Лабораторная работа 1. Kill chain

# Лабораторная работа 1. Kill chain **Корпоративная инфраструктура. Атака.** ## "Impulse check" story В области разработки программного обеспечения компания "Impulse check", занимающаяся автоматизацией производственных процессов в промышленности, находится уже несколько лет, но после недавно произошедшей атаки она понесла репутационный ущерб. Руководители компании приняли решение приостановить свою деятельность и исправить огрехи в своей корпоративной инфраструктуры. Давайте посмотрим, что же с ними произошло в день атаки. ## Инфраструктура ![](https://i.imgur.com/USHZnZB.png) В компании находятся отделы: * Разработки * Продаж * Кадров * Финансов * Управления Каждые из них соответсвенно поделены на: * Программисты, тестировщики * Продажа, реклама, маркетинг * Кадры, делопроизводство * Бухгалтеры, бизнес-планирование * Директор и заместители Компания предостерегается от утечек исходного кода своих наработок, поэтому было принято решение использовать firewall для отдела разработок. ## Потенциально уязвимые места компании ![](https://i.imgur.com/vTz2i1A.jpg) 1. XSS 2. log4shell 3. Направленный фишинг 4. Firewalls CVE 5. Открытые порты ## Kill chain. Направленный фишинг. ![](https://i.imgur.com/8vPacmy.png) **1. Разведка** Взломщик проводит сбор информации о людях из ТОП-менеджмента или отдела кадров/финансов из открытых источников, составить словарь возможных почтовых адресов. На сайтах типа linkedin и hh, а также на сайтах компаний, на эндпоинтах \career или \job, можно найти вакансии, в которых зачастую присутствует полезная информация. В своих резюме и на Linkedin, пользователи часто указывают кем и где они работают, и часто в описаниях своей работы пишут, чем они конкретно занимаются. **Wayback machine** позволит посмотреть на созданные снапшоты сайта, можно найти, например, снапшот критичных файлов, либо снапшот веб-приложения, в коде страницы которого была оставлена какая-нибудь полезная информация для атакующего. Злоумышленнику также достаточно обнаружить метаданные, загруженных файлов в сеть Интернет. **P.S:** Каждый раз, когда вы создаете или редактируете файл, в нем остается множество метаданных. Когда вы загружаете этот файл в интернет, зачастую метаданные сохраняются. Так как поисковые системы индексируют файлы, вы можете найти их, например, в google используя оператор поиска file. С помощью **утилиты FOCA** он может получить Email-адреса, ФИО сотрудников, Используемое ПО, Используемые операционные системы, IP-адреса, Поддомены. **2. Вооружение** Злоумышленник оснащает свой арсенал PDF-документом, зараженным **трояном-бэкдором Etumbot**, а в качестве инструмента по доставке писем использует **Gophish** (позволит взломщику создавать шаблоны писем, которые будут предназначены жертвам, находящимися на разных должностях). **3. Доставка** При помощи социальной инженерии взломщик создаёт шаблон письма и прикрепляет к нему вредоносный PDF-документ, данное письмо отправляется сотрудникам из ТОП-менеджмента или же кому-либо из отдела кадров/финансов. **4. Заражение** Файл был открыт кем-то из сотрудников-целей, троян-бэкдор Etumbot. Он состоит из двух компонентов: дроппера и пейлоада. Пользователь попал на скомпрометированный веб-сайт, в HTML-код которого были внедрены элементы iframe, перенаправляющие браузер на зараженную страницу, где генерировалась ссылка на троян-дроппер. **5. Инсталляция** Чтобы сбить с толку пользователя, он скачивался под видом документа. Далее троян прописывал себя на автозапуск, маскируя свой вызов под легитимный процесс. Etumbot сканирует зараженный компьютер в поисках конфигурации прокси. Если прокси-сервер обнаружен, то бэкдор настраивает собственное подключение в обход его, чтобы меньше светиться в логах. **6. Получение управления** После заражения компьютера троян подключается к IRC-серверу и затем к определенному каналу для получения команд от злоумышленника. Команды могут приказать трояну распространиться на другие компьютеры путем сканирования общих сетевых ресурсов со слабыми паролями, использования уязвимостей Windows или, возможно, распространения через бэкдор-порты, открытые другими семействами вредоносного программного обеспечения. **7. Выполнение дейстсвий** Злоумышленник может выполнять любое количество различных действий на зараженном компьютере. Например, будучи на машинке кого-либо из ТОП-менеджмента, взломщик проникнет под видом легитимного пользователя на File-server и найдёт для себя персональные данные сотрудников, заколюченные договора, также финансовые отчёты, затем передать их конкуренту-заказчику.