Опишем основные виды сценариев попыток взлома корпоративных сетей.
Преодоление периметра
Итак, обобщающей группой проникновений является возможность справиться с целостностью периметра. Для доступа за периметр злоумышленник попытается получить доступ к блоку внутренней сети что бы иметь возможность выполнить через него произвольный код. Чувствительность или «слабое место», которое наиболее часто способствует этому условно разделим на шесть видов:
- Уязвимости содержания учетных записей, а также паролей;
- Уязвимости web-приложений;
- Недостатки фильтрования трафика;
- Недостатки координации слабых мест и обновлений;
- Недостаточная информированность пользователей в вопросах безопасности;
- Изъяны конфигурации и разграничения доступов.
Каждый из этих видов обособлено или в комбинации позволял достичь поставленной цели.
Схема 1 – Сопоставление учетных данных. Интерфейсы управления и доступа удаленно
Этот вид атак не требует особенных знаний и опыта и достаточно применить ПК, программу подбора учетных данных и словарь, который можно найти в свободном доступе.
Трудности могут возникнуть с фильтрацией по IP адресам. Но и в этом случае, злоумышленник найдет другие пути – дискредитирует иные узлы в сети и начнет атаку не со своего адреса, а с дискредитированных узлов. Иногда доступ с максимальными правами можно получить без ввода пароля. Иногда в качестве пароля от SSH и Telnet встречаются такие комбинации: root: root, root:toor, admin:admin, test:test.
Для доступа по RDP используются локальные или доменные учетные данные: Administrator:P@ssw0rd, Administrator:123456, Administrator:qwerty123 или гостевая учётка Guest с пустым паролем.
Советы по защите
- Следует использовать авторизацию по личному ключу;
- Настроить файрвол, ограничивая доступы по протоколам удаленно;
- Внедрить строгую парольную политику;
- При необходимости использовать VPN.
Интерфейсы администрирования web- серверов и СУБД
В случае с SSH и Telnet нужно прописывать (задавать) пароль, а для СУБД и web-серверов обычно пароли настроены. На практике не все администраторы меняют эти пароли либо меняют на простые.
СУБД: sa:sa, sa:P@ssw0rd, oracle:oracle, postgres: postgres, mysql:mysql, с пустым паролем;
А для серверов Tomcat – tomcat:tomcat, tomcat:admin. Посредством Tomcat web Application Manager можно загрузить в виде архива файлы типа War и это может быть web приложение или web программка командной строки для выполнения команд ОС.
Доступы к базе данных так же открывает массу возможностей в том числе выполнять на сервере команды с правами СУБД. И этого хватит для атак на другие блоки сети.
Иной вариант развития событий – использование уязвимостей в ОС. Например, некий пользователь NT service\MSSQLSERVER обладал правами Selmpersonate Privilege, которые позволяют ему с помощью «токена делегирования» (impersonation—token) завладеть правами любого пользователя из доступных.
Советы по защите
- Мониторинг уровня прав и привилегий для использования пользователями и системами;
- Строгая парольная политика и ограничение доступа из интернета;
- Ограничение количества IP адресов, с которых можно подключиться к администрированию Web-сервера.
Схема 2 – Использование web- уязвимостей
В тех случаях, когда web приложения, развернутое внутри компании, используется как внешний ресурс т.е. к нему есть доступ из сети интернет, то это может быть лазейкой для атак.
Это могут быть внедренные произвольные файлы, внедрение операторов SQL и выполнение заданного кода. Для применения такого метода необходимо знать, как загрузить web интерпретатор командной строки и изменить расширение загружаемого файла, как обойти фильтрацию файлов при загрузке на сервер и знать, как писать SQL запросы. Хотя ограничений на загрузку файлов может и не быть.
Советы по защите
- Применение строгой парольной политики;
- Белые списки для проверки файлов, загружаемых на сервер;
- Установка фильтров на передаваемые пользователями данные на уровне кода приложения;
- Применение web application firewall.
Схема 3 – Применение известных уязвимостей
Атака на уязвимый протокол
Атака на компонент системы Java Platform Debug Architecture (JPDA). Он не обеспечивает опознавание и шифрование трафика. Нарушитель может этим воспользоваться и взять доступный ресурс для выполнения команд ОС. Так же, служба, использующая JDWP, обычно имеет максимальные права, что открывает доступ нарушителю для получения контроля.
