Практика №1. Риски, угрозы и моделирование угроз корпоративной инфраструктуры

# Практика №1. Риски, угрозы и моделирование угроз корпоративной инфраструктуры Задание выполнено с использованием draw.io. Примерная структура организации, состоящей из 2х отделов, каждый из которых находится в своей подсети. В целях безопасности сервер вынесен в отдельную подсеть. Весь входящий и исходящий трафик фильтруется через файервол с определенными правилами. ![](https://i.imgur.com/CTRgdtW.jpg) ## Потенциально уязвимые места 1. Невнимательные сотрудники (открыть фишинговую ссылку на почте, скачать вредоносный файл/приложение, выложить внутреннюю информацию компании в открытый доступ и пр.). 2. Предоставление доступа третьим лицам. 3. Свободный доступ к серверному оборудованию/учетным записям администратора(ов). 4. Отсутствие чёрного списка вредоносных сайтов. 5. Отсутствие запрета на установку приложений. 6. Использование учётных записей по-умолчанию, таких как Guest или Administrator. 7. Использование VPN-соединений для сотрудников с удалённым доступом. 8. Не заваренные USB-порты. ## Сценарии потенциальных атак: ### Флешка **Цель данной атаки**: собрать конфиденциальную информацию из компании для продажи на чёрном рынке. Злоумышленник вставляет флешку, срабатывает скрипт автозапуска с вредоносным ПО, делается это с помощью эмуляции клавиатуры, достигнутой через перепрошивку микроконтроллера. Это ПО закрепляется в качестве запланированной задачи, которая в один момент собирает на компьютере жертвы всю его информацию, например логины, пароли, хэши, файлы, документы. Чтобы предотвратить обнаружение, вирус записывается в MBR(master boot record)-сектор, а не в качестве какого-либо файла и загружается раньше ОС. Получение логинов и паролей происходит с помощью получения дампа через диспетчера учетных записей безопасности. Далее вирус сканирует все узлы внутри сети, чтобы распространиться дальше. С полученными логинами и паролями сопоставляются адреса серверов, к которым имеет доступ пользователь. Таким образом, от имени данного пользователя можно распространить вирус дальше по инфраструктуре. Далее, когда вирус добрался до общего сервера или роутера, он начинает собирать весь трафик организации, выступая "человеком по середине". Все полученные данные отправляются по зашифрованному каналу на сервер злоумышленника, маскируясь под стандартный HTTP трафик. Злоумышленник получает данные и может их продавать. ### Майнер **Цель данной атаки** - интеграция криптовалютных майнеров в корпоративную инфраструктуру компании для получения личной прибыли с использованием ресурсов компании. Злоумышленник использует метод социальной инженерии и отправляет фишинговое письмо с вложением. Вложение содержит вредоносный код, который запускается при открытии файла. Код устанавливает на компьютер пользователя скрытый майнер, который начинает майнить криптовалюту на фоне без его ведома. Для того, чтобы майнер не был обнаружен администраторами сети, злоумышленник использует методы обфускации кода и полиморфизма, код может быть написан на языке, не поддерживаемом большинством антивирусных программ, а также менять свою структуру или идентификаторы при каждом запуске. Также майнер может быть настроен на работу только в определенные часы, чтобы не вызывать подозрений у пользователей. Для распространения майнера по сети, вредоносный код может быть скрыт в обновлениях системных программ или приложений. ### Обиженный сотрудник **Цель данной атаки** - отомстить компании, которая **несправедливо!!!** уволила *невероятно ценного* сотрудника. Злоумышленник пока ещё имеет доступ к внутренней сети компании, однако у него нет прав администратора. Вариант атаки заключается в использовании уязвимости в одном из внутренних инструментов компании. Атакующий может использовать эксплойт для получения доступа к системе с повышенными привилегиями, такими как системный администратор. Затем, атакующий может использовать инструменты аудита безопасности, такие как Mimikatz, для извлечения учетных данных пользователей с повышенными привилегиями, таких как администраторы домена. Когда бывший сотрудник получит доступ к учётной записи суперпользователя, он сможет прописать заветную команду DROP DATABASE, потому что компания оставила в системе для работы с БД суперпользователя, что позволит нанести непоправимый ущерб данной организации ~~и восстановить справедливость~~. *(Альтернативный вариант доступа к админке: он зашёл в серверную, там висела бумажка с логином и паролем админа, он залогинился и дропнул БД)*