атак происходит внутри компании, поэтому важно протестировать систему, в роли сотрудника или бывшего (возможно обиженного) сотрудником. Уже имея доступ к некоторым из информационных систем мы можем продвинуться дальше, чем, скажем, если бы мы были внешним хакером, который просто использовал бы наиболее популярные инструменты. Следующий подход-это просмотр веб-или мобильных приложений, . Эти методы обычно включают в себя проверку на безопасность кода и соответствия политике информационной безопасности. Существует множество попыток аутентификации и взлома паролей, не стоит забывать и про социальную инженерию. Сама по себе социальная инженерия создает направлена на психологические аспекты внутри кого-то, чтобы получить доступ к информации, которую вы обычно не получили бы. Исторически мы знаем социальную инженерию как фишинговые атаки по электронной почте, но атаки также могут быть телефонными звонками и др.

Часто это делается путем угроз, ультиматумов, дезинформации, создания ощущения срочности, эскалации и создания ситуации, в которой вы заставляете кого-то разглашать информацию или получать доступ к чему-то, к чему вы обычно не имеете доступа. Дальше идут беспроводные сети. Допустим, мы знаем, что большинство компаний будут иметь внутреннюю беспроводную сеть для всех своих сотрудников, поэтому очень важно, чтобы мы проверили ее и убедились, что она соответствует политике информационной безопасности. Поскольку каждый сотрудник подключается к этой внутренней сети, часто они пытаются использовать свои собственные устройства, будь то телефоны или ноутбуки. Таким образом, все они становятся объектами атак, которые мы можем проверить. Даже за пределами работы многие вещи на сегодняшний день подключены к интернету, будь то веб-камеры, термостаты или даже кофеварки. Другими словами, необходимо рассмотреть все различные подходы, которые мы имеем в своем распоряжении.

Промышленные системы управления исторически очень устарели со своими паролями, со своими операционными системами и очень восприимчивы к атакам с использованием социальной инженерии, потому что они часто используют дефолтные пароли и конфигурации по умолчанию. Сейчас системы управления промышленностью существуют не везде, а в основном в нефтяной, газовой и электрической отраслях. Но вы можете себе представить, что скомпрометированные промышленные системы могут принести очень большой ущерб как предприятию, так и стране, ее экологии и тд. и  в целом, несут за собой экономические, репутационные и др. убытки, поэтому наиболее важно проверять именно их.

Как я уже упоминал в первоначальном определении пентестинга, тесты на проникновение могут выполняться в различных приложениях, сетях и системах, а также на мобильные устройства и различные операционные системы. Хотя каждый из этих различных подходов может отличаться, методология, которую мы используем, остается  одной, так как, всегда будет начальная фаза — это планирования, когда вы пишите договор, соглашение с компанией, которое определит масштаб атаки, и поскольку вы атакуете реальную систему, очень важно, чтобы вы установили очень строгие границы и очень четко определили, что может произойти, а что нет. Как только у вас есть план, где прописано то, что вы хотите сделать, последует стадия разведки или обнаружения, где вы получите как можно больше информации, как активно, так и пассивно. Как только вы почувствуете, что у вас достаточно информации, вы перейдете к эксплутации уязвимостей. Затем, когда атака завершена или вы выполнили все, что вы намеревались выполнить на этапе планирования приходит время составления отчета, где чрезвычайно важным для заказчика является отражением того какие атаки были успешными, а какие нет.



2020-06-26T15:43:06
Аудит ИБ

🐍 Брутим SSH удаленного сервера

Брутим SSH удаленного сервера

Для брута (атаки перебором паролей) будем использовать инструмент Hydra, который входит в состав дистрибутива Kali Linux. SSH присутствует на любом сервере Linux или Unix и, как правило, является основным способом использования администраторами для доступа к своим системам и управления ими.

Предупреждение: Hydra является инструментом для атак

«Используйте его только в собственных системах и сетях, если у вас нет письменного разрешения владельца. В противном случае, это незаконно.»

