# Практика №1. Риски, угрозы и моделирование угроз корпоративной инфраструктуры
## Яско Полина БСБО-07-20
### Выполнение практической работы №1
:::spoiler В [draw.io](http://draw.io/) создать пустой файл или (Альтернативный вариант - В EVE-NG создать новую лабораторную работу с название "Infrastructure" (для продвинутых) + [инструкция по развертыванию](https://hackmd.io/@sadykovildar/HyETZyhJF))
:::
:::spoiler Построить примерную модель корпоративной инфраструктуры в одном из инструментов. Если нет примеров - можно построить домашнюю:
:::
:::spoiler Обозначить, на ваш взгляд, наиболее опасные (или уязвимые места в корпоративной инфраструктуре)
Наиболее актуальных целей угроз на домашнюю сеть – четыре:
- мошенничество со счетом клиента,
- создание бот-сети для дальнейших атак на ресурсы в глобальной сети,
- майнинг криптовалют,
- несанкционированное использование канала связи
На основе этих целей и существующей сети, рассмотрим наиболее уязвимые места:
1. Телефоны, планшет, компьютер, которым пользуются дети могут подвергнуться:
1) **Фишинговой атаке** - атаке, при которой киберпреступники действуют как доверенные отправители для «ловли» информации.
_Для этого они могут отправлять мошеннические электронные письма, текстовые сообщения или сообщения в социальных сетях. Обычно спам-письмо отправляется клиенту какой-либо организации, оно содержит гиперссылку, которая якобы ссылается на абсолютно безобидный сайт, однако указывает на IP-адрес вместо имени домена. Когда пользователь нажимает на ссылку, его трафик перенаправляется на вредоносный веб-сайт, который идентичен оригиналу. Затем хакер может угрожать поделиться личными данными жертвы или навсегда заблокировать доступ, если выкуп не будет уплачен._
Вредоносные ссылки часто эксплуатируют любопытство и наивность ребенка; фишинговые атаки и атаки программ-вымогателей начинаются с простого щелчка. Дети не всегда осознают риски, связанные со скачиванием файлов из неизвестных источников.
2) **Bad USB** - суть заключается в эмуляции работы клавиатуры и выполнении операций на компьютере под видом обычного ввода от пользователя. Клавиатура обычно не вызывает подозрений у ОС и антивируса, поэтому такие атаки сложно отследить.
_Благодаря отсутствию защиты от перепрошивки в некоторых USB-устройствах, злоумышленник может видоизменить или полностью заменить оригинальную прошивку и заставить устройство имитировать любое другое устройство. Уязвимости подвержены все устройства с незащищенными USB контроллерами: флеш-накопители, вебкамеры, мышки, клавиатуры, андроид-устройства. BadUSB не требует особого программного обеспечения на компьютере жертвы и работает под любыми операционными системами, поддерживающими USB-HID устройства._
_BadUSB предназначен для доставки и исполнения вредоносного кода. С возможностью подключить к USB-порту атакуемого компьютера специально подготовленное устройство, мошенник может полностью перехватить трафик, получить cookies и пароли, взломать контроллер домена, а контролировать ход атаки по Wi-Fi._
Ребёнок может использовать "левые" флешки или неоригинальные аксессуары, тем самым подвергая опасности важные данные.
2. Компьютеры, ноутбук:
1) **Троян** — это вредоносный агент, основное отличие которого от классического вируса состоит в методе распространения: обычно он проникает в систему под видом обычной, легитимной программы, чем и обусловлена традиция называть его «троянским конем».
_После проникновения он способен на многое: может собирать информацию об устройстве и его владельце, воровать хранящиеся на компьютере данные, блокировать доступ к пользовательской информации, выводить операционную систему из строя и т.п._
Даже взрослые могут скачать «не ту» программу, подвергнув личные данные и компьютер риску.
