УНИВЕРСИТЕТ ПАРДУБИЦЕ, ФАКУЛЬТЕТ ЭЛЕКТРОТЕХНИКИ И ИНФОРМАТИКИ
1 ПАРДУБИЦКИЙ УНИВЕРСИТЕТ, ФАКУЛЬТЕТ ЭЛЕКТРОТЕХНИКИ И ИНФОРМАТИКИ, ТЕЗИС 2017 г. до н.э. Мартин Матушина
2 Факультет электротехники и информатики Пардубицкого университета Идентификация статуса безопасности ОС Windows Bc. Мартин Матушина Дипломная работа 2017
5 Заявление автора Я заявляю, что разработал эту работу самостоятельно. Все литературные источники и информация, которые я использовал в своей работе, указаны в списке использованной литературы. Мне сообщили, что на мою работу распространяются права и обязанности, вытекающие из Закона № 121/2000 Сб., Закона об авторском праве, в частности тот факт, что Пардубицкий университет имеет право заключить лицензионный договор на использование это произведение в качестве школьного произведения в соответствии со статьей 60, пункт 1 Закона об авторском праве, с оговоркой, что если это произведение используется мной или если лицензия на использование предоставлена другому лицу, Университет Пардубице имеет право потребовать от меня разумный взнос для покрытия расходов, понесенных на создание произведения, в зависимости от обстоятельств, в пределах их фактической суммы. Я согласен на наличие моей работы в библиотеке Университета. В Пардубице на Мартина Матушину
6 БЛАГОДАРНОСТЬ Прежде всего, я хотел бы поблагодарить г-жу Ing. Соня Нерадова, к. Д. за профессиональные рекомендации и советы, которые помогли в создании дипломной работы. Спасибо также моим друзьям и коллегам за их ценные советы, опыт и сотрудничество во время учебы. Я также хотел бы поблагодарить мою семью, которая всегда поддерживала меня во время учебы.
7 АННОТАЦИЯ Целью работы является определение состояния безопасности клиентов и серверов ОС Windows в соответствии с методологией NIST (Национальный институт стандартов и технологий). В теоретической части автор отображает программные инструменты или методологии, которые помогают сегодняшним администраторам вукрепление их среды, особенно серверов, и достижение соответствия. Студент в основном имеет дело с инструментами Microsoft для операционных систем Windows, как серверных, так и клиентских. В теоретической части студент также проводит сравнительный анализ различных стандартов по усилению защиты операционных систем. В практической части создается модель компьютерной сети с серверами и клиентами, при этом в этой сети выполняются основные подходы тестирования на проникновение (рекогносцировка, подсчет) и анализируется, насколько сеть подвержена потенциальным атакам или уязвимостям. Впоследствии упомянутые программные инструменты и методологии усиления защиты применяются на практике, и подходы к тестированию на проникновение повторяются. Ниже приводится анализ полезности мер по повышению безопасности. КЛЮЧЕВЫЕ СЛОВА Повышение безопасности, NIST, CSIRT, перечисление НАЗВАНИЕ Идентификация состояния безопасности Windows АННОТАЦИЯ Целью данной диссертации является определение состояния безопасности клиентов и серверов Windows в соответствии с методологией NIST (Национальный институт стандартов и технологий). В теоретической части диссертации будут представлены программное обеспечение и методология, которые помогут администраторам повысить безопасность своей среды, особенно серверов, для обеспечения соответствия требованиям. В этой диссертации автор сосредоточится в основном на программном обеспечении, разработанном Microsoft для своих операционных систем, серверов и клиентов. В теоретической части диссертации также будет представлен сравнительный анализ различных стандартов закалки. Практическая часть будет посвящена созданию сети с серверами и клиентами, на которой будет показана демонстрация основных подходов к тестированию на проникновение (рекогносцировка, подсчет)
8 и анализирует, насколько сеть уязвима для атак. После этого будут применены методы, представленные в теоретической части, для упрочнения системы и проникновения.тестирование будет повторено. Результаты будут сопоставлены, и будет дано объяснение эффективности этих мер предосторожности. КЛЮЧЕВЫЕ СЛОВА Закалка, NIST, перечисление,
9 СОДЕРЖАНИЕ Введение Тестирование на проникновение в систему безопасности Этапы тестирования на проникновение Взлом Что такое взлом Подразделение хакеров: Исследование Эксплуатация Повышение привилегий Оставление бэкдора Извлечение данных Типы атак Sweep Переполнение буфера Переполнение буфера Принудительный просмотр Перечисление Отказ в обслуживании SYN Flood RUDY Деаутентификация из-за ошибки AP Сообщения Межсайтовый скриптинг Внедрение SQL Усиление Процесс усиления. 39
10 3.2 Классификация уязвимостей Рекомендации по безопасности ОС Windows Рекомендации по безопасности ОС Linux Усиленные системы Сравнительный анализ операционных систем и усиление защиты Базовый уровень защиты серверов Групповые права (Групповая политика) Использование учетной записи администратора NTFS Безопасность Настройки учетной записи Удаление общих файлов и настроек ACL Установка обновления и антивирусное программное обеспечение Microsoft Baseline Security Analyzer CERT/ CSIRT Национальная CSIRT Государственная CSIRT Обмен информацией CSIRT CR NIST Национальное хранилище контрольных списков NIST Типы контрольных списков, перечисленные в программе National Checklist Контрольный список настройки безопасности Преимущества использования контрольных списков безопасности Процесс выбора контрольного списка Security Content Automation Protocol Solution ускоритель Список найденных уязвимостей и угроз. 59
11 9 Сравнение Практическая часть Metasploit Model network Тестирование Повышение безопасности Windows Windows Server Заключение Ссылки. 97
12 СПИСОК СОКРАЩЕНИЙ И МАРКИРОВ ACK — Подтверждение ACL — Список управления доступом AD — Active Directory AP — Точка доступа ASCI — Американский стандартный код для обмена информацией BIOS — Базовая система ввода-вывода BSA BaselineКомпакт-диск Security Analyzer — Компакт-диск Компакт-диск CERT — Группа реагирования на компьютерные чрезвычайные ситуации CESNET — Чешская образовательная и научная сеть CIS — Центр интернет-безопасности CSIRT — Группа реагирования на инциденты компьютерной безопасности DDoS — Распределенный отказ в обслуживании DHCP — Протокол динамической конфигурации хоста — DNS — Домен Система имен Система доменных имен DoS — отказ в обслуживании DVD — цифровой универсальный диск или цифровой видеодиск FAT — таблица размещения файлов FIRST — форум групп реагирования на инциденты и безопасности FTP — протокол передачи файлов GID — идентификатор группы идентификатор группы HTML — язык гипертекстовой разметки HTTP — Hypertext Transfer Protocol Интернет-протокол для обмена документами HTTPS — Hypertext Transfer Protocol Secure HTTP ICMP — Internet Control Message Protocol ICT — Информационно-коммуникационные технологии IDS — Intrusion Detection System — Система обнаружения проникновения IPS — In Системы предотвращения проникновения — Интернет-провайдер — Интернет-провайдер — Интернет-провайдер
13 MBSA — Microsoft Baseline Security Analyzer MSSQL — Microsoft SQL Server MX — Запись почтового обменника MX-запись NCP — Национальная программа контрольных списков NIST — Национальный институт стандартов и технологий NS — Серверы имен — Серверы доменов NTFS — Файловая система новой технологии NÚKIB — Национальное управление кибербезопасности и информационной безопасности NVD — Национальная база данных уязвимостей PAM — Подключаемые модули аутентификации — Управление механизмами аутентификации PLC — Программируемый логический контроллер — Программируемый логический автомат RUDY — R-U-Dead-Yet SAM — Security Account Manager SCADA — Supervisoryконтроль и сбор данных SCAP — протокол автоматизации содержимого безопасности SCM — диспетчер соответствия требованиям безопасности SID — идентификатор безопасности SMB — блок сообщений сервера Сетевой протокол связи SMTP — простой протокол передачи почты — SNMP — простой протокол управления сетью SOA — начало авторитетных записей SQL — структурированный запрос Language — язык структурированных запросов SSH — Secure Shell — безопасный протокол TCP — протокол управления передачей TERENA — Трансъевропейская ассоциация научно-образовательных сетей TF-CSIRT — Task Force for CSIRT UAC — UID контроля учетных записей пользователей — идентификатор пользователя — UPCE University of Pardubice URL — Единый указатель ресурса — Единый адрес ресурса
14 VNC Virtual Network Computing VPN — виртуальная частная сеть Виртуальная частная сеть XML — расширяемый язык разметки — расширяемый язык разметки XSS — межсайтовый скриптинг
15 Список изображений Изображение 1 — WHOIS CZ.NIC, Источник: Собственное изображение 2 — Информация о домене WHOIS Lupa, Источник: Собственное изображение 3 — WHOIS Lupa — Техническая контактная информация, Источник: Собственное изображение 4 — Отчет сайта Netcraft, Источник : Собственное изображение 5 — Отчет сайта Netcraft, Источник: Собственное изображение 6 — Netcraft — Технология сайта, Источник: Собственное изображение 7 — Перечисление с использованием dnsrecon, Источник: Собственное изображение 8 — Сканирование портов Nmap, Источник: Собственное изображение 9 — использование DirBuster, Источник : Пользовательское изображение 10 — airodump-ng — сканирование активного Wi-Fi, Источник: Пользовательское изображение 11 — aireplay-ng — отправка пакетов деаутентификации, Источник: Пользовательское изображение 12 — BSA — список найденных угроз, Источник: Пользовательское изображение 13 — График разрешенных инцидентов , Источник: собственный Рисунок 14 — смоделированная сеть, Источник: собственный Рисунок 15 — netdiscover- перечисление подключенных устройств, Источник: Собственное изображение 16 — netdiscover — пассивный режим, Источник: Собственное изображение 17 — Zenmap — сканирование портов, Источник: Собственное изображение 18 — Zenmap — информация о цели, Источник: Собственное изображение 19 — nmap — сканирование портов TCP , Источник: Собственное изображение 20 — nmap — Сканирование портов UDP, Источник: Собственное изображение 21 — Metasploit — атака по словарю, Источник: Собственное изображение 22 — msfvenom — отображение энкодеров, Источник: Собственное изображение 23 — veil-evasion — добавление бэкдора в исполняемый файл, Источник: Пользовательское изображение 24 — veil-evasion — список настроек, Источник: Пользовательское изображение 25 — msf — прослушивание входящих подключений, Источник: Пользовательское изображение 26 — metasploit — установление соединения, Источник: Пользовательское изображение 27 — meterpreter — информация о системе, Источник: Custom Picture 28 — meterpreter — Консоль Windows, Источник: Vlatní Picture 29 — meterpreter список всех пользователей, Источник: Custom Picture 30 — meterpreter — изменение пароля администратора, Источник: Custom Picture 31 — meterpreter — расширение доступа прав Windows Server, Источник: Пользовательский образ 32 — AutoIt — вставка вредоносного кода в образ, Источник: Пользовательский. 74
