Практична підготовка в пентест-лабораторіях. Частина 4



«Корпоративні лабораторії» — програма професійної підготовки в області інформаційної безпеки, що складається з теоретичної (курси, семінари) та практичної підготовки (робота в пентест-лабораторіях). У даній статті буде розглянуто зміст саме практичної бази, що становить близько 80% від загальної програми навчання.

Найчастіше перед фахівцями інформаційної безпеки може стояти завдання з нейтралізації наслідків злому; оцінки цілісності систем; розуміння того, як сталася атака і що вона торкнулася; збору доказової бази та оцінки ризиків.

Форензика
Форензика — прикладна наука про розкриття злочинів, пов'язаних з комп'ютерною інформацією, про дослідження цифрових доказів, методи пошуку, отримання і закріплення таких доказів. Форензика є підрозділом криміналістики.

На жаль, в РФ цей напрямок розвинутий досить слабко, що накладає певні відбитки на специфіку роботи. У ролі «сб» в більшості випадків виступають системні адміністратори, виконуючи їх функції і «захищаючи» інфраструктуру. Тим не менш, у разі настання інциденту безпеки, вони, як правило, не готові до правильним і виваженим діям щодо протидії загрозам, у них відсутні процедури і план з реагування на інциденти.

Реагування
Правильно складений план допомагає в стресовій ситуації (звичайно, бувають різні ситуації, і дії оператора повинні бути адекватні) не замислюватися і виконувати стандартний набір відповідних заходів. Атакувати зловмисника у відповідь Ви не можете — протизаконно. Збирати інформацію про атакуючому — можна. Але якщо ви збираєте інформацію з метою подальшого надання цих даних в суді необхідно дотримуватися «chain-of-custody» (ланцюг доказів) — ніжна сумнівів логічний ланцюжок міркувань і висновків щодо якогось факту.

В першу чергу необхідно зафіксувати «точку входу» в мережу або т. зв. «нульового пацієнта», приміром, звідки пішла вірусна епідемія. Якщо немає прямої загрози цілісності мережі і даних або доступу в критичні ділянки — ні в якому разі не треба перешкоджати діям зловмисника. Чим більше цифрових слідів він залишить, тим більшою буде доказова база і можливість визначити мету, глибину і порушені об'єкти атаки.

На цьому етапі необхідно спробувати зафіксувати всі дії зловмисника, не даючи йому зрозуміти що він виявлений. Наприклад, зловмисник може доставити в атакуемую систему шкідливий файл і моніторити сервіси типу virustotal.com, malwr.com і т. д. на предмет появи цього семпла там — значить швидше за все його атака або дії були виявлені та введені заходи протидії.

Приклад
В сучасних атаках найчастіше використовуються соціо-технічні методи доставки шкідливого коду в атакуемую систему, наприклад, з допомогою фішингових повідомлень електронної пошти. Тут дії співробітника досить прості: фіксація інциденту (наприклад після спрацьовування антивірусної програми на повідомлення), вилучення шкідливого вкладення, аналіз службових заголовків листа.

Існують і набагато більш витончені атаки, які можуть бути зафіксовані вже постфактум, наприклад у вигляді нелегітимного вихідного з'єднання з однією з машин всередині інфраструктури в зовнішнє середовище. В даному випадку зловмисниками за допомогою спеціалізованих засобів може бути організована т. н. корисне навантаження, що дозволяє організувати віддалене підключення до хосту зловмисника для виконання яких-небудь дій. Це робиться для утруднення визначення атаки, обходу NAT Firewall або. Зловмисник створює meterpreter-сесію, яка знаходиться в оперативній пам'яті і ніяк не проявляє себе на жорсткому диску атакується системи. Meterpreter – це навантаження, задумана в контексті Metasploit Framework як гнучка, розширювана, повнофункціональна й уніфікована основа для пост-експлуатації, як альтернатива класичним шеллкодам. Для обходу антивірусної системи захисту інформації використовуються засоби типу Veil-Evasion для утруднення визначення шкідливого коду. Після проведення атаки на який-небудь процес використовується технологія dll-injection. Спочатку виповнюється шеллкод на підвантаження meterpreter у вигляді dll'ки, потім розміщення цього процесу в адресному просторі і запуск на виконання у вигляді нового потоку. Далі може бути виконано ще кілька етапів багатоступінчастої навантаження, наприклад атака Kerberos Golden Ticket для компрометації контролера домену.

Витяг даних
Таким чином, всі цифрові докази атаки знаходяться в оперативній пам'яті (крім дампа трафіку з'єднання з хостом зловмисника) атакованої системи і досить складні для вилучення. Щоб правильно зробити повний образ оперативної пам'яті використовуються різні плати розширення або, наприклад, порт FireWire. Так само в теорії можна фізично вилучити згадку із збереженням даних шляхом швидкої заморозки. Існує варіант «гарячої» перезавантаження live дистрибутив, наприклад, Ubuntu CyberPack. Але при цьому частина пам'яті буде перезаписано власне даними live ОС (трохи більше 100 Мб). Якщо ж мова йде про віртуальних машинах (а зараз віртуалізація досить популярна), то майже всі з них дозволяють зняти образ з живою працюючої системи (правда іноді для цього віртуальна машина повинна бути спочатку запущена з опцією налагодження).

Існує можливість зняти дамп пам'яті, перебуваючи на самій системі, використовуючи, наприклад, FTK Imager. Це буває корисно при аналізі malware або активності, яка не відображається на фізичному диску. В дампі RAM будуть видні відкриті з'єднання, подгруженные модулі, процеси і все інше.

Для аналізу можна використовувати Volatility Framework, який містить багато плагінів (націлені в основному на Windows системи). За допомогою плагіна dlllist можна отримати список завантажені DLL, а плагіном dlldump можна вивантажити з пам'яті вміст конкретної DLL для аналізу. Повний список плагінів доступний з посилання.

Цифрові докази
Цифрові докази дуже крихкі, тому необхідно завжди дотримуватися кількох правил, як технічних, так і юридичних:

  1. Допустимість. Це по суті доказ того, що ці факти ви отримали законним шляхом (наприклад, не атакуючи зловмисників для отримання доказів).
  2. Достовірність. Факти, які ви озвучуєте повинні мати пряме відношення до справи.
  3. Повнота.
  4. Надійність.
Готовність фіксування дій та зон відповідальності, а також грамотне реагування на інциденти безпеки є одними з основних факторів захисту мережевої інфраструктури.


Практична підготовка в пентест-лабораторіях. Частина 1
Практична підготовка в пентест-лабораторіях. Частина 2
Практична підготовка в пентест-лабораторіях. Частина 3
В наступній статті цього циклу я розповім про організацію захисту мережевої інфраструктури.

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.