**_Классификация троянов:_**
**_-RAT_** - _(Remote Access / Administration Tool) предназначена для шпионажа. После установки в систему она предоставляет злоумышленнику широкий спектр возможностей: захват видео с экрана жертвы, доступ к файловой системе, запись видео с веб-камеры и звука с микрофона, кража идентификационных файлов браузера (cookie), установка других программ и т.д._
**_-Вымогатели_** - _разновидность вредоносных объектов, которые блокируют доступ к системе или данным, угрожают пользователю удалением файлов с компьютера или распространением личных данных жертвы в интернете и требуют заплатить выкуп, чтобы избежать таких негативных последствий._
**_-Шифровальщики_** - _усовершенствованная разновидность вымогателей, которая использует криптографию в качестве средства блокировки доступа._ _Если в случае с обычным «винлокером» можно было просто удалить вредоносную программу и тем самым вернуть себе доступ к информации, то здесь уничтожение самого шифровальщика ничего не дает — зашифрованные файлы остаются недоступными._
**_-Загрузчики_** - _вид вредоносных агентов, которые предназначены для загрузки из интернета других программ или файлов._
**_-Дезактиваторы систем защиты_** - _программы, которые удаляют или останавливают антивирусы, сетевые экраны и другие средства обеспечения безопасности._
**_-Банкеры_** - _разновидность «троянских коней», специализирующаяся на краже банковских данных (номер счета,_ _PIN__-код,_ _CVV_ _и т.д.)._
**_-_****_DDoS_****_-трояны_** - _вредоносные программы, которые используются хакерами для формирования ботнета с целью проведения атак типа «отказ в обслуживании»._
2) **Фишинговая атака** – ей могут подвергнуться не только дети.
3. Роутер:
1) **Wi**-**fi** **взлом**.
У каждой Wi-Fi-сети есть свой протокол защиты. Самые популярные — WPE, WPS, WPA или WPA2. Все они отличаются методами шифрования. Они кодируют информацию между передатчиком (роутером) и приёмником (например, смартфоном) так, чтобы понимали её только два устройства. Шифруются в том числе и коды, которые пользователи вводят при подключении к роутерам. Суть любого взлома Wi-Fi — поиск этого самого PIN'a. На сегодня его можно подобрать, дешифровать или узнать обманом практически во всех случаях. Вопрос только в количестве затраченного времени. Чем сильнее устарел протокол защиты, тем быстрее "пойдёт" процесс.
**_Основные способы взлома:_**
**_-Брутфорс пароля_** _— классический метод, который предполагает перебор всевозможных комбинаций с использованием специальных программ._
**_-Взлом WPS_** (Wi-Fi Protected Setup) _по вероятным пинам. Роутеров с включённым WPS становится всё меньше, но ещё встречаются. Это вариант с подбором пароля из 8 цифр, а в некоторых случаях и быстрый взлом стандартных заводских PIN-кодов, которые уже есть в базах приложений._
**_-Взлом роутера_**- _работает, если вы можете подключиться к Wi-Fi по проводу или знаете внешний IP-адрес. В этом случае можно попытаться подобрать логин и пароль к роутеру. Часто они остаются заводскими по типу admin/admin. Пароль же от Wi-Fi будет лежать в настройках._
Изучение электронных писем пользователя подарит злоумышленникам много ценного: например, пароли и логины от соцсетей, данные с карт или геолокацию. Также взломанные Wi-Fi-гаджеты нередко становятся оружием в ходе масштабных DDoS-атак.
2) **Switcher**: атаки на маршрутизаторы - проводит brute-force атаку, пытаясь подобрать пароль к веб-интерфейсу администрирования маршрутизатора. Если атака проходит успешно, то троянец меняет в настройках маршрутизатора адреса DNS-серверов, так что все DNS-запросы с устройств, подключенных к атакованной Wi-Fi-сети, будут перенаправляться на серверы, находящиеся под контролем киберпреступников (атаки такого типа известны также как DNS-hijacking).
_Служба DNS используется для того, чтобы разрешить (преобразовать) удобное для человека название сетевого ресурса (например, веб-сайта) в IP-адрес, который фактически используется для коммуникаций в компьютерной сети. Например, название сайта ‘google.com’ разрешается в IP-адрес 87.245.200.153. Обычно нормальный DNS-запрос выполняется следующим образом_:
_Во время атаки типа DNS-hijacking киберпреступники меняют настройки TCP/IP на устройстве жертвы (которым в нашем случае является маршрутизатор) с тем, чтобы это устройство отправляло DNS-запросы на контролируемый ими вредоносный DNS-сервер. Таким образом, схема примет следующий вид:_
Получив доступ к DNS-настройкам маршрутизатора, злоумышленник сможет контролировать практически весь трафик в сети, обслуживаемой этим маршрутизатором.
