ПРАКТИЧЕСКАЯ РАБОТА №1. Риски, угрозы и моделирование угроз корпоративной инфраструктуры

# ПРАКТИЧЕСКАЯ РАБОТА №1. Риски, угрозы и моделирование угроз корпоративной инфраструктуры --- ## Инфраструктура ![если все алрайт, то эта надпись не видна](https://i.imgur.com/wbxX5Yw.png) ### Описание инфраструктуры: Для небольшой компании с несколькими офисами в одном здании, которая занимается оказанием юридических, консультационных и аудиторских услуг хватит следующего: * 9 ПК – windows10pro; * 4 МФУ – hp; * 1 сервер – windows10pro; * 1 Wi-Fi роутер – D-Link; * 3 неуправляемых коммутатора – TP-Link; Итак, располагается все это в 3-х кабинетах, способ подключения как на схеме выше, имеется белый IP-адрсес, для доступа к файлам из вне используется SFTP-сервер, поднятый на виртуальной машине, подключение осуществляется посредством переадресации порта на роутере, а внутри офисов файлы передаются через сетевой диск на сервере через SMB протокол. ### Наиболее уязвимые места сети: 1. возможность из беспроводной сети получить доступ к устройствам в проводной (серверу, ПК, МФУ); 2. использование SMB протокола; 3. открытый в NAT 22 порт; 4. потенциальное отсутствие актуальных обновлений на оборудовании. ### Потенциальные цели атак: 1. нарушение работоспособности МФУ; 2. замедление работы с сетью для сотрудников; 3. перехват файлов в сети. 4. получение контроля над sftp-сервером и изъятие файлов; --- ## Возможные сценарии атак ### Если есть физический доступ: Согласно условию, все устройства находятся в одной сети, соответственно, если злоумышленник подключиться к беспроводной сети он получит доступ к всей инфраструктуре. Как это может произойти? Пароль от сети можно получить несколькими способами: * осмотреться, возможно пароль указан где-нибудь на двери или стене; * представившись возможным клиентом, попросить пароль; * узнать в открытых источниках: hachware.ru и подобных сайтах; * вручную подобрать пароль, обычно они не очень сложные; * воспользоваться специальными утилитами: [aircrack-ng](https://www.aircrack-ng.org) и подобными. После получения пароля перед злоумышленником раскинется целое поле возможностей для экспериментов, самые безобидные цели атаки – 1 и 2, написанные выше. * Как известно, скорость печати на обычных офисных принтерах не очень высокая: *[20-30 страниц в минуту](https://www.hp.com/kz-ru/products/printers/product-details/product-specifications/2100450670)*. Закинув в очередь печати файлы на несколько сотен или тысяч страниц, работа принтеров будет парализована на некоторое время, впрочем, до момента, когда кто-нибудь не нажмет кнопку отмены на самом принтере. * Предполагается, что скорость соединения с серверами в Интернете не очень высокая: *[10-20 МБ/с](https://moskva.beeline.ru/business/office-internet/internet-v-ofis/)*, вполне обычная практика для компаний такого размера. Для того, чтобы замедлить работу сотрудников с сетью достаточно начать скачивать какой-нибудь большой файл из сети Интернет, к примеру, с помощью yt-dlp загрузить *[видео](https://www.youtube.com/watch?v=KcMlPl9jArM)*. Первые пункты – своего рода хулиганство, да, оно может быть очень своевременным, но все же не опасным. Следующие два пункта – абсолютно точно повлекут за собой *[ответственность](https://www.consultant.ru/document/cons_doc_LAW_10699/5c337673c261a026c476d578035ce68a0ae86da0/)*. * Итак, есть два интересных устройства – маршрутизатор и сервер, найти их адреса легко, воспользовавшись утилитой *[nmap](https://nmap.org)*. Думаю, что результатом сканирования будет информация об адресах. Очевидно, что http – принтеры или роутер, нужно смотреть остальные порты, там где есть 9100 порт – принтер, вероятно там еще есть и 443 для принудительного https, 22 порт - сервер. Доступ к маршрутизатору – доступ к сети, то есть злоумышленник увидит весь трафик, пусть и большая его часть зашифрована. Но он не увидит то, что лежит на сервере, что вероятно намного интереснее редких файлов, передающихся по smb. Для доступа к сетевому диску злоумышленику понадобится: *[hydra](https://www.kali.org/tools/hydra/), [smbmap](https://www.kali.org/tools/smbmap/), [smbclient](https://www.kali.org/tools/samba/#smbclient-1)*. Первым осуществляется Brute-force, вторым – сканирование директорий на сервере, третьим – подключение и вытаскивание файлов. Для подключения по ssh также подойдет *[hydra](https://www.kali.org/tools/hydra/)*, но взлом будет значительно дольше. Возможности после подключения по ssh будут просто безграничными, ну, почти. * Проникновение на роутер осуществляется схожим образом, есть нюанс, увы, вероятно, взять pcap файл с него не выйдет, так как карты памяти для его записи скорее всего нет. Однако, если она есть – злоумышленник получит: ![тут должен быть привет Садыкову](https://i.imgur.com/DsW6NFm.png) В целом, можно реализовать что-то вроде DDoS атаки на МФУ, Brute-force паролей от серверов и принтера, можно реализовать MITM, но кажется тут это ненужно. Однако, замечу, что физически будет сложно незаметно подключить новое сетевое устройство в сеть посредством кабеля, если же удастся – схема действий прежняя; важные файлы в таких компаниях очень редко передаются по сети, на сервере же чаще всего хранятся общие шаблоны документов, публичные обращения: данные без указания полезной для злоумышленника информации. Возможно, что прошивки на роутере не обновлены, что дает возможность использовать известные уязвимости. ### Если нет физического доступа: Злоумышленник не знает чей порт открыт, он просто видит его, все, что остается в данном случае – Brute-force, можно конечно прибегнуть к социальной инженерии, но скорее всего ничего не выйдет, поэтому остается только ждать. После получения доступа к виртуальной машине злоумышленник получит опять же обширный доступ к сети и хранилищу. Забрать файлы по ssh довольно легко с помощью утилиты scp. Возможно, удастся серьезно повредить VM, устроив рекурсивное удаление всех файлов, начиная с корня: ```bash= sudo rm -rf /* ``` или же затереть все случайными значениями: ```bash= sudo dd if=/dev/urandom of=/dev/sda ``` НО только в том случае, если есть доступ к учетной записи с sudo правами, а его возможно не будет, так что просто можно глянуть на то, что хранится. ## Заключение Данная сеть не является надежной или безопасной, по сути она открыта перед злоумышленниками, однако, стоит заметить, что службы удаленного доступа на всех ПК выключены, можно им подкидывать вирусы для включения таковых, но в целом, не факт, что сотрудники станут жертвами. Получив доступ к серверу, интересных данных там скорее всего не найти. А с виртуальной машиной все еще интереснее, ведь она отделена от основного сервера. Можно сказать, что внешне сеть защищена, ну, почти, все зависит от настройки самой VM и пользователя под которым злоумышленники подключились, а ведь может стоять аутификация по ключу и тогда лучше забыть об ssh вообще.