Анализ трафика на Snort и Suricata

# Анализ трафика на Snort и Suricata Задача провести следующие атаки и VPN подключения в следующей инфраструктуре: ![](https://i.imgur.com/b9L8Ijx.png) Атака будет производится с компьютера kali-2021 на компьютер Win-7-2. ## Список задач: 1) Реализовать атаку - reverse-Shell c использованием powerShell payload 2) Реализовать атаку - reverse-Shell c использованием обфускации reverse-shell 3) Реализовать атаку - VPN-tunnels: (обязательно проверьте правило, которое отрабатывает - возможно потребуется добавить кастомное правило) а) OpenVPN: 1194/udp b) OpenVPN: 1194/tcp c) OpenVPN: 11194/udp d) OpenVPN: 11194/tcp ## Выполнение задач: ### 1) Реализовать атаку - reverse-Shell c использованием powerShell payload** Подготовим payload на kali-2021 с эксплойтом windows/powershell_reverse_tcp, команда выглядит следующим образом: ![](https://i.imgur.com/AwOQoF5.png) --- Следующим шагом запустим web сервер для передачи подготовленного файла на компьютер жертвы. --- Далее запустим прослушиватель порта для нашей атаки, необходимо выполнить следующие команды: ![](https://i.imgur.com/krI4pEM.png) --- Далее заходим на компьютер жертвы и скачиваем подготовленный файл - reverse-ps.exe ![](https://i.imgur.com/74fyPB7.png) --- Еще не дошло до запуска нашей полезной нагрузки, но Suricata уже уведомляет об опасности: ![](https://i.imgur.com/eU3WnGP.png) Snort при этом "молчит". ![](https://i.imgur.com/WpNHxup.png) --- Далее скачиваем полезную нагрузку в виде файла reverse-ps.exe на компьютере Win-7-2 и запускаем данный файл. После запуска программа закрывается, но в диспетчере процессов появляется работающий процесс powershell.exe. ![](https://i.imgur.com/pH3Tj88.png) И в этот момент на kali-2021 запущенная powershell сессия ![](https://i.imgur.com/MR8izDN.png) Атака сработала успешно, смотрим что в Snort и Suricata ![](https://i.imgur.com/zxq5TPl.png) Система Suricata обнаружила атака: ![](https://i.imgur.com/OOfhZzr.png) ### 2) Реализовать атаку - reverse-Shell c использованием обфускации reverse-shell Выполним всё тоже самое но зашифруем наш файл с помощью shikata_ga_nai, выполнив следующую команду: ![](https://i.imgur.com/Z4Bed3R.png) Подготовим файл reverse-ps-shikata.exe для скачивания: ![](https://i.imgur.com/7h1Mmoy.png) Запускаем файл на компьютере жертвы, сессия активируется, атака прошла успешно: ![](https://i.imgur.com/yRtKbsE.png) **При этом ни Snort ни Suricata явно ничего не обнаружили** ![](https://i.imgur.com/hWpv0Kd.png) ![](https://i.imgur.com/zO0ged9.png) ### 3) Реализовать атаку - VPN-tunnels: (обязательно проверьте правило, которое отрабатывает - возможно потребуется добавить кастомное правило) **Устанавливаем и настраиваем OpenVpn на компьютере kali-2021 в соответствии с [инструкцией](https://hackmd.io/@mustakyl/rkU50GD0_) ** Запускаем настроенный профиль подключения с компьютера Win-7-2. #### a) OpenVPN: 1194/udp Профиль kalivpn2 - это OpenVPN: 1194/udp ![](https://i.imgur.com/RnuNodD.jpg) После запуска подключения на стандартном порту и по протоколу UDP, Snort легко обнаружил подключение VPN ![](https://i.imgur.com/ebGxx9D.png) #### b) OpenVPN: 1194/tcp Профиль openvpn_tcp2 - это OpenVPN: 1194/tcp ![](https://i.imgur.com/NzcCvmV.jpg) После запуска подключения на стандартном порту и по протоколу TCP, Snort ничего не обнаружил что указывало бы на VPN ![](https://i.imgur.com/g71U61S.png) #### c) OpenVPN: 11194/udp Профиль kalivpn_11194_udp - это OpenVPN: 11194/udp ![](https://i.imgur.com/LImJ2Wg.jpg) После запуска подключения на порту 11194 и по протоколу UDP, ни Snort ни Suricata ничего не обнаружили ![](https://i.imgur.com/TWHYZgY.png) #### d) OpenVPN: 11194/tcp Профиль kalivpn_11194_tcp - это OpenVPN: 11194/tcp ![](https://i.imgur.com/u0HojWY.png) После запуска подключения на порту 11194 и по протоколу TCP, ни Snort ни Suricata ничего не обнаружили ![](https://i.imgur.com/26pnJ4X.png) ![](https://i.imgur.com/10mEIie.png)