4. Firewall:
Атака на процессы и службы брандмауэра в простейшем случае сводится к их остановке. В более сложном случае возможна модификация процесса брандмауэра.
**_Доступ в Сеть недоверенного приложения_** –
_Данный метод заключается в запуске некоего приложения, которое для брандмауэра является недоверенным. Это приложение пытается произвести обмен данными с Интернетом — успешное выполнение этого обмена свидетельствует о неработоспособности брандмауэра или о его неправильной настройке. Проведение данного теста — обязательный элемент тестирования брандмауэра, который, по сути, проверяет его работоспособность._
_Методика тестирования_: программа-тестер выступает в роли недоверенного приложения и пытается произвести обмен с Сетью. Успешный обмен говорит о проблемах в работе брандмауэра или о его некорректной настройке.
**_Доступ в Сеть с использованием RAW Socket -_**
_Для обмена с Интернетом здесь применяется технология RAW Socket- она позволяет приложению напрямую принимать и отправлять сетевые пакеты. Использование RAW Socket допустимо для специализированных сетевых утилит (например, для сканера портов), но их применение в других приложениях является крайне подозрительным._
_Методика защиты_: многие брандмауэры позволяют задавать отдельные правила, разрешающие или запрещающие использовать технологию RAW Socket. Если такая функция не предусмотрена, то брандмауэр должен ограничивать сетевую активность приложения согласно заданным правилам независимо от методики обмена.
_Методика тестирования_: программа-тестер производит попытку передачи информации или приема сетевых пакетов при помощи RAW Socket, после чего изучается реакция брандмауэра на подобные операции.
:::
:::spoiler Придумать 3-5 сценариев атаки на корпоративную инфраструктуру с указанием целей атак.
**1.** **Эксплуатация веб-уязвимостей**
В большинстве публичных веб-приложений существует возможность регистрации новых пользователей, а в их личном кабинете, как правило, есть функция загрузки контента (фото, видео, документов, презентаций и прочего). Обычно приложение проверяет, какой именно файл загружает пользователь, по списку запрещенных расширений. Но нередко эта проверка неэффективна. В таком случае злоумышленник может загрузить на сервер веб-интерпретатор командной строки, изменив расширение файла. В итоге нарушитель получит возможность выполнять команды ОС с привилегиями веб-приложения, а если эти привилегии были избыточны — то и полный контроль над ресурсом.
Даже если на сервере настроена эффективная проверка загружаемых файлов, необходимо учитывать и конфигурацию самой системы.
**_Цель:_**
Получить возможность выполнять команды ОС или полная компрометация сервера.
**_Сценарий:_**
1) Реализация проверки в приложении на предмет запрета загрузки файлов с определённым расширением.
2) Выяснить, используется ли на сервере уязвимая комбинация ПО и ОС, которая позволяет обойти данное ограничение.
3) С помощью уязвимой конфигурации сервера загрузить веб-интерпретатор командной строки на сервер в обход установленных ограничений.
**_Рекомендации по защите:_**
Помимо строгой парольной политики, ввести белые списки для проверки загружаемых на сервер файлов. Для защиты от эксплуатации уязвимостей кода приложения (внедрение операторов SQL, выполнение команд) необходимо реализовать фильтрацию передаваемых пользователем данных на уровне кода приложения. Кроме того, использовать межсетевой экран уровня приложения (web application firewall).
**2.** **Социальная инженерия**
Социальная инженерия — один из наиболее распространенных методов целевых атак. Он сводится к эксплуатации недостатка у сотрудников опыта в вопросах безопасности. Нарушитель может выведать данные для доступа к ресурсам в телефонном разговоре или личной переписке.
**_Цель:_**
Получить доступ во внутреннюю сеть и скомпрометировать корпоративные данные.
**_Сценарий:_**
1) OSINT разведка
2) Зарегистрировать собственный домен и разработать ложную форму логина. Сделать фишинговый ресурс максимально приближенным по дизайну страницы к настоящему ресурсу, который привык видеть сотрудник.