16 Рисунок 33 — msf — параметры постоянного подключения, источник: пользовательский Рисунок 34 — msf — успешное внедрение полезной нагрузки и установление соединения после перезагрузки, источник: пользовательский Рисунок 35 — активные службы Windows, источник: пользовательский Рисунок 36 — MBSA — результаты сканирования , Источник: Собственное изображение 37 — анализ MBSA, Источник: Собственное изображение 38 — учетные записи пользователей, Источник: Собственное изображение 39 — предопределенные учетные записи, Источник: Собственное изображение 40 — достоверность пароля, Источник: Собственное изображение 41 — MBSA — дополнительная информация, Источник: Пользовательское изображение 42 — удаление общих папок, Источник: Пользовательское изображение 43, результаты сканирования MBSA, Источник: Пользовательское изображение 44 — MSCM — создание пользовательского правила, Источник: Пользовательское изображение 45 —MSCM — Соответствие компьютерной безопасности, Источник: Пользовательский Рисунок 46 — Параметры правил, Источник: Пользовательский Рисунок 47 — Локальные политики безопасности, Источник: Пользовательский Рисунок 48 — Параметры блокировки учетной записи пользователя, Источник: Пользовательский Рисунок 49 — Типы аутентификации в системе, Источник: Рисунок 50. Регистрация событий, Источник: Пользовательский Рисунок 51. Базовая конфигурация, Источник: Пользовательский Рисунок 52. Конфигурация сеанса, Источник: Пользовательский Рисунок 53. Отправка данных телеметрии, Источник: Пользовательский Рисунок 54. Более подробные настройки UAC и Защитника Windows, Источник: Пользовательское изображение 55 — применение правил с использованием LGPO, Источник: Собственное изображение 56 — проверка параметров локальной политики, Источник: Собственное изображение 57 — заблокированное соединение с Kali Linux, Источник: Собственное изображение 58 — nmap — сканирование портов Windows Server, Источник: Собственное изображение 59 — Microsoft Baseline Analyzer — Windows Server, источник: собственный Рисунок 60 — Параметры политики безопасности Windows Server Рисунок 61 — Параметры политики паролей, источник: собственный образ 62 — Соответствие безопасности домена, Источник: Пользовательский Рисунок 63 — Дополнительные параметры локальной политики, Источник: Пользовательский. 94
17 Список таблиц Таблица 1 — Перечень открытых портов Источник: собственный Таблица 2 — Оценка времени взлома пароля на обычном ПК, Источник: собственный Таблица 3 — Статистика разрешения инцидентов CSIRT.CZ, источник. 51
18 ВВЕДЕНИЕ Безопасность. Слово склоняется все больше и больше в сегодняшнем мире. К сожалению, абсолютная безопасность — вещь совершенно вырванная из утопического романа не только в реальном мире, но и в виртуальном. Абсолютная безопасность не может быть куплена или гарантирована каким-либо образом. Нет ощущения ложной безопасности, когда большинство пользователей устанавливают пятизначный пароль, свое имя в качестве своего банковского пароля или просто оставляют пароль по умолчанию на своей точке доступа, потому что кому какое дело до маленькой рыбки?заинтересованная, но реальная, но частичная безопасность, ради которой многое можно сделать. Осознаем мы это или нет, каждый день записываются гигабайты данных о нашей жизни в реальном мире. Со смартфоном, отслеживающим наше положение с помощью GPS, телефоном Android, отправляющим данные телеметрии, операторами, которые следят за нашими перемещениями, системами камер на улицах, автомагистралях, зданиях или транспортных средствах или даже банками, которые управляют нашими счетами и имеют обзор всех онлайн-транзакций, которые мы будем проводить. Все полученные данные можно использовать. Теперь не только деньги, но и информация действительно движут обществом. Во многих случаях информация — это деньги. Конечно, в самом человеке может и не быть такой силы. Однако мощность, создаваемая путем соединения множества компьютеров в сеть сетей, действительно ломает все физические границы. В такой момент отдельные люди и их комбинации могут нанести неизмеримый ущерб. Первоначальная мода на Facebook уже отмерла, появились другие социальные сети, которые также могут косвенно угрожать нашей безопасности. Значительное количество успешных атак осуществляется с помощью социальных сетей, которыми обычно пользуются чрезмерно доверчивые пользователи. Каждый, кто владеет устройством, запускает систему или приложение или просто работает в Интернете, должен обеспечить безопасность своей среды. Недавняя история должна была научить нас, особенно некоторые предприятия, тому, что полагаться на закрытую систему, то есть на систему, которая разделяет безопасную и незащищенную сеть только воздушным зазором, совсем небезопасно. Важно общее образование, которое, хотя и достигло мира айтака давно, но не дошло до обычных пользователей. Однако эта работа в основном касается безопасности рабочих станций и серверов. Как и серверы, рабочие станции очень часто становятся мишенью злоумышленников, использующих поддельные веб-сайты и вредоносные программы.вложения, флешки, CD и DVD с содержимым, которое пытается проникнуть на станцию и украсть конфиденциальную информацию. Эта работа, несмотря на свою специфическую направленность, может продолжать воспитывать. Потому что это предполагает, что можно раскрыть вашу используемую систему и, следовательно, данные третьей стороне из-за неосторожного поведения. Усиление защиты — это бесконечный процесс, который защищает и снижает риск атак и кражи конфиденциальной информации. 18
19 1 БЕЗОПАСНОСТЬ Что такое безопасность и зачем мы ей занимаемся? Нам действительно нужно защищать себя? Против кого? Соседи? Коллеги? Мир? Правильный ответ: против всех. Нигде не должно быть никакой линии, когда этого достаточно. Мы защищаем себя, свою информацию, данные, фотографии и многое другое, что лично мы не находим эксплуатируемым, но в большинстве случаев им можно. Ярким примером могут служить утечки из тех коммуникаций, которые нанесли ущерб американским президентским выборам. Другая и не менее серьезная проблема – это различные утечки личной информации от различных компаний, или просто частных фотографий, которые сохранились где-то в Интернете. Однако компании защищают не только свои данные и внутреннюю информацию, репутацию или данные своих клиентов, они также защищают свои ноу-хау. Безопасность в корпорациях также ориентирована на обеспечение качества обслуживания клиентов, но это не должно происходить за счет скорости работы систем, функционирования приложения или его надежности. 1.1 Тестирование на проникновение Тестирование на проникновение — очень важная часть защиты информационной системы или инфраструктуры. Краеугольным камнем тестирования на проникновение является серия из нескольких типов тестирования, которые различаются по своему подходу и направленности. При тестировании на проникновение используется несколько методов и сложных инструментов, имитирующих поведение злоумышленника, целью которого является недопустимое получение контроля над устройством или просто получение не принадлежащей ему информации. Следовательно, чтобычтобы такие тесты были эффективны, необходимо правильно выбрать виды тестов. Если бы этого не произошло, все серьезные угрозы могли бы быть не обнаружены. [1] Этап тестирования на проникновение Входная информация и определения На этом этапе определяется, какие тесты на проникновение будут использоваться. Следовательно, необходимо получить входную информацию, которая включает, например, ожидаемые результаты и требования, топологию сети, а также конечную стоимость внедрения. В то же время также принимается решение о подходах «белый ящик» или «черный ящик». Whitebox имитирует атаку человека, знающего окружающую среду, а blackbox — это атака без внутренних знаний системы, максимум с общедоступными знаниями. Тестирование на проникновение может быть проведено один раз для проверки безопасности системы или приложения, но его также можно проводить неоднократно, что в значительной степени способствует повышению безопасности среды ИКТ. Подразделение тестов на проникновение: Внутренние тесты выполняются внутри сети передачи данных Внешние тесты выполняются из Интернета 19
20 В автоматизированном тестировании используются специализированные инструменты, которые полностью автономны и не требуют существенного внешнего вмешательства. Ручное тестирование требует обширных знаний информационных технологий и тестируемой среды. Тестирование инфраструктуры Целевой категорией тестирования инфраструктуры является обнаружение уязвимостей, которые могут быть обнаружены в основном в активной сети. такие элементы, как маршрутизаторы, коммутаторы, серверы печати, файловые серверы и другие сетевые элементы. В таких случаях используются автоматические тесты, которые пытаются войти в существующие службы, используя учетные записи по умолчанию. Кроме того, их цель — найти и использовать слабые места в реализации или даже слабые механизмы шифрования. Тестирование приложений При тестировании приложений необходимо различать тестирование тонкого и толстого клиентов. Для толстого клиента этокак правило, он передает по сети большой объем данных, которые определенным образом обрабатывает и отправляет результат обратно на сервер. Таким образом, он содержит уровень представления и приложения и напрямую подключен к серверу базы данных. Такой подход имеет ряд преимуществ. Толстый клиент более портативный и имеет более быстрый отклик. Такие большие требования к оборудованию предъявляются не к серверу, а к оборудованию самой машины. Напротив, на тонком клиенте не происходит никакого принятия решений или логики приложения, это только веб-браузер со слоем представления, который сам заботится об отображении данных. В данном случае речь идет о тестировании и проверке поведения отдельных компонентов, скриптов, форм и входных данных для предотвращения известных типов атак, таких как SQL-инъекция и межсайтовый скриптинг. [2] Составление карты окружения и тестирование Результатом автоматических тестов является список потенциальных уязвимостей, которые необходимо проверить вручную, чтобы определить реальную угрозу для системы. Это только этап, когда обнаружены эксплуатируемые уязвимости и отдельные результаты подвергаются ручному тестированию в виде использования эксплойтов. Автоматизированные тесты не выполняют классическое тестирование на проникновение, которое напоминало бы поведение реального злоумышленника, однако злоумышленник также использует различные методы автоматизации. 20