Для реализации атаки используем команду:

# hydra -s 22 -l root -P /usr/share/wordlists/fasttrack.txt 192.168.1.1 -t 4 ssh

Теперь разберем ее:

s – Флаг указывает на порт. Стоит отметить, что администраторы могут заменить дефолтный 22 порт для работы службы ssh, чтобы узнать на каком порту работает служба необходимо произвести первоначальное сканирование цели с помощью инструмента Nmap. О том как это сделать мы писали ранее в статье.

l – флаг указывает на логин, в нашем примере мы используем root и admin. (можем указать здесь ссылку на словарь)

P – флаг указывает на пароль, в нашем случае мы используем словарик fasttrack.txt из дистрибутива kali, который располагается в директории /usr/share/wordlists/

Стоит отметить, что для эффективного проведения атаки брутфорсом стоит должное внимание уделить подготовки словаря, а именно: учесть географические и лингвистические особенности, включить в словарь название компании, названия ее дочерних предприятий, названия работающих сервисов и приложений, фамилии работников и т. д.

192.168.1.1 – ip адресс цели, так как используемая нами цель имеет белый ip, он замазан

t — флаг указывает на число одновременно используемых потоков. Укажем 4

ssh — используемый протокол

По результатам работы команды видим, что пароли из словаря не подошли для логинов admin и root

Выводы

Hydra является удобным и простым инструментом для тестирования парольной политики SSH.

Инструмент способен просматривать массивные списки имен пользователей, паролей и целей для проверки, если вы или пользователь используете потенциально уязвимый пароль.

Hydra имеет гибкую настройку, используя свои многочисленные флаги для ряда всевозможных ситуаций.

Для любого ибешника обеспечение безопасности паролей SSH должно быть главным приоритетом.

¯_(ツ)_/¯

Примечание: Информация для исследования, обучения или проведения аудита. Применение в корыстных целях карается законодательством РФ.



2020-06-15T09:29:09
Аудит ИБ

🖧 Как просканировать цель с помощью Nmap?

Как просканировать цель с помощью Nmap?

Рассмотрим сегодня всем известный и старый как мир инструмент для исследования сети.

Для тестового сканирования рассмотрим инструмент Metasploitable. Образ с уже подготовленными уязвимостями.

Скачиваем образ по ссылке https://sourceforge.net/projects/metasploitable/ в формате zip и извлекаем из архива.

Открываем VMware Workstation Pro – > Open a Virtual Mashine и выбираем файл конфигурации виртуальной машины Metasploitable.vmdk после чего запускаем виртуальную машину.

После загрузки компонентов и приветствия вводим login: msfadmin, password: msfadmin.

Затем необходимо убедиться, что был получен ip-адрес командой ifconfig. Полученный ip в данном случае 192.168.57.128. В случае если ip не был получен Вы можете прописать статический ip в etc/network/interfaces

Откроем веб форму по полученному ip через IE

После необходимо скачать клиент Nmap и поставить на хостовую (другую виртуальную) машину. В нашем случае ставим на Windows 10. https://nmap.org/download.html. При установке выбираем необходимые компоненты и устанавливаем. Удобнее конечно использовать дистрибутив Kali Linux, где многие необходимые тулзы для целей сканирования уже в составе.

Для начала проведем сканирование на обнаружение цели, отправив эхо-запрос и получив эхо ответ с помощью утилиты ping. Просканируем всю подсеть с 24 маской c помощью команды:

nmap -sP 192.168.57.0/24



В результате как мы видим наш хост пингуется, остальные 2 значения с ip-адресом это виртуальный свитч Vmware. Бывают ситуации когда межсетевой экран блокирует icmp, брандмауэр windows по умолчанию это делает, поэтому рассмотрим сканирование с отправкой TCP пакетов на конкретный хост , для этого введем команду

nmap -PT 192.168.57.128 -sn

sn – флаг о том, что не нужно сканировать порты исследуемой цели

Далее рассмотрим сканирование портов с помощью TCP. Стоит отметить, что порты бывают в 3 состояниях открытый, закрытый и фильтруемый. Результат о статусе портов достигается c помощью направления пакета в заголовке которого указан флаг SYN, если порт открыт, то в ответ от цели, в соответствии с 3-х этапным построением TCP соединения, возвращается пакет в заголовке которого установлены флаги SYN и ACK. Если же порт закрыт то в ответ направляется пакет TCP с установленным флагом RST, этот флаг указывает на то, что попытка установки соединения отвергнута целью. Если порт фильтруется то мы не получаем ответа. TCP сканирование может быть скрытым (когда реализуется только 2 из 3х этапов TCP соединения, и оно не логируется) и полное TCP соединение.