3) Разработка сценария для определения версий ПО, используемого сотрудником, и последующей эксплуатации уязвимостей этого ПО.
4) Рассылка фишинг-письма
5) Получение доступа к корпоративным данным, за счёт выбранного сотрудника.
Внимательный сотрудник может легко обнаружить подозрительный адрес отправителя. Однако, как показывает практика, далеко не все сотрудники замечают подмену. Кроме того, нарушитель может изменить адрес отправителя на реально существующий адрес одного из сотрудников, чтобы не вызвать подозрений.
**_Рекомендации по защите:_**
Сотрудники сами могут выявить некоторую часть атак, проводимых методами социальной инженерии. Здесь важна бдительность: нужно всегда проверять адрес отправителя, не переходить по сомнительным ссылкам и не запускать приложенные к письму файлы, если нет уверенности в безопасности их содержимого. Кроме того, ни при каких обстоятельствах нельзя сообщать никому свои учетные данные, в том числе администраторам и сотрудникам службы безопасности.
Для защиты использовать антивирусные решения, способные проверять файлы, получаемые по электронной почте, до того, как их откроют сотрудники. Также регулярно проводить тренинги для сотрудников и повышать их осведомленность о возможных угрозах, а затем оценивать эффективность при помощи тестов — как внутренних, так и с участием внешних специалистов.
**3.** **DDoS-атака**
DoS-атакой считается действие, направленное на частичное или полное нарушение работоспособности отдельных интернет-сервисов или глобальной инфраструктуры за счет исчерпания какого-то ограниченного ресурса, лежащего в основе сервиса. Например, оперативной памяти web-сервера, реализующего логику работы приложения, или ширины канала подключения атакуемой системы к интернету, или количества одновременно поддерживаемых web-приложением пользовательских сессий и так далее.
Сама DoS-атака подразумевает искусственно созданный поток запросов к онлайн-ресурсу или ответов к обеспечивающим его работу сервисам, цель которого — многократное увеличение нагрузки на сайт или сервер и выведение их из состояния нормальной работы.
**_Цель:_**
Перегрузить сеть трафиком, что приведёт к отказу в обслуживании для законных пользователей, продолжать до тех пор, пока владелец ресурса не согласится на выкуп.
**_Сценарий:_**
1) Узнать слабые места хостинга, выбрать «точку атаки».
2) В зависимости от точки, выбрать тип атаки и средство (например, HOIC, он использует HTTP протокол и с его помощью посылает поток рандомизированных HTTP GET и POST запросов, способен одновременно вести атаку на 256 доменов)
**_Рекомендации по защите:_**
В процессе написания прикладного ПО должны учитываться стандарты безопасного кодирования и проводиться тщательные тесты обеспечения. Регулярное совершенствование ПО в составе сервера позволит улучшать защиту и не даст злоумышленникам возможность использования старых методов атак.
Создание контрольных точек. Чтобы «смягчить» последствия, нужно иметь контрольные точки восстановления и снапшоты СХД, к которым можно выполнить откат системы. Ограничение прав доступа. Аккаунты администраторов должны иметь надежную защиту и регулярно обновляемые сложные пароли. Также надо контролировать, чтобы расширенные права доступа были у ограниченного круга людей. Средства защиты от провайдера. Операторы связи могут предложить инструменты для изменения схемы маршрутизации трафика, в том числе выделения дополнительных каналов для увеличения пропускной способности.
Использование CDN-партнера. Content Delivery Network (сети доставки контента) помогают доставлять контент распределенно, что уменьшает нагрузку на сервер и снижает время задержек. Использование Web Application Firewall (фаервол для веб-приложений). Мониторит поступающий трафик, оценивая легитимность запросов и проверяя нетипичное поведение. Он фильтрует трафик, обеспечивая стабильность и бесперебойность работы информационных ресурсов в соответствии с протоколами HTTP или HTTPS. Использование специализированных сервисов защиты от DDoS. Существуют специализированные сервисы, построенные для противодействия массированным распределенным атакам на отказ в обслуживании.
:::
Sign in with Wallet
Connect another wallet