Skip to main content

Стартовая информация и утилиты

Общие шаги по проникновению

  • Reconnaissance (англ. Разведка)  это процесс сбора информации об инфраструктуре и уязвимостях компании, который выполняют, чтобы определить, какие действия могут быть выполнены для ее компрометации.

  • Weaponization (англ. Вооружение) — это процесс создания и подготовки действующим лицом программного обеспечения и инструментов, которое может использоваться для атаки на инфраструктуру компании.

  • Delivery (англ. Доставка) — это процесс доставки программного обеспечения на устройства в сети компании.

  • Exploitation (англ. Эксплуатация) — это процесс использования уязвимостей в инфраструктуре компании, обнаруженных на этапе разведки, для получения несанкционированного доступа.

  • Installation (англ. Установка) — это процесс установки вредоносного программного обеспечения на компьютеры или серверы в сети компании для закрепления полученного доступа в системе.

  • Command and control (англ. Командование и контроль) — это процесс установки соединения между скомпрометированным компьютером и управляющим им ПО, и сервером действующего лица, который дает лицу возможность удаленно управлять компьютером.

  • Actions on objective (англ. Действия по достижению цели) — это процесс выполнения действующим лицом своих целей, которые могут включать выполнение таких недопустимых для организации событий как: кражу данных, шпионаж, вредоносные действия и другие действия, которые могут нанести ущерб инфраструктуре компании.

Этапы, которые проходит пентестер:

  • Разведка во внешней сети
  • Атаки первичного доступа
  • Закрепление доступа  
  • Повышение привилегий
  • Выход за рамки демилитаризованной зоны (ДМЗ) и ограничений сети
  • Проброс трафика в другие сегменты
  • Разведка в локальной сети
  • Захват управления инфраструктурой сети
  • Противодействие обнаружению и реагированию

 На какие вопросы мы отвечаем в этом процессе:

  • Действительно ли данная информация (учетные данные, публичные сервисы и сайты, информационные сообщения) относятся к нашей цели, а не к другим компаниям, которые не являются нашими целями?
  • С какими сервисами мы сможем взаимодействовать через сеть для того, чтобы изучать их и исследовать их уязвимости: это веб-сайты, почтовые серверы, серверы удаленных рабочих столов?
  • Какие бизнес-риски существуют в организации? Какие самые важные места она защищает или имеет?
  • Какие технологии использует организация на публичном периметре сети и внутри себя?

Результирующие данные

  1. Доменные имена, принадлежащих организации
  2. “Живые” хосты в сети и составления списка их IP-адресов
  3. Определение актуального статуса сетевых портов узлов из списка
  4. Определение типа и версии операционной системы на исследованных машинах
  5. Определение версий ПО или служб, которые находятся на сетевых портах
  6. Сбор информации об используемых технологиях на веб-сайте

Атаки первичного доступа

Атака первичного доступа (англ. Initial Access Attack) — это попытка несанкционированного доступа к системе, сети или приложению, с целью получить начальный уровень доступа и проникнуть в них.

Уязвимости — это слабые места в системе или приложении, которые могут быть использованы злоумышленниками для проведения атак.

Фишинг (Phishing) — это метод социальной инженерии, при котором злоумышленник пытается получить доступ к чужой информации, обманывая пользователей с помощью поддельных веб-сайтов, электронных писем или сообщений.

Фишинговый сервис — это специальный инструмент, который используется для проведения фишинг-атак.

Отказ в обслуживании ( англ. denial-of-service attack (DoS) ) — атака на вычислительную систему с целью довести её до отказа, то есть создание таких условий, при которых пользователи системы не смогут получить доступ к предоставляемым системным ресурсам (серверам), либо этот доступ будет затруднён.

Атака «человек посередине» (англ. Man in the middle (MiTM)) — вид атаки в компьютерной безопасности, когда злоумышленник тайно ретранслирует и при необходимости изменяет связь между двумя сторонами, которые считают, что они непосредственно общаются друг с другом.

Цели первичных атак:

  • узлы из сети DMZ или из облачной инфраструктуры
  • машины конечных пользователей, которые атакуются при применении атак с методами социальной инженерии. 

Главная цель на этом этапе — попасть в закрытую сеть заказчика.

Векторы атак:

  • Веб-приложения
  • Сетевые сервисы
  • Пользователи сети
  • WiFi сети

Стратегии атак:

  • Поиск веб приложений или сетевых сервисов, которые можно беспрепятственно анализировать длительное время
  • Взлом WiFi
  • Применение социальной инженерии на сотрудниках. Считается самым простым методом.
Back to top