Запустим для начала скрытое TCP сканирование с помощью команды:

nmap -sS 192.168.57.128

По результатам увидим открытые TCP порты

 

Теперь проведем TCP сканирование с полным установлением соедниния, введя команду

nmap -sT 192.168.57.128

 

Результаты по открытым портам и их службам схожими. Видим много интересных для нас открытых протоколов и работающих на них служб

Чтобы посмотреть версию работающего на различных службах программного обеспечения введем

nmap 192.168.57.128 -sV

 

Сканирование с помощью UDP достигается отправкой запроса (response) на порты, если в ответ приходит ответ (response), то это означает, что порт открыт. Если же в ответ на запрос (в udp нет флагов) поступает ICMP ответ тип 3 код 3 (цель недоступна) , значит порт закрыт. Если ответ не получен то порт фильтруется.

nmap -sU 192.168.57.128

 

Еще один интересный вид сканирования -с использованием скриптового движка. Хоть nmap и классифицируется как сканер сети, он имеет в своем арсенале функционал по поиску уязвимостей. Чтобы воспользоваться им введем команду:

nmap -sC 192.168.57.128

 

По результатам мы видим, например разрешен анонимный вход по FTP, ssh ключи, smtp команды доступные на исследуемой машине и т.д.

 

Для сканирования “на все” необходимо ввести команду

nmap -A 192.168.57.128

Выполнение команды займет значительное время и оказывает значительную нагрузку на исследуемую цель.

После сбора информации о системе производится анализ и оценка



2020-05-21T11:52:35
Аудит ИБ

🔥 Как перехватить трафик в коммутируемой среде?

Анализ сетевого трафика всегда был неотъемлемой частью работы любого сетевого инженера, администратора сети для выявления проблем работоспособности и конфигурации активного оборудования, а также специалистов по информационной безопасности для выявления аномальной сетевой активности вредоносного программного обеспечения.

Анализ перехваченных пакетов безусловно требует от специалиста наличие глубоких знаний в области сетевых технологий, а также навыков работы с программным обеспечением анализаторов пакетов, таким например, как всем известный wireshark, так как необходимо знать синтаксис фильтров, уметь быстро находить интересующие протоколы и т.д.

Но гораздо сложнее это трафик перехватить, точнее установить оборудование для его перехвата.

Так как же перехватить трафик?

Как расположить и настроить оборудование для прослушивания ?

Предлагаю рассмотреть варианты расположения (подключения) оборудования для снифа в коммутируемой среде (перехват wi-fi канала рассмотрим в следующей статье).

Самым удобным способ является установка сниффера непосредственно на интересующем нас прослушиваемом хосте.

Однако часть трафика, весьма полезная для исследования, но не предназначенное конечному устройсву будет отбрасыватся сетевым интерфейсом и не передаваться на обработку в систему, а значит и захватить этот трафик для дальнейшего исследования мы не сможем. К такому трафику относятся широковащательный трафик в рамках работы коммутатора.

К примеру ARP запрос, который используют хосты для определения MAC-адреса, который соответствует определенному IP-адресу.

Зная IP, направляем ARP запрос с целью сопоставления IP-MAC всем устройствам внутри широковещательного домена.

Однако только искомый хост “заинтересован” в получении такого запроса, остальные хосты, как упомяналось выше, указанный пакет отбросят.

Для наглядности, с помощью Cisco Packet racer, рассмотрим как хост с IP-адрессом 192.168.1.2 направляет ARP запрос на хост 192.168.1.4.

Предварительно проверив, что ARP записей на 192.168.1.2 нет от слова совсем командой arp -a (удалить их можно с помощью arp -d) выолняем команду ping на 192.168.1.4.

Так как мы не знаем MAC адрес, то первончально направляем ARP запрос. Запрос приходит на коммутатор (cisco 2960), далее он направляется на все хосты, подключенные к коммутатору. После этого хост 192.168.1.3 отбрасывает указанный, а 192.168.1.4 соответственно отвечает.