21 Внедрение тестирования на проникновение Этап, на котором проводится основное тестирование на проникновение. С помощью различных инструментов активно тестируются ошибки конфигурации или другие обнаруженные уязвимости, иногда даже автоматически. Выходные данные подвергаются анализу и на основе их выводов создается отчет, содержащий вид, тип, серьезность, а также рекомендации по устранению выявленных угроз безопасности. Также часто создается комплексный отчет, который содержит общую оценку тестируемой среды или системы. Часть упомянутой фазы, а такжеочень часто наблюдается демонстрация уязвимости. Однако такая демонстрация уже происходит при взаимодействии и сотрудничестве клиента, который, например, создает новую секретную запись в базе данных или файл в защищенной области, создает нового пользователя с правами администратора. Затем тестер использует конкретный пример, чтобы продемонстрировать, как можно использовать уязвимости для управления системой или для защиты информации. Рекомендации, ведущие к исправлению Весь процесс не завершается простой реализацией и представлением результатов испытаний. Обладая вновь полученными знаниями, тестировщик должен описать и представить рекомендации по устранению найденных уязвимостей. При устранении найденных ошибок и уязвимостей также необходимо учитывать, что хотя автоматизированные тесты и содержат решения большинства обнаруженных проблем, решения не всегда могут быть полностью актуальными. В некоторых случаях для исправления одной уязвимости требуется несколько шагов или применение нескольких исправлений, прежде чем ошибка будет окончательно устранена. [1] Однако, к сожалению, проблема возникает, когда тестирование на проникновение завершено и выполнены все этапы, включая передачу подробной документации, содержащей уязвимости. Во многих случаях бывают ситуации, когда и тестировщик, и клиент работали над устранением находок, но совместные усилия не привели к созданию безопасной среды либо из-за неустранения всех найденных слабых мест, либо из-за непрофессионализма одного или другая сторона. 21
22 2 ВЗЛОМ Взлом — это процесс получения контроля, который очень часто мы не должны или не должны делать. Непрерывный процесс, который происходит ежедневно, и о большинстве атак мы даже не догадываемся. Большое количество компаний запрашивают заказы именно на проникновение в их системы и сети, с целью выявления и устранения слабых мест. Многие из них также перечисляют различные конкурсы и любые найденные слабостихакер вознаграждается денежной суммой в зависимости от серьезности обнаруженной опасности. Даже более мелкие компании, а не только Facebook, Microsoft или Apple, проводят такие конкурсы. 2.1 Что такое взлом Взломом может быть, например, возможность увидеть файл или страницу, которую мы не должны видеть, потому что у нас нет для этого достаточных полномочий. Однако это также может быть попыткой получить контроль над одним или несколькими компьютерами, которые мы обычно не имеем возможности или разрешения контролировать. Существует множество видов атак, таких как хакерские, компьютерные, серверные, веб-атаки, прикладные. Всякий раз, когда цель состоит в том, чтобы получить доступ туда, где он не авторизован, это взлом Подразделение хакеров: Черные киберпреступники, взламывающие системы для своих целей и выгод. Хакеры, которые крадут деньги или разрушают системы. Белых часто также называют этическими хакерами, они могут использовать те же методы, что и черные хакеры. Однако они выполняют свою работу только после того, как получат разрешение на поиск и устранение слабых мест системы. Серые — сочетание Белого и Черного, они взламывают любую систему или сеть, даже если у них нет на это разрешения, они делают это исключительно по собственному убеждению. Если они попадут в систему, они не будут воровать деньги или ничего уничтожать. В большинстве случаев администраторы будут предупреждены о данной проблеме, как ее устранить или исправить. 2.2 Исследование Прежде чем хакер сможет осуществить свою атаку, необходимо провести исследование. Без этой фазы и, следовательно, без знания цели успешная атака невозможна. Большинство атак, описанных в следующем разделе, предполагают, что злоумышленник уже знает основную информацию о системе, включая IP-адрес, операционную систему, открытые порты или запущенные службы. Эта информация 22
23, конечно, обычно не доступны в Интернете в табличной форме и не могут быть получены без специальных процедур или внутренних знаний. [3] Одинподготовка и сбор информации могут занять в 2-3 раза больше времени, чем сама атака. Фаза исследования нередко длится несколько недель или месяцев, прежде чем будут предприняты первые попытки атаки. Если злоумышленник не знает достаточно информации, высока вероятность того, что атака потерпит неудачу, злоумышленник будет обнаружен или пойман, или и то, и другое. Опрос можно разделить на две части: активную и пассивную. Активное исследование требует взаимодействия с целевой системой для получения информации. Каким бы эффективным и точным ни было это исследование, оно рискует быть обнаруженным. Если такой опрос системы будет обнаружен администратором, злоумышленник рискует не только обнаружением или блокировкой адреса, но и любые другие действия злоумышленника будут зафиксированы и могут быть использованы для отслеживания всей его деятельности. Потому что каждый раз, когда мы отправляем пакет в сеть, под ним подписывается адрес источника. [4][5] Если это хоть немного возможно, используется пассивный сбор важной информации. Это сбор информации о цели без установления контакта с целью, которая отличается от обычного сетевого трафика. Пассивное исследование может включать в себя получение информации с серверов DNS и SNMP, мониторинг социальных сетей (Facebook, LinkedIn) и других методов, предоставляющих информацию, и, в крайних случаях, просмотр физических отходов. Все без какого-либо взаимодействия со стороны цели, таким образом, хакер не подвергает себя риску обнаружения или возврата. Отличным помощником для получения основной информации может стать администратор чешского домена CZ.NIC, Lupa или даже Netcraft, где можно получить основную информацию о домене или администраторах. Можно получить значительный объем информации, просто используя первые два упомянутых метода. 23
24 Изображение 1 – WHOIS CZ.NIC, Источник: собственный 24
25 Рисунок 2. Информация о домене Zoom в WHOIS, источник:Пользовательское изображение 3 — WHOIS Zoom — контактная техническая информация, источник: пользовательское 25
26 Другим вариантом пассивного исследования является использование британской компании Netcraft, которая отслеживает все веб-сайты в мире. На основе этих данных они могут рассчитать время безотказной работы или долю отдельных веб-серверов на рынке. Рисунок 4 — Отчет по сайту Netcraft, Источник: Собственный Рисунок 5 — Отчет по сайту Netcraft, Источник: Собственный Помимо основной информации о сайте, можно узнать IP-адрес, регистратора домена и название компании, где находится хостинг эксплуатируется. Внизу потенциальный хакер найдет дополнительную полезную информацию. IP-адреса, операционная система, веб-сервер и время последнего перезапуска или обновления веб-сервера. Для потенциального злоумышленника такая информация может быть очень важна, так как может свидетельствовать о том, что исправления безопасности для операционных 26
27 система, возникшая тем временем, не должна была внедряться в систему. Такая информация может иметь решающее значение, так как все уязвимости безопасности, обнаруженные с указанной даты, все еще могут быть использованы. В следующей части отчета можно найти технологии, которые используются на сервере. Подобный список используемых сервисов невероятно полезен для злоумышленника, так как он может сразу искать слабые места в отдельных технологиях, не угадывая, какие технологии использовались. Поскольку каждая атака на отдельные технологии специфична, знание конкретных работающих технологий и служб значительно экономит время и силы хакеру, ищущему жизнеспособный путь для запуска атаки. 27
28 Изображение 6 — Netcraft — Технология сайта, Источник: Собственный Если злоумышленник не обнаружил достаточно слабых мест или проводит дополнительные исследования, он может использовать некоторые другие инструменты, которые приблизит структуру к злоумышленнику и, возможно, предложат дополнительныепотенциальные цели. 28
29 Рисунок 7. Перечисление с использованием dnsrecon, источник: собственный В предыдущем примере можно увидеть другие поддомены, работающие в домене UPCE. Среди них доменные серверы (NS), записи SOA (Start of Authority Records), определяющие ключевую информацию о DNS, включая имя сервера, контактные данные администратора и многое другое. MX (запись почтового обменника) указывает сервер для этой связи. Адреса IPv4 и v6 A и AAA, которые используются для обычной связи с миром. Часто поддомены размещаются на разных машинах. В этом случае возможно обнаружение новых IP-адресов, для которых можно начать перебор заново. Некоторые организации создают временные поддомены, которые менее безопасны или забыты. Такие пропущенные конечные точки могут иметь более слабую защиту и, следовательно, более восприимчивы к запросам на вход в сеть, чем первичные серверы. [6] Хотя мы уже переходим от исследований к перечислению и атакам, еще одним вариантом получения информации является инструмент nmap. 29
30 Рисунок 8. Сканирование Nmap портов, источник: собственный Из рисунка видно, что домен UPCE имеет только 2 открытых порта, т. е. 80 для незащищенного http и порт 443 для защищенного HTTPS-трафика. В таком случае можно только предположить, что атаковать такой сервер будет сложно. 2.3 Эксплуатация Использование уязвимости в системе безопасности может принимать различные формы, и успешный хакер использует свое творчество, чтобы придумать новый и совершенно оригинальный метод атаки. Как только хакер получит достаточное количество информации благодаря первому этапу, он может использовать различные базы данных, такие как SecurityFocus или TechNet, которые содержат известные уязвимости и эксплойты. Полезной программой для эксплуатации слабых мест является, например, Metasploit. [7][8][9][10] Хакер должен быть изобретательным, потому что он должен думать обо всех протоколах, которые использует сеть или система, и о том, как их можно использовать. Он также должен принятьс учетом возможности злоупотреблений с использованием социальной инженерии. Само собой разумеется, что атаки будут различаться в зависимости от того, является ли это удаленной или локальной атакой. Если у злоумышленника есть возможность физически войти в сеть, его возможности практически не ограничены. В случае удаленной атаки возможности довольно ограничены, но тем более опасны. 2.4 Повышение разрешений Даже если злоумышленнику удастся попасть в систему или приложение, злоумышленник все равно не выиграет, так как обычно получает права обычного пользователя. Такие права получены, например, путем злоупотребления обычно используемыми клиентскими приложениями, такими как веб-браузер, Adobe Flash или Reader. Права пользователя являются существенным ограничением, но цель 30
31 у каждого хакера есть права администратора, которые дадут ему неограниченный доступ ко всей системе и сети. В такое время ему необходимо увеличить разрешения. Если у нас есть законная учетная запись на веб-сайте или в локальной сети, хакер может повысить свои привилегии, чтобы получить права root или администратора. В некоторых случаях, если одна система с правами пользователя была скомпрометирована, можно скомпрометировать другие системы в сети. Опять же, не следует пренебрегать и игнорировать возможности методов социальной инженерии для получения административных привилегий, поскольку во многих случаях все, что вам нужно сделать, это задать правильные вопросы. 2.5 Выход из бэкдора После того, как система была успешно атакована и хакер получил административные права, его следующая цель — оставить руткит или прослушиватель. Это такая программа, которая в идеальных условиях переживает перезагрузку или обновление системы и позволяет хакеру вернуться в систему в любой момент, не будучи замеченным, без необходимости повторного входа в систему. NetCat отлично подходит для такой цели, так как не входит в антивирусные компаниисвоих баз данных и может работать незаметно в фоновом режиме компьютера с обновленной вирусной базой. NetCat прослушивает указанный порт и в случае попытки установить соединение запускает нужную программу. Другие программы, такие как VNC, также используются для аналогичных целей. 2.6 Извлечение данных Основной целью взлома является получение доступа, получение или изменение данных. Информация может быть личной, такой как номер социального страхования, место жительства, кредитные карты, интеллектуальная собственность или другая ценная информация. Хакер хочет получить такие данные незаметно для системного администратора и желательно в зашифрованном виде. Для аналогичных целей можно использовать Recub или Cryptcat. [11][12] 2.7 Поиск следов Последнее, но не менее важное: атакующий должен убедиться, что невозможно отследить атаку до него, и, следовательно, замести следы. Затем хакер удаляет различные журналы, загруженное и больше не нужное программное обеспечение, удаление истории команд и аналогичные журналы о своей деятельности. Также можно использовать Meterpeter, который содержит скрипт, удаляющий логи из Windows и одновременно отключающий антивирусные средства. 2.8 Типы атак Существует относительно большое количество вариантов атаки на сеть, компьютер или просто приложение. Каждый конкретный случай требует разного подхода. Так что немыслимо, чтобы один 31
можно было использовать каждый раз
32 один и тот же тип атаки, который всегда будет работать при любых обстоятельствах. Поскольку у каждой системы есть своя слабость, злоумышленник всегда должен адаптироваться к конкретной ситуации. Типы атак можно различить по нескольким характерным признакам. [13] Buffer Overflow Относительно старый тип атаки, возникший не специально, а как программная ошибка. Ошибки используются, когда программа не проверяет, достаточно ли у нее места для записи в память, и записывает информацию в область, куда ее нормально записывать не следует. То есть, например, что пишет 64кБ вместо80кБ. Последствия такой записи за пределы разрешенной памяти могут быть неизмеримыми. Данные, находящиеся за пределами зарезервированного пространства, могут быть заменены кодом злоумышленника и запущены в том месте, где данные должны были быть обработаны, а не выполнены. Наиболее распространенными целями таких атак являются различные приложения и веб-серверы, где предполагается некоторый ввод данных пользователем. Правильно разработанные приложения должны проверять длину входных данных, чтобы избежать подобных проблем. [14] Переполнение буфера обычно работает в сочетании с записью данных в стек, когда адрес возврата затирается при вызове функции «ret», а затем перескакивает туда, куда хочет атакующий, что запускает выполнение кода. В противном случае область данных отделена от области памяти, где принудительный просмотр принудительный просмотр является одним из наименее требовательных типов атак. Этот тип используется для веб-сайтов и основан на принципе ограничения доступа определенной группы пользователей. Таким образом, сами страницы не защищены, за исключением того, что в общедоступной части нет прямых ссылок на скрытые страницы, но сама страница доступна для поиска с использованием угадывания URL. Если пользователь получает доступ к странице с URL-адресом xxx.xx/123, он может попробовать то, что делает URL-адрес xxx.xx/124. В этот момент вы можете быть перенаправлены на существующую страницу или папку, к которым у вас нет авторизованного доступа. Злоумышленники чаще всего сначала анализируют сеть и на основе этого ищут защищенный контент, такой как исходные коды, резервные копии данных или журналы. Легче всего угадать названия используемых папок: Admin, Administrator, Images, Backup, Log, Scripts. Например, инструмент Nikto2 можно использовать для автоматического сканирования веб-сервера. [15] Перечисление Перечисление не является типом атаки, но оно необходимо для большинства атак. Это тип атаки, при которой злоумышленник может получитьинформация о вашем пункте назначения. Чем больше информации получит злоумышленник, тем больше шансов на успешную атаку на систему. Благодаря перечислению злоумышленник может получить информацию об именах пользователей и их привилегиях, сервисах, правилах, общих 32
33 папки и все открытые порты. Путем поиска страниц по умолчанию на сервере можно найти уязвимые места. Как и в приложениях, настройки некоторых систем по умолчанию или сгенерированные страницы с ошибками также могут быть использованы не по назначению. [16] Программа для автоматического веб-перечисления http-dir-enum, DirBuster или другие программы, такие как nikto или nessus. [45] Веб-перечисление: [17][18] (401) страница вернула код ошибки, отличный от 404, можно предположить, что папка существует (404) страница вернула код ошибки, указывающий, что страница/папка не существует не существует Рисунок 9 — Использование DirBusteru, Источник: Пользовательское перечисление портов: программа перечисления портов nmap, Microsoft Netstat, Port Explorer. Таблица 1 — Перечень открытых портов Источник: собственный ПОРТ STATE SERVICE VERSION 21/tcp Open ftp vsftpd /tcp Open ssh OpenSSH /tcp Open postgesql PostgeSQL DB
34 2.8.4 Отказ в обслуживании Пожалуй, самая известная на сегодняшний день атака называется DoS или отказом в обслуживании. DoS направлен на то, чтобы перегрузить сервер и сделать его недоступным, поэтому это не атака в прямом смысле этого слова, поскольку он не пытается украсть какую-либо конфиденциальную информацию или данные. Его целью чаще всего является привлечение к себе внимания или это может быть определенная форма протеста или несогласия. Более широко используемой версией DoS является ее расширенная версия DDoS, которая представляет собой не что иное, как расширение большого количества злоумышленников с оригинальными IP-адресами. На самом деле атака не обязательно должна проводиться несколькими пользователями, а только одним, который либо имел достаточную мощность по скорости соединения, ширине, пропускной способности, либо смог получить господство наддругих устройств или с помощью ботнета, то есть сети зараженных компьютеров, управляемых специальным программным обеспечением. Конечно, атака может быть проведена несколькими пользователями одновременно, что создаст достаточную нагрузку без необходимости наличия у отдельного лица достаточной мощности для проведения атаки. [19] Злоумышленник делает больше запросов, чем готов сервер. Обработка запросов в режиме реального времени невозможна и они будут помещены в очередь, что приведет к недоступности сервиса для клиента. Плохо настроенный сервер может быть не в состоянии восстановиться после аналогичной ситуации в случае перегрузки, а в случае перегрузки может привести к сбою конкретной службы, что решается только ручным вмешательством администратора, который позаботится об этом. перезапустить его. DoS-атака может быть осуществлена на разных участках связи между сервером и клиентом. Примером может быть повторяющийся вопрос о построении нужной страницы, заполнении и отправке формы, повторном вводе неверного пароля, смене приложения обработки данных. DoS не обязательно должен происходить исключительно на веб-сайтах и предоставляемых услугах, таких как электронная почта. Этот тип атаки также можно использовать в системах камер, чтобы отключить их активность. Не только частое использование этих атак должно быть причиной достаточной безопасности инфраструктуры путем установки и соответствующей настройки элементов безопасности. Например, путем установки систем предотвращения вторжений (IPS), которые отслеживают действия сети и операционной системы для выявления вредоносных действий, или путем установки брандмауэров и различных балансировщиков нагрузки. [30] SYN Flood Одним из типов DoS-атак является SYN Flood, в котором используются основные принципы установления TCP-соединения. Перед установкой соединения и передачей данных необходимо выполнить трехстороннее рукопожатие. 34
35 Реализация соединения осуществляется в три этапа: 1. Отправказапрос на соединение, отправка SYN-пакета от клиента на сервер, который запускает рукопожатие 2. Распознавание запроса и ответа, сервер идентифицирует запрос и отвечает отправкой SYN- и ACK-пакетов 3. Ответ клиента, последний этап, когда клиент отправляет ACK обратно на сервер и завершает рукопожатие [20] Когда сервер получает пакет синхронизации, он выделяет достаточно памяти для поддержания соединения и ожидает. Если пакет SYN был отправлен на поддельный IP-адрес, и, таким образом, ACK и SYN отправляются на неверный или несуществующий адрес, подтверждения ACK от клиента не будет, и, следовательно, невозможно продолжить процесс авторизации. . Память по-прежнему зарезервирована на сервере, и сервер вынужден ждать указанный период времени, прежде чем истечет время ожидания для проверки соединения. Если возникает больше подобных подключений и достигается максимальное количество подключений на сервер, любые дальнейшие входящие запросы к серверу автоматически блокируются. В результате сервер не может обрабатывать законные запросы, что приводит к замедлению работы или отказу в обслуживании для всех. Атака довольно нетребовательна с точки зрения требований к скорости соединения и поэтому может быть осуществлена очень легко. Даже отличить законный запрос от поддельного — проблема, так как все они выглядят одинаково. [21] Единственным решением против подобных DoS-атак является использование SYN-протекторов (IPS TippingPoint). Эти устройства размещаются между клиентом и сервером и предназначены для обработки большого количества подключений. Как только средство защиты SYN установит и проверит TCP-соединение с клиентом, оно перенаправит соединение на сервер. В случае любой атаки сервер не будет испытывать никакой нагрузки RUDY R-U-Dead-Yet также является DoS-атакой, которая, как и SYN-флуд, работает по принципу постепенного распределения TCP-соединений, но в отличие от нее соединение устанавливается и поддерживается в течение бесконечного времени. РУДИ популярен своей медленной атакой,сбой сервера. Атаку можно осуществить, отправив длинное поле в веб-форму или используя скрипт Slowloris. Атака формы отправляет незавершенный HTTP-запрос и отправляет дополнительные заголовки, чтобы ограничение времени между отдельными запросами не истекало. Некоторые RUDY-атаки используют случайное время для отправки информации, однако в основном они отправляются небольшими пакетами, и каждый байт обычно составляет 10 секунд. При очень медленной отправке пакетов создается огромное количество потоков с ожидающими процессами, и в то же время сервер не может закрыть соединение. 35
36 В случае Slowloris ситуация очень похожа, только скрипт устанавливает и поддерживает десятки соединений, которые он восстанавливает непосредственно перед истечением временного интервала, отправляя дополнительные данные. Таким образом, Slowloris способен создавать тысячи подключений в течение нескольких минут, что приводит к исчерпанию ресурсов сервера, недоступности для легитимных клиентов и, в конечном итоге, к краху сервера. RUDY-атаки трудно обнаружить по сравнению с обычными DoS-атаками, которые характеризуются значительным увеличением входящих данных. Одним из способов является мониторинг ресурсов сервера или ограничение количества подключений с одного IP-адреса по умолчанию. При обнаружении RUDY-атаки единственным решением является временная блокировка исходного IP-адреса. [22] Деаутентификация из точки доступа. Простая и несколько специфичная атака — это деаутентификация из точки доступа. Защиты от таких атак практически нет, так как нет необходимости подключаться к какой-либо сети, чтобы начать атаку. В то же время можно провести атаку на любую защищенную беспроводную сеть, не зная ни шифрования, ни паролей, ни инфраструктуры. Хакер, выдающий себя за маршрутизатор перед клиентом, запрашивает повторную аутентификацию. В то же время олицетворение подключенного клиента отправляет маршрутизатору пакеты деаутентификации. Чтобы клиент мог продолжить свою работудействий, необходимо снова запустить процесс аутентификации. Благодаря повторной аутентификации клиента можно подслушать рукопожатие и, таким образом, раскрыть пароль используемой беспроводной сети. В то же время, постоянно отправляя пакеты деаутентификации, можно сделать сеть Wi-Fi недоступной. Рисунок 10 — airodump-ng — сканирование активного Wi-Fi, Источник: Custom 36
37 Рисунок 11 — aireplay-ng — отправка пакетов деаутентификации, Источник: собственные сообщения об ошибках Все разработчики руководствуются тем, что каждое сообщение об ошибке говорит само за себя и, следовательно, может прояснить проблему и помочь пользователю в отладке. Однако одно и то же сообщение об ошибке может многое сказать злоумышленнику и раскрыть информацию о приложении или о том, как оно работает. Сообщения об ошибках приводили к раскрытию структуры, названий отдельных компонентов, подробностей о протекании бизнес-процессов, а иногда и целых строк кода. Точно так же, как злоумышленники знают о потенциальных сообщениях об ошибках во время продолжающейся атаки, сами программисты должны знать, что они могут раскрыть слишком много информации о работе программы и, таким образом, косвенно сделать систему или программу уязвимой. известная атака на веб-приложение. Принцип атаки заключается в нарушении работы приложения с помощью ошибок в скриптах или HTML-коде. В результате недостаточной обработки входных данных к приложению злоумышленник получает возможность вставлять на страницы собственный скрипт, который может изменить функцию. XSS — это атака не на само приложение, а на клиента. Злоумышленник имеет возможность свободно менять страницу, отображаемую клиенту, и выполнять различные скрипты на клиентском устройстве. Атака может происходить различными способами, от отключения, изменения или получения конфиденциальных данных до обхода элементов безопасности, которые были вставлены в приложение. [23] Проталкивание HTML-кода не так интересно для злоумышленника. Конечно, приложение не должноразрешить неавторизованному пользователю самостоятельно вставлять любые интерпретируемые теги HTML, чтобы пользователь мог переупорядочивать или изменять макет страницы по своему вкусу. Большая проблема возникла с расширениями JavaScript. С помощью различных скриптов злоумышленник может заменить исходное защищенное содержимое страниц своим содержимым. Хорошим примером может быть замена экрана входа в систему на свой собственный, чтобы пользователь не знал, что это подделка. Модифицированное приложение будет отправлять злоумышленнику введенные имя и пароль вместо исходной функции. Злоумышленник не должен сосредотачиваться только на вводе самого пользователя, но также может украсть текущий идентификатор сеанса и действительный вход в приложение. [24][30] 37
38 Подобные атаки можно предотвратить только путем тщательной проверки HTML-тегов на всех входных данных приложения. Любая веб-страница поиска, страница регистрации, страница входа или даже гостевая книга потенциально уязвимы для SQL-инъекций. Еще одной известной атакой, впервые описанной в конце 1998 года, является SQL-инъекция. Атака обычно происходит при создании SQL-запроса на основе некоторого пользовательского ввода и последующей передаче запроса на сервер базы данных для выполнения без проверки символов, имеющих особое значение для сервера базы данных. Это позволяет злоумышленнику отправлять и выполнять пользовательские команды на сервере базы данных, что может привести к потере, краже или повреждению данных. Еще одним последствием недостаточной обработки входных данных может быть удаление всей базы данных или потеря учетных данных. 38
39 3 ЗАЩИТА Система, выполняющая несколько функций, более восприимчива к различным типам атак, чем одноцелевая система. Усиление — это процесс защиты системы, который предотвращает появление уязвимостей, которые можно использовать, для злоумышленника. Данный процессрезультат множества операций, которые на первых порах включают также изменение предустановленных, т.е. паролей по умолчанию, удаление неиспользуемого или предустановленного программного обеспечения. В настоящее время усиление защиты является одной из основных мер безопасности для предотвращения утечки конфиденциальной информации из систем компании. Усиление — это также удаление или отключение некоторых функций операционной системы, что позволяет операционной системе запускать только определенные функции, абсолютно необходимые для работы приложений. В таком случае конечный пользователь не может использовать приложения, кроме разрешенных, что фактически означает, что некоторые точки доступа больше не доступны для хакеров. 3.1 Процесс усиления Каждый день обнаруживаются все новые и новые угрозы, поэтому для обеспечения безопасности необходимо постоянно заниматься усилением защиты, процесс усиления является нескончаемой деятельностью. Прежде чем приступить к самому процессу, необходимо определить цели и конкретные системы, которые будут предметом безопасности. Системы обычно выбираются в соответствии с их критичностью и значимостью для компании. В то же время можно выбрать программное обеспечение для выполнения автоматической проверки соответствующих настроек. Во-вторых, необходимо создать политику безопасности, на основе которой будет осуществляться ужесточение. Это процедурно-технические регламенты, которые жестко определяют, как будут настраиваться приложения и системы. Также необходимо решить, как эти правила будут сталкиваться с реальностью, т.е. как будет происходить проверка уже защищенных систем. Именно здесь вступают в игру существующие стандарты, такие как NIST или Center of Internet Security (CIS) Benchmark. На этом этапе создаются политики безопасности, чтобы их можно было оценить не только вручную, но и автоматически, что экономит время, но и необходимые затрачиваемые ресурсына ресурсы. Это инструменты, способные проверять развертывание политики защиты на устройствах и находить несоответствия утвержденным и уже реализованным практикам. 3.2 Классификация уязвимостей В целом классификация не имеет четкого определения, и разные компании оценивают угрозы по-разному. Поскольку в работе в основном речь идет о продуктах Microsoft, здесь также представлено разделение угроз, используемых этой компанией. 39
40 Низкая Минимальное воздействие – злоупотребление затруднено или не приводит ни к чему полезному Среднее Средний риск злоупотребления уменьшен настройками по умолчанию, злоупотребление все еще может иметь место, но его можно вовремя обнаружить и таким образом предотвратить Важно Важно 3.3 Рекомендации по Настройки безопасности ОС Windows повторная отправка пакетов SYN-ACK позволит быстрее отключить пользователя при SYN-флуд-атаке. Определите, сколько раз непомеченные сегменты данных пересылаются по существующему соединению. Данные пересылаются до тех пор, пока не будет получено подтверждение или пока не истечет срок действия значения. Отключение протокола ICMP, когда злоумышленник может использовать удаленное добавление пути по умолчанию. Отключение служб: o Telnet o Universal Plug and Play o Совместное использование удаленного рабочего стола o Диспетчер удаленной помощи o Удаленный реестр o Маршрутизация и удаленный доступ o Отключение и удаление неактивных учетных записей o Отключение гостевой учетной записи Применение локальных политик безопасности (минимальная длина пароля, максимальный срок действия пароля, используемые пароли истории). Отключение перечисления SID, переименование учетной записи администратора не меняет ее SID, поэтому, если злоумышленник использует правильный инструмент, он может найти учетную запись администратора. Следующим шагом после обнаружения учетной записи администратора является использование атаки грубой силы для взлома пароля и получения прав администратора. Отключить общий доступ к файлам и принтерам. Отключить удаленный доступ. Зашифровать папкуДокументы и другие папки с временными файлами. Использование пароля BIOS и уровня загрузки не позволит системе загрузиться, пока не будет введен правильный пароль. Использование NTFS позволяет устанавливать права для пользователей и выбирать, к каким данным им разрешен доступ. Отключение автоматического входа в систему. Рекомендация для Windows Server включает еще несколько пунктов: [25][26][43] 40
.
41 Установка статического адреса для рабочего сервера, этот IP-адрес должен находиться в безопасном сегменте за брандмауэром. Отключите неиспользуемые сетевые порты, которые не используются, например IPv6. Установка и обновление всего используемого ПО, удаление лишнего и неиспользуемого ПО, включая стандартные приложения. Включите и проверьте наличие обновлений и исправлений. Настройка синхронизации времени с интернет-сервером. Параметры брандмауэра, если в сети не настроен аппаратный брандмауэр. В случае использования удаленного рабочего стола создайте ограничения только для доступа из VPN. Включить контроль учетных записей пользователей попросит пользователей с правами администратора согласиться на установку. Безопасный, возможно, используйте методы защиты для других запущенных приложений, таких как MSSQL и другие. Включите ведение журнала событий и мониторинг данных. 3.4 Рекомендации по безопасности ОС Linux Повышение безопасности ОС Linux можно выполнить, выполнив 15 шагов. Большинство администраторов считают, что Linux по своей природе является безопасной средой и не нуждается в усилении защиты. Конечно, есть много других шагов, которые можно предпринять для продолжения закалки. Тем не менее, следующие шаги являются одними из первых шагов к созданию безопасной системы. [27] 1. Защитите BIOS паролем, чтобы пользователь не мог изменить или перезаписать настройки безопасности BIOS. 2. Отключить загрузку с внешних дисков и носителей. 3. Шифрование жесткого диска vесли жесткий диск украден, сохраненные данные недоступны. 4. Создание резервных копий для хранения резервных копий данных в месте, отличном от того, где данные находятся в данный момент, в случае повреждения системы данные не будут потеряны. 5. Блокировка загрузочной папки, папки, содержащей важную информацию о файлах, связанных с ядром Linux, поэтому важно установить права доступа к папке. Для root прочитайте и выполните и примените права root для обычного пользователя. 6. Отключение USB В некоторых случаях необходимо отключить USB-устройства в целях защиты и целостности данных. 7. Обновление Linux — обновление apt-get (обновляет только установленные пакеты). 8. Проверка установленных пакетов, проверка и удаление неиспользуемых (например, Telnet-сервер, NIS-сервер). 9. Проверка открытых портов — netstat и т.п. 41
42 10. Защитите или отключите SSH. 11. Включение расширения ядра SELinux с обязательным контролем доступа для более тонкой настройки прав доступа к данным. 12. Настройка сетевых правил: а) отключить перенаправление IP б) отключить перенаправление пакетов в) отключить принятие перенаправления ICMP 13. Настройки брандмауэра Linux с использованием iptables и фильтрацией входящих и исходящих пакетов. 14. Настройки политики паролей. а) запрет повторного использования последних паролей б) шифрование файла с сохраненными паролями с помощью алгоритма хеширования в) ограничение количества неудачных входов в систему г) установка максимального срока действия пароля 15. Авторизация и аутентификация — установка прав пользователя или группы только для root . а) в файл gshadow, содержащий информацию о группах (имена и пароли) б) в файл тени, содержащий имена пользователей и зашифрованные пароли в) в файл passwd, содержащий по одной строке для каждого пользователя (имя пользователя, UID, GID и т. д.) г) в /var/spool/cron для защиты запланированных событий. 3.5 Системы, подверженныеЗакалка Как уже было сказано, закалке можно подвергать многие виды оборудования, и это не обязательно только сервер или терминал. Усиление подходит для всех систем, платформ и даже приложений, входящих в инфраструктуру компании. Каждая компания подходит к необходимости безопасности и усиления защиты по-разному, и даже если они не реализуют усиление защиты для всех своих устройств, они внедряют его по крайней мере для некоторых, в зависимости от риска, который несут разные устройства. Вопрос о том, можно или нужно ли упрочнить устройство, обычно делается на первом этапе анализа. Принципы защиты чаще всего реализуются на серверах и их прикладных частях (Операционная система, серверы приложений, База данных, брандмауэр ПО). Кроме того, в точках доступа (точках доступа), аппаратных брандмауэрах, а также в системах управления используются процессы усиления защиты. (PLC, DCS, SCADA) 3.6 Сравнительный анализ операционных систем и усиление Перед тем, как можно будет провести сравнительный анализ между ОС Linux и ОС Windows, совершенно необходимо указать, что эти две системы отличаются самой конструкцией. Windows 42
43 — это операционная система, которая была разработана для поддержки приложений путем переноса большего количества функций в операционную систему. Подход Linux немного отличается, поскольку Linux обеспечивает четкое разделение пространства между ядром и пространством пользователя. Важно знать об этих различиях, так как повышение безопасности той или иной операционной системы зависит от архитектурного решения. [28] Прежде всего, Windows не является модульной системой, поэтому, если какая-либо часть системы будет повреждена, все будет необратимо повреждено. Когда все системные компоненты работают вместе, вредоносному ПО намного проще попасть, например, из почтового клиента в другие системные файлы. В отличие от учетных записей Windows, они неПользователи Linux обычно имеют права администратора (root), которые совершенно необходимы для кардинальных изменений в системе, поэтому даже если вредоносный код попадет в систему, он не сможет распространиться. Подавляющему большинству пользователей требуется, чтобы их компьютер работал независимо от длительных настроек и решения различных технических вопросов. Windows автоматизирует как можно больше функций, чтобы облегчить работу и время пользователя, но это открывает двери для вредоносного кода. Вредоносное ПО также может распространяться из безобидных на вид файлов, автоматически запускаться при подключении внешнего устройства и т. д. Хотя программы с открытым исходным кодом можно запускать под Windows, система как таковая полностью закрыта, и ее код не является общедоступным. Напротив, Linux — это система с открытым исходным кодом, ее исходный код известен, и каждый может просмотреть или изменить его. Если в дистрибутиве или самой программе есть уязвимость, разработчики или сообщество обычно быстрее других разработчиков находят и устраняют уязвимость. Модель безопасности Windows представляет собой набор пользовательского режима и режима ядра, которые отслеживают, обрабатывают и контролируют различные компоненты и безопасность операционной системы. Обе системы имеют свои собственные стандарты, посвященные безопасности системы. Для Windows: контрольный монитор безопасности, Lsass, SAM, Active Directory. В случае библиотеки Linux PAM, файла конфигурации PAM, модуля аутентификации и т. д. Обе системы имеют модульную структуру в целях обеспечения их безопасности, отдельные компоненты представляют собой частично независимые сервисы и процессы, работающие в ядре системы и в пользовательском режиме. Windows использует номер SID различной длины, состоящий из числовых значений нескольких других элементов. Каждая группа пользователей или сетевое устройство, а также сам логин имеют свой уникальный идентификатор. логированиепроцесс отвечает за создание уникального SID для каждого входа в систему. Linux использует имя пользователя для идентификации пользователя, которое передается, когда пользователь входит в систему. Внутренне пользователь идентифицируется как 43
44 с использованием UID, который является числовым значением, установленным системным администратором при создании учетной записи пользователя. При этом каждый пользователь входит в одну или несколько групп пользователей. Несмотря на разные названия, обе системы используют уникальный идентификатор пользователя. Основное отличие заключается в хранении этих идентификаторов. В Windows идентификаторы хранятся в реестре в разделе HKLM\Security, а в системах Linux — в /etc/passwd. [29] 3.7 Базовая защита сервера Чтобы начать усиление защиты сервера, необходимо выполнить несколько требований. Прежде всего, все установленное программное обеспечение, включая операционную систему, должно быть получено из надежного источника. Для начала установки и усиления защиты серверы должны находиться в безопасной или надежной сети во время процесса. Базовая установка также должна включать все доступные пакеты обновлений. [44] Как только требования выполнены и система установлена, можно приступить к самому процессу ужесточения прав Групповые права (Групповая политика) Для применения групповых прав совершенно необходимо создать группы пользователей и их разрешения. Установка групповых прав повышает безопасность и прозрачность. Кроме того, при добавлении дополнительных пользователей можно автоматически реализовать групповые права без необходимости ручного вмешательства. [31] Использование NTFS Разделы файловой системы Windows NTFS предлагают элементы управления доступом, недоступные для файловых систем FAT и FAT32x. Поэтому необходимо убедиться, что все разделы на сервере отформатированы с использованием NTFS. Это может не понадобиться снова, если это необходимоотформатируйте раздел, но просто используйте инструмент преобразования, чтобы преобразовать раздел из FAT в NTFS. [31] Безопасность учетной записи администратора Чем длиннее пароль, тем он надежнее и тем труднее его взломать. Короткие пароли с несколькими типами символов или цифр очень уязвимы для атак по словарю. В некоторых случаях даже короткий пароль, состоящий из нескольких типов символов, цифр, знаков или непечатаемых символов, доступных с помощью сочетаний клавиш, может быть более надежным, чем длинный пароль, состоящий только из символов или цифр. Начиная с Windows Server 2003 можно ввести пароль длиной до 127 символов. 44
45 Для обеспечения достаточной безопасности Microsoft рекомендует использовать пароль длиной не менее девяти символов, содержащий хотя бы один знак препинания или непечатаемый символ ASCII в первых семи символах. [31][44] Кроме того, пароль администратора не должен синхронизироваться между несколькими серверами, администратор должен использовать разные пароли для каждого домена или сервера, чтобы повысить безопасность всей группы. Таблица 2 — расчетное время взлома пароля на обычном ПК, Источник: собственные символы время символ+число время символ+число+целое время 5 слов 0s words7 1s #lov7 15s 6 слов 3s words7i 22s #lov7i 18m 7 словарь 1m words7ik 13m #lov7ik 19h 8 slovnike 35m slovn7ke 8h #lovn7ke 60dni 9 slovnikem 15h slovn7kem 12h #lovn7kem 10let В приведенной выше таблице показаны несколько паролей, которые никоим образом не служат безопасным паролем, а скорее демонстрируют их приблизительную оценку времени на эталоне. компьютер. Если для взлома упомянутых паролей были задействованы выделенные системы, будь то вычислительные возможности отдельных видеокарт, наиболее подходящие для подобных атак по словарю и подбору, или параллельно работающие видеокарты. Последний пароль, указанный в третьем столбце, потребуется ботнету среднего размера.расшифровать примерно 5 минут. Простая, но эффективная процедура, которая должна быть регулярной частью процессов усиления защиты, — это переименование учетных записей администраторов на всех серверах. Учетная запись администратора, как правило, является основной целью всех атак, потому что, если атака была успешной, она предоставляет хакеру совершенно неограниченные права. Поэтому учетную запись администратора по умолчанию следует заменить на учетную запись с тем же именем, но без предоставления особых прав, но опять же со сложным паролем. Такая учетная запись вообще не нуждается в использовании и служит лишь приманкой для усилий злоумышленника. Аналогичные учетные записи должны быть созданы и на локальных компьютерах. В качестве наиболее безопасной политики Microsoft рекомендует переименовать учетную запись администратора в уникальное имя пользователя, которое отличается на всех серверах. Это также сводит к минимуму риск того, что злоумышленнику удастся узнать имя учетной записи администратора и взломать пароль. Имя исходной учетной записи администратора не должно отличаться от имени других учетных записей. Однако учетная запись администратора не должна даже называться именем администратора, потому что перед началом атаки каждый хакер проводит исследование, благодаря чему ему часто попадается имя администратора. 45
46 На практике такая политика может оказаться неуправляемой, потому что, несмотря на то, что учетная запись администратора является критическим компонентом для управления и выполнения задач, человеку не под силу запомнить все данные для входа на десятки устройств. Поэтому переименование администратора и уникальные пароли для серверов должны быть достаточной защитой.Настройки учетной записи По умолчанию все гостевые учетные записи в Windows Server 2003 заблокированы. Если администратор обнаружит, что такая учетная запись включена, он должен немедленно отключить ее. Не менее важна настройка блокировки учетной записи пользователя после нескольких неверных попыток входа. Чтобы обеспечить максимальнуюбезопасность должна допускать от 3 до 5 неудачных попыток, которые будут сброшены через определенное время. В крайнем случае можно установить блокировку навсегда или хотя бы до тех пор, пока учетная запись не будет разблокирована администратором. [31] Удаление общих файлов и настроек ACL Частью защиты системы также является удаление всех ненужных общих файлов в системе, тем самым предотвращая раскрытие важной информации и в то же время предотвращая злоупотребление общими элементами подозрительными пользователями в качестве входа в локальная система. Начальная настройка предоставляет всем пользователям полные права на вновь создаваемые файлы. Администратор должен установить ACL для всех общих ресурсов, которые требуются системе, чтобы пользователи имели достаточный доступ. Например, все пользователи могут читать. [31] Установка обновлений и антивирусного программного обеспечения Администратор никогда не должен забывать устанавливать и регулярно обновлять антивирусное программное обеспечение для защиты сервера от вредоносных программ. Microsoft сотрудничает со многими поставщиками антивирусов и поддерживает их. Примеры включают антивирусные программы от ESET или Kaspersky. 46
47 4 MICROSOFT BASELINE SECURITY ANALYZER Простое и удобное в использовании программное обеспечение, предоставляемое малым и средним предприятиям для определения их состояния безопасности в соответствии с рекомендуемой политикой безопасности Microsoft. Программное обеспечение распространяется для обнаружения недостатков безопасности, таких как отсутствующие обновления и другие распространенные ошибки системного администрирования. Инструмент можно запустить на всех компьютерах под управлением Windows, кроме Windows RT. MBSA ориентирована не только на операционную систему Windows, но и на ее компоненты. SQL-сервер, Internet Explorer, Windows Media Player, Exchange Server и другие приложенияа модули, работающие под операционной системой, находятся в стадии изучения. MBSA может удаленно обрабатывать несколько компьютеров, независимо от того, подключены ли они к Интернету, и в то же время оценивать, отсутствуют ли на каком-либо устройстве необходимые средства безопасности или обновления. [32] Пользователь, выполняющий сканирование, должен иметь права администратора на всех сканируемых компьютерах, независимо от того, выполняется ли сканирование удаленно. Следовательно, для осуществления удаленного управления пользователь должен иметь достаточные разрешения, но также должен включать общие элементы. Рисунок 12 – BSA – список найденных угроз, Источник: Собственный 47
48 5 CERT/CSIRT Группа реагирования на компьютерные чрезвычайные ситуации (CERT) или Группа реагирования на инциденты компьютерной безопасности (CSIRT), хотя у них разная история и значения, за этими двумя названиями и аббревиатурами стоит одна и та же группа экспертов, которая занимается инцидентами безопасности с начала 1990-х годов и был создан в ответ на червя Морриса, который успел заразить значительное количество компьютеров в Интернете до своего обнаружения. Хотя создание подобных групп для реагирования на угрозы безопасности не было революционной идеей, поскольку подобные группы существовали внутри многих более крупных организаций, которым необходимо было защищать свои данные, основное отличие заключалось в том, что группы безопасности CSIRT, в отличие от внутренних, привлекались в глобальной инфраструктуре безопасности, где отдельные команды работали вместе и, таким образом, обменивались процедурами и информацией. Формирования по всему миру стали прямым ответом на расширяющиеся проблемы киберпреступности. С момента создания CSIRT постепенно определялось, как эти подразделения должны функционировать, их объем, типы предлагаемых услуг, их включение в местное законодательство, а также общая коммуникация групп CSIRT. Сегодня есть четко определенные сферы деятельности иответственность за разрешение инцидентов безопасности четко определена. Экспертные группы CSIRT — это то место, куда пользователи или другие специалисты по безопасности могут обратиться в случае подозрения или инцидента, связанного с безопасностью. Команды создаются в среде отдельных организаций, участвующих в работе Интернета, из администраторов и поставщиков услуг и контента (например, банков, которым для осуществления своей деятельности необходим Интернет), академических подразделений, органов государственного управления и Интернет-провайдеров. . [33] Обязанностью каждой группы безопасности является сотрудничество и решение проблем, которые обычно возникают во время ее работы, например, в ее собственной сети. Команды CSIRT делятся на два типа: координационные и внутренние. Координационная группа не является органом, имеющим возможность что-то приказать, но стремится к тому, чтобы информация о надвигающейся опасности дошла до тех, кто имеет возможность или обязанность принять необходимые меры для устранения угрозы. Очень часто они могут осуществлять вмешательство только внутри своего основателя и могут пересылать запросы на вмешательство в других сетях другим учредителям. В случае непосредственной угрозы они стремятся остановить распространение и предотвратить новые инциденты путем тщательного предотвращения. Внутренние команды могут изолировать источник проблемы или развернуть фильтрацию сетевого трафика. 48
49 Только некоторые команды обладают расширенными полномочиями, они часто создаются или управляются государственными органами или на основании своих полномочий они могут вмешиваться в действия конкретных владельцев сетей, которых они впоследствии блокируют или отключают. Основные требования к командам CSIRT: 1. публикация контактной информации 2. публикация области, определение полномочий и ответственности 3. публикация правил деятельности, списка членов, способа связи с командой В случае угрозы безопасности только те, кто непосредственно вовлеченные или находящиеся подк которому относится инцидент, инциденты чаще всего обрабатываются сетевыми администраторами или администраторами служб. Наиболее эффективная ситуация возникает, когда инцидент попадает в сферу компетенции команды CSIRT, так как у последней должен быть эксперт, который немедленно займется проблемой. Если нет группы CSIRT для устранения инцидента или угрозы, некоторую поддержку оказывают национальные и правительственные группы. 5.1 Национальная группа CSIRT Хотя официальной иерархии команд CSIRT не существует, национальные группы считаются последним средством, к которому можно обратиться за помощью. Команды в штате, в котором они работают, обычно не имеют власти над физической инфраструктурой, принадлежащей частным лицам или организациям, поэтому у них нет возможности прямого вмешательства, как у институциональных или внутренних команд. Уже из иерархии отдельных команд можно сделать вывод, что минимум всех возникающих проблем решается на национальном уровне, а подавляющее большинство решается в рамках прямого общения на уровне институциональных команд. Остальные проблемы, которые доходят до сборных, являются серьезными или повторяющимися проблемами, которые не могут быть решены на местном уровне. [36] Национальные группы попадают в категорию координационных групп, единственным возможным решением проблемы которых является поддержание связи и координации отдельных решателей, предполагая, что это проблема более широкого характера. Национальная команда также стремится обучать общественность с целью создания новых команд CSIRT и подключения их к международной структуре. 5.2 Правительственные CSIRT Правительственные группы специализируются на деятельности органов государственного управления и их органов и помогают решать инциденты, представляющие прямую угрозу безопасности и функционированию государства. Государственные группы CSIRT имеют особую форму, так как их деятельность регулируется законодательством, поэтому они имеют возможность напрямуюхит. Государственная группа CERT, созданная в соответствии с Законом о кибербезопасности 49
.