Советы по защите
- Отладочные интерфейсы не должны быть открыты для внешних сетей.
Атака на уязвимое программное обеспечение
Применение устаревших версий ПО является самым популярным изъяном в безопасности. Приведем основные версии систем и их уязвимостей:
- Windows Server 2003 SP1, SP2 (CVE-2012-0002);
- Nginx 1.3 11 (CVE-2013-2028);
- PHP 5.3.8, 5.3.28, 5.5.1 и другие версии (CVE-214-3515, CVE-2011-3379, CVE-2013-6420), ProFTPD FTP Server 1.3.3a (CVE-2011-4130, CVE-2010-4221), OpenSSH Server 4.3 (CVE-2006-5051, CVE-2006-5052).
Советы по защите
- Своевременное обновление ПО и безопасности для ОС;
- Не оглашать версии используемых систем.
Схема 4 – Социальная инженерия
Очень распространенный вид. Используется неосведомленность сотрудников в вопросах безопасности. Появляется возможность выяснить информацию для доступа к ресурсам по телефону или в личной переписке. Злоумышленник разрабатывает схему для определения версии ПО, которая используется и дальнейшего использования уязвимых мест этого ПО. Так же целью атаки может быть — заражение вредоносным ПО.
Советы по защите
- Проявление бдительности!
- Никогда не сообщать свои учетные данные;
- Применение антивирусных решений;
- Повышение осведомленности среди работников.
Схема 5 – Открытые данные
На страницах web- приложений можно выявить ценную информацию, доступную в открытом виде – учетные записи пользователей, версии ПО и сервера и даже исходные коды web- приложений. Нарушитель может получить доступ к данным, например, к протоколу SSH, для подключения к СУБД или интерфейсу администратора Web приложения.
Советы по защите
- Администраторы должны мониторить данные доступные на страницах web-ресурсов;
- Обеспечить разделение доступа к данным и директориям на серверах, которые доступны извне.
Схема 6 – Выход из песочницы
Ошибкой является размещение на сетевом периметре корпоративных ресурсов, почтовых систем, порталов и других сервисов. В таких случаях атака начиналась с получения доменной учетной записи в открытом виде с доступной страницы web приложения. И в итоге был получен доступ к корпоративным ресурсам на периметре сети, а далее получен список пользователей домена. И начинается подбор паролей к учетным записям до выполнения входа. Затем, применяя эту учетную запись для подключения к еще одному ресурсу компании и так далее.
Советы по защите
- Пересмотр вопроса о размещении корпоративных ресурсов на периметре сети;
- Введение строгой парольной политики;
- Разграничить доступ к директориям с минимальными правами.
Получение контроля над КИС
Атаки на данные сетей производятся от двух типов злоумышленников:
- внутренний, который обладает доступом к сети на территории компании. Сложность развития схем атак определяется структурой сети и сетевого оборудования, а также фильтрацией сетевых протоколов и настройками защиты сети от сторонних устройств;
- внешний, который преодолел периметр и уже получил права на скомпрометированном сервере.
Схема 1 – Подбор доменной учетной записи
Часто настроенные парольные политики неэффективны. Ограничения позволяют задавать словарные комбинации. Администраторы могут задать ограничение на количество попыток ввода неверного пароля с блокировкой. Но в обход этого, злоумышленник может запустить подбор одного или двух паролей для целого списка логинов при наличии таких данных. Так же, можно составить словарь для подбора, основываясь на имени и фамилии работника. Кроме того, имея права, злоумышленник может запустить софт для взлома преодолев антивирус.
Советы по защите
- Применение строгой парольной политики для пользователей домена;
- Ограничение привилегий локальных пользователей на рабочих местах и серверах, входящих в домен;
- Для привилегированных учёток использовать двухфакторное распознавание.
Схема 2 – Атаки на протоколы сетевого и канального уровней
В случае, когда не получилось подобрать учетные данные либо список идентификаторов пользователей домена, то производится анализ протоколов сети. Проводят схему действий – «человек посередине» для перехвата трафика или атака на протоколы NBNS и LLMNR для перехвата идентификаторов и хешей паролей. Результатом атаки «человек посередине» может быть перехвачены значения Challenge-Response для пользователей домена и по значениям подобрать пароль. В случае успеха, нарушитель сможет прослушивать и изменять трафик, а также получать опознавательные данные пользователей и с их помощью проходить аутентификацию в других узлах.
Советы по защите
- Если в этих протоколах нет необходимости, то отключить их;
- Использовать статические ARP- записана шлюзах, функции систем обнаружения атак или утилиты arpwatch;
- Использовать функции Dynamic ARP Inspection коммутаторов Cisco.
Схема 3 – Атака SMB Realy
В отличии от схемы 2, есть известная атака SMB Realy. Данная схема позволяет злоумышленнику перехватить идентификационные данные, которые передаются от одного узла к другому, в процессе обмена данными NTLM Chellenge-Response. Эта схема давно известна и компания Microsoft в 2008 году выпустила бюллетень безопасности MS08-068, но возможность атак в домене останется, если на них не реализована подпись SMB пакетов — SMB Signing.
Советы по защите
- Реализация подписи SMB пакетов — SMB Signing на всех узлах;
- Отключение протоколов NBNS и LLMNR;
- Регулярные обновления безопасности ОС.
Cхема 4 – Чтение памяти процесса
Для проведения атаки злоумышленнику необходимы права и привилегии. В случае, если запущен процесс от имени локального администратора, защититься возможно ограничив привилегии пользователя ОС. Но, нарушитель может читать память тех процессов, которые запущены от имени этого пользователя.
Советы по защите
- Применение строгой парольной политики;
- Применение регулярного о обновления ПО;
- Организация защиты от подбора учетных записей.
Схема 5 – Групповые полититки
Этот вариант уже не так популярен. Его суть в ситуациях, когда используют файлы групповых политик для изменения паролей от учетных записей локальных администраторов. А пользователи, имеющие большие права, создавая такие политики в директории sysvol, вносят учетные данные в файл групповой политики, что уже не безопасно. Этот пароль кодируется ключом AES, который общедоступен и публикуется на сайте msdn.microsoft.com. В итоге, злоумышленник, имеющий права пользователя домена, может получить учетные данные локальных администраторов на узлы сети.
Советы по защите
- Рекомендуется отказаться от такого метода создания политик;
- В случае применения, воспользоваться на ограниченное время, понимая весь риск.
Схема 6 – Золотой билет Kerberos
Этот вариант очень опасен. Он основан на генерации билета доступа Kerberos пользователя на основе NTLM хеша служебной записи krbtgt и возможна из-за исключительности протокола Kerberos и операционных систем Windows. Этот протокол базируется на tiket системе – на предоставлении билетов доступа к ресурсам доменной структуры. Т.е речь идет о получении максимальных прав.
Советы по защите
- Обеспечить защиту привилегированных учетных записей;
- Обеспечить защиту резервных копий службы каталогов;
- Обеспечить защиту рабочих станций и серверов от атак с использованием утилит для получения учетных данных в открытом виде (Mimikatz).
Схема 7 – Атака на двухфакторную идентификацию
Двухфакторная идентификация сама по себе не рецепт от взлома, но одна из необходимых условий. В основе двухфакторной идентификации лежит принцип наличия у пользователя, например, смарт карты, пин-кода или пароля. Когда в конфигурации учетной записи домена устанавливается элемент, отвечающий за идентификацию по смарт карте, этой учетной записи присваивается NT –хеш. Так вот, его значение вычисляется случайно и не меняется. Опасность состоит в том, что нарушитель может получить этот NT –хеш и использовать для идентификации (иметь смарт карту и знать пароль уже не нужно).
Советы по защите
- Применение системы Remote Credential Guard.
Конечно, все перечисленные схемы атак – это лишь часть методов проникновения. Мы лишь хотели привлечь внимание на то, что все они предсказуемы. Каждая из схем основана на использование уязвимостей, которые можно ликвидировать. Сложность дискредитирования ресурсов очень зависит от того, является ли ваш подход к построению защиты комплексным.
Наша компания, может реализовать защиту ваших систем и сетевого окружения, обращайтесь [email protected]