 

Для того, чтобы захватывать весь поступающий траффик на 192.168.1.3 необходимо на сетевом интерфейсе включить смешанный режим раюоты. Это позволяют сделать программные компоненты Aircrack-ng, Wireshark, tcp dump  идр.

Когда нет возможности разместить анализатор трафика на целевом хосте помочь может концентратор.

В таком случае исследуемый хост и анализатор трафика в одном коммутируемом сегменте сети подключаются к одному концентратору.

В результате все поступающие и исходящие пакеты будут проходить по всем портам концентратора.

Так например, отправив пакеты с Host1 на Host2,  концентратор Hub0 направит их как на исследуемый Host2,  так и на анализатор пакетов Sniffer.

Отброс пакетов Sniffer’ом на картинке, обусловлен отключенным смешанным режимом работы сетевого адаптера.

Самым популярным способом перехвата трафика остается метод зеркалирование портов.

Для реализации этого метода необходимо чтобы коммутатор был управляемым, а также иметь физический или через удаленный ssh/Web-интерфейс доступ к нему.

Смысл заключается в том, чтобы принимаемый и отправляемый трафик устройства подключённого к порту коммутатора – зеркально направлялся на другой порт коммутатора, куда подключен анализатор трафика.

Так, подключившись, настроим коммутатор Сisco 2960 для зеркалирования трафика на портах fastEthernet 0/1 и fastEthernet 0/2 куда подключены host1 и host2 соответсвенно:

Switch>enable

Switch#conf terminal

Switch(config)#monitor session 1 source interface fastEthernet 0/1

Switch(config)#monitor session 1 source interface fastEthernet 0/2

И порт, на который будет зеркалироваться трафик, куда подключен анализатор пакетов :

Switch(config)#monitor session 1 destination interface f0/24

Проверим:

Switch#show monitor

Session 1

---------

Type                   : Local Session

Description            : -

Source Ports           :

Both               : Fa0/1,Fa0/2

Destination Ports      : Fa0/24

Encapsulation      : Native

Ingress      : Disabled

Итак направим пакеты от Host1 (192.168.1.1)  на Host2( 192.168.1.2) и видим, что они зеркалируются коммутатором наш снифер:

Открываем перехваченный ICMP пакет на снифере:

 

Указанные методы не лишены недостатков, а другие методы перехвата сетевого трафика – такие как заражение ARP-кэша и применение сетевых ответвителей рассмотрим в следующих статьях.

¯_(ツ)_/¯

Примечание: Информация для исследования, обучения или проведения аудита. Применение в корыстных целях карается законодательством РФ.



2020-02-05T13:23:31
Аудит ИБ

🖧 Как просканировать сеть на предмет поиска расшаренных папок, принтеров и т.д.

В ходе аудита или разведки, а также, например при необходимости найти принтер в сети может помочь сетевой сканер.

Сегодня представляем Вам Advanced IP Scanner.

Что такое Advanced IP Scanner

Продукт бесплатен, имеет достаточно простой интерфейс и самое главное не требует установки.

Доступен как Windows так и на Linux.

Ранее мы уже упоминали этот инструмент:

Качаем с сайта производителя, запускаем и выбираем язык, и жмем запустить без установки.

Далее выбираем интересующий пул IP-адресов или выбираем сканировать  подсеть этого компьютера.

 

После сканирования находим наш принтер и его ip:

И даже заходим в админку по http)))

 



2019-05-14T16:07:55
Аудит ИБ

Как перехватить данные по сети👨⚕️

Как использовать сетевой перехватчик трафика для дальнейшего анализа?

Перехват пакетов всегда был и будет одним важнейших инструментов сетевой безопасности , пентеста и взлома. Как эффективно использовать его с помощью многочисленных примеров Вам подскажет приведенное руководство.

В работе представлены примеры по поиску Cookies, соединений SSH, DNS и FTP -трафика, а также самое вкусное – переданные текстовые пароли.

Все эти действия автор проделывает в tcpdump, демонстрируя  многочисленные практические примеры использования захвата трафика (50 примеров) .

Скажем спасибо Даниэлю и делимся ссылкой:

https://danielmiessler.com/study/tcpdump/

 



2019-01-08T16:49:37
Аудит ИБ