50 безопасности, нас защищает NÚKIB. Список всех зарегистрированных национальных и правительственных групп CSIRT можно найти на странице: Обмен информацией Исходя из упомянутого подразделения, можно предположить, что внутренние группы подчиняются национальным и национальным правительственным командам. Однако реальность немного сложнее. Потому что общение, сотрудничество и обмен информацией между отдельными командами необходимы, но, прежде всего, ничем не ограничены. Единственная разница по сравнению с внутренней и государственной командой может заключаться только в большем охвате полномочий и, следовательно, в плане требуемой реакции, например, со стороны интернет-провайдера. Ключевым моментом является именно обмен информацией, а вместе с ним и доверие, царящее между отдельными командами, без которого не могла бы функционировать вся система. Без создания такого же доверия, которое царит между отдельными командами, а также между клиентами, которые обращаются за помощью к CSIRT. Завоевание доверия клиента и всего сообщества — это не краткосрочная цель, и она может быть невозможна без прозрачности всей организации и правильного обращения с конфиденциальными данными. Для поддержания прозрачности и доверия существуют организации, занимающиеся разработкой рекомендаций, стандартов и правил. Например, многонациональная организация TERENA выдает сертификаты организациям, прошедшим программу аккредитации, и тем самым дает определенные гарантии того, что команда, выдающая себя за команду CSIRT, действительно является тем, за кого себя выдает. [36] TERENA также проводит регулярные конференции и встречи, во время которых можно присоединиться к Целевой группе CSIRT (TF-CSIRT). Аналогичная деятельность также осуществляется FIRST (Форум групп реагирования на инциденты и безопасности), который представляет собой организацию, объединяющую широкий круг команд, ориентированных на безопасность и реагирование на чрезвычайные события. FIRST организует широкий спектр обучения иконференции, а также попытки обучения не только сетевой безопасности. 5.4 CSIRT CR Чехия, конечно же, не остается в стороне и поддерживает создание команд CERT/CSIRT различного уровня, в том числе национального. Однако это было не так рано, как в других штатах, где по инициативе правительства были созданы первые группы CSIRT. Хотя в 2001 году был составлен документ МВД, где был установлен срок создания первой группы CERT как неправительственного объединения экспертов, информирующих о проблемах и продолжающихся атаках. Однако намерения не осуществились, и только пять лет спустя в национальной сети CESNET был создан первый CERT. 50
51 В настоящее время в Чехии насчитывается несколько сотен групп безопасности, которые являются членами FIRST или TF-CSIRT и действуют на внутренних уровнях. В последние годы в Чешской Республике увеличивается количество новых групп безопасности CERT/CSIRT. Одним из последних является Seznam a.s., но есть и более старые, например, CSIRT-VUT, CSIRT-MU, O2.cz CERT и многие другие. Чтобы легко проверить, проверена ли команда CSIRT, можно использовать диспетчер сертификатов TF-CSIRT() или текущий список на веб-сайте CSIRT.cz (CSIRT.CU в настоящее время выполняет роль Национальной команды Чешской Республики и работает на основе соглашения с Управлением национальной безопасности, ассоциацией CZ.NIC и действует на основе публичного контракта и Закона о кибербезопасности.Он фокусируется на развитии инфраструктуры безопасности, образовательной деятельности, а также на обработка общедоступных данных об угрозах безопасности в Чешской Республике.Другой целью является поддержка и поддержание отношений с сообществом и сотрудничество с такими организациями, как интернет-провайдеры, банки, силы безопасности или органы власти Команда CSIRT.CZ из 10 членов была аккредитована член команд CSIRT/CERT с [33][34][35]. В следующей таблице показаноможно было наблюдать год от года рост инцидентов, требующих более глубокого анализа и решения практически по всем категориям. Таблица 3. Статистика разрешения инцидентов CSIRT.CZ, источник Фишинг Спам Вредоносное ПО Троянская сеть DOS Botnet
52 Фишинг Спам Вредоносное ПО Троян DOS Ботнет Рисунок 13 – График решенных инцидентов, Источник: собственный В 2016 году продолжилась тенденция роста инцидентов, и в то же время было затронуто большее количество объектов. Участились инциденты с DOS и ботнетами, число которых значительно увеличилось по сравнению с прошлым годом. Еще одним примером инцидентов, затронувших большое количество пользователей, стала компрометация почтовых ящиков, украденных с чешского портала. CSIRT.CZ получил информацию о краже от государственного CERT, а затем полученная информация была передана отдельным держателям, которые затем имели возможность уведомить пользователей об украденных почтовых ящиках. [34] 52
53 6 Национальный институт стандартов и технологий NIST является лабораторией стандартов и нерегулируемым агентством при Министерстве торговли США. Организация была создана биллем Конгресса в 1901 году и с самого начала занималась стандартизацией и оказанием метрологических услуг американским бизнесменам и ученым. Официальная цель учреждения — способствовать инновациям и конкурентоспособности промышленности в США за счет достижений науки, стандартов и технологий таким образом, чтобы повысить экономическую безопасность и улучшить качество жизни. Основанная в Мэриленде, но работающая в Колорадо, организация делит свою деятельность на несколько программ, которые менялись с годами в зависимости от меняющихся приоритетов. Сегодня NIST занимается широким кругом вопросов и поэтому включает в себя лаборатории, занимающиеся нанотехнологиями, коммуникационными технологиями, информационными технологиями, нейтронными исследованиями, измерительные лаборатории.материалы и физические измерительные лаборатории. [37] 6.1 Национальный репозиторий контрольных списков NIST Значительное количество организаций составляют свои собственные контрольные списки, хотя эти контрольные списки могут сильно различаться по качеству и удобству использования. Эти списки могут отличаться друг от друга по уровню обеспечиваемой безопасности, и не менее часто устаревают из-за постоянной разработки исправлений и обновлений программного обеспечения. Поэтому может быть сложно узнать, актуален ли контрольный список и как его следует правильно реализовать. Без использования центрального хранилища контрольных списков может быть сложно найти правильный контрольный список. NIST поддерживает общедоступный репозиторий национальных контрольных списков, который содержит значительное количество конфигураций безопасности для конкретных ИТ-продуктов или категорий ИТ-продуктов, а именно: Национальные репозитории контрольных списков NIST. [38] В настоящее время нельзя считать контрольный список полной профилактикой безопасности системы. Для исправления обнаруженных ошибок по-прежнему требуются регулярные обновления и исправления. Контрольные списки, созданные NIST, делятся на несколько категорий. Каждая категория должна быть легко идентифицируемой из-за больших различий, которые содержит каждый список. Чек-лист первой категории описывает, как пользователь может вручную изменить конфигурацию продукта. Напротив, контрольные списки четвертой категории автоматизированы и являются наиболее полными. В таком контрольном списке могут быть задокументированы все параметры безопасности 53
.
54 в машиночитаемом стандартизированном протоколе, обеспечивающем как низкий, так и высокий уровень безопасности. [40] Для защиты системы можно использовать несколькоконтрольные списки. Один контрольный список может касаться безопасности операционной системы, а другой — веб-браузера, его клиента или других важных приложений, необходимых для работы системы. Пользователи, которые планируют внедрить контрольные списки для безопасности системы, должны сначала рассмотреть и протестировать любые изменения, которые будут сделаны на другом устройстве, прежде чем развертывать его в производственной среде. Хотя большинство параметров, содержащихся в списках, основаны на знаниях об угрозах безопасности и уязвимостях, они могут не учитывать политику безопасности конкретной организации и ее ранее существовавшую систему безопасности. По этой причине организациям следует тщательно оценить все параметры, рекомендованные в контрольном списке. На основе анализа настройки должны быть адаптированы к среде, политикам, требованиям и целям безопасности организации. [4] 6.2 Типы контрольных списков, перечисленных в программе национальных контрольных списков Отдельные контрольные списки связаны с конкретными продуктами, моделями или производителями. Некоторые контрольные списки могут привести пользователей к другим. Например, контрольный список для баз данных может относиться к контрольному списку для операционной системы, в которой работает приложение базы данных. Чек-листы делятся на две большие группы: автоматические и ручные. Автоматизированный контрольный список использует один или несколько инструментов, которые автоматически изменяют или проверяют настройки на основе некоторых предопределенных условий. Большинство автоматических контрольных списков написаны в формате XML. Специальные программы умеют читать инструкции, написанные в формате XML, и проверять или изменять системные настройки в соответствии с ними. Одним из таких инструментов является SCAP (протокол автоматизации содержимого безопасности), который обеспечивает автоматическую оценку, измерение и оценку соответствия развернутых системных политик. Вторая группа — ручное тестирование, котороевыполняется администратором на основании описанных инструкций и рекомендаций. 6.3 Контрольный список настройки безопасности Контрольный список безопасности, руководство по укреплению безопасности, эталонный тест — все названия объединены в документе, написанном и сформированном организацией NIST в виде серии инструкций по настройке продукта в конкретной операционной среде. Контрольный список может содержать шаблоны, автоматические сценарии, исправления или их описания, XML-файлы и другие процедуры, необходимые для достижения соответствия. Эти списки должны быть адаптированы к потребностям 54
55 конкретных организаций для удовлетворения их требований безопасности и эксплуатации. Некоторые контрольные списки могут также включать инструкции по проверке правильности настройки продукта. Обычно такие списки формируются производителями для собственной продукции, но не менее часто они формируются и другими организациями, такими как университеты, компании и государственные учреждения. Как указано, NIST работает с различными организациями, такими как CIS, DISA (Агентство оборонных информационных систем), АНБ (Агентство национальной безопасности), и все эти организации участвуют в разработке рекомендаций. Использование грамотно составленного стандартизированного списка операций позволяет значительно сократить количество уязвимостей в ИТ-продуктах. Организации или компании должны использовать эти общедоступные списки таким образом, чтобы защитить свои операционные системы и приложения и, следовательно, уменьшить количество уязвимостей, которые могут быть использованы злоумышленниками, и тем самым смягчить последствия успешных атак. Контрольный список безопасности может включать следующее: Файлы конфигурации, которые автоматически проверяют установку сценариев Шаблоны, изