|
Глава 4. Принципы защиты и нападения
61
Начальная эксплуатация
Фаза.
начальной эксплуатации
.начинается,.когда.злоумышленник.предпринимает.
свое.первое.действие,.чтобы.получить.доступ.к.системе..При.этом.обычно.исполь-
зуется.найденная.уязвимость.в.системе..К.методам.первоначальной.эксплуатации.
относятся.использование.переполненного.буфера,.SQL-инъекции,.межсайтовый.
скриптинг.(XSS),.метод.«грубой.силы».(перебор).и.фишинг.
В.конце.фазы.начальной.эксплуатации.злоумышленник.получит.некоторый.уро-
вень.доступа.к.системе,.например.возможность.читать.или.записывать.данные.или.
выполнять.произвольный.код.
Установка точки опоры
После.того.как.злоумышленник.получит.первоначальный.доступ.к.системе,.он.
должен.убедиться,.что.у.него.есть.возможность.оставаться.в.системе.в.течение.дли-
тельного.времени.и.по.мере.необходимости.восстанавливать.доступ..В.частности,.
злоумышленник.не.хочет.обращаться.к.системе.каждый.раз,.когда.ему.необходим.
доступ,.поскольку.это.увеличивает.операционный.риск..К.методам,.используемым.
для.установки.точки.опоры,.относятся.создание.новых.пользователей.системы;.
использование.возможностей.удаленного.доступа,.таких.как.Secure.Shell.(SSH),.
Telnet.или.протокол.удаленного.рабочего.стола.(RDP);.установка.вредоносных.
программ,.таких.как.«троянский.конь».(RAT).
Успешное.выполнение.фазы.«Установка.точки.опоры».позволяет.злоумышлен-
нику.постоянно.сохранять.присутствие.в.системе.и.по.мере.необходимости.вос-
станавливать.доступ.
Точка опоры считается постоянной, если она способна выдержать обычные
действия по обслуживанию системы, такие как перезагрузка и установка ис-
правлений.
Повышение привилегий
Когда.злоумышленник.получает.первоначальный.доступ.к.системе,.он.может.
сделать.это.только.на.непривилегированном.уровне..Как.непривилегированный.
пользователь,.злоумышленник.не.имеет.возможности.сбрасывать.пароли,.уста-
навливать.программное.обеспечение,.просматривать.файлы.других.пользователей.
62
Часть I • Основы
или.изменять.нужные.настройки..Чтобы.решить.эту.проблему,.злоумышленнику.
необходимо.
повысить привилегии
.до.учетной.записи.
root
.или.администратора..
К.методам.достижения.этой.цели.относятся.использование.уязвимостей,.связан-
ных.с.переполнением.буфера.локальной.системы,.кража.учетных.данных.и.про-
цесс.инъекции.
В.конце.этапа.
повышения привилегий
.злоумышленник.получает.доступ.к.при-
вилегированной.учетной.записи.
root
.или.аккаунту.администратора.в.локальной.
системе..Если.злоумышленнику.особенно.повезет,.он.также.получит.доступ.к.при-
вилегированной.учетной.записи.домена,.которая.может.использоваться.в.разных.
системах.сети.
Внутренняя разведка
Теперь,.когда.злоумышленник.установил.точку.опоры.и.получил.привилегиро-
ванный.доступ.к.системе,.он.может.начать.опрашивать.сеть.из.своей.новой.точки.
расположения..Методы,.используемые.на.этом.этапе,.не.сильно.отличаются.от.
методов.предыдущего.этапа.разведки..Основное.отличие.заключается.в.том,.что.
теперь.злоумышленник.имеет.опорную.точку.внутри.целевой.сети.и.сможет.пере-
числить.значительно.больше.хостов..Кроме.того,.теперь.будут.видны.внутренние.
сетевые.протоколы,.связанные,.например,.с.Active.Directory.
В.конце.фазы.
внутренней разведки
.у.злоумышленника.будет.более.подробная.
карта.целевой.сети,.хостов.и.пользователей,.которую.можно.использовать.для.
уточнения.общей.стратегии.и.определения.действий.на.следующей.фазе.жизнен-
ного.цикла.
Боковое смещение
Из-за.особенностей.компьютерных.сетей.маловероятно,.что.злоумышленник.сразу,.
на.этапе.первоначального.подключения,.получит.доступ.к.той.системе,.которая.
необходима.ему.для.выполнения.задуманной.задачи..Поэтому.злоумышленнику.
придется.перемещаться.в.боковом.направлении.по.сети,.чтобы.найти.и.получить.
доступ.к.требуемой.системе.
Методы,.используемые.на.этапе.
бокового смещения
,.включают.в.себя.кражу.учет-
ных.данных,.передачу.хеша.и.прямое.использование.выявленных.уязвимостей.на.
удаленных.хостах..В.конце.этого.этапа.злоумышленник.получит.доступ.к.хосту.
или.хостам,.требуемым.для.выполнения.необходимой.задачи,.и,.вероятно,.доступ.
к.нескольким.другим.хостам,.расположенным.между.ними..Многие.злоумыш-
Do'stlaringiz bilan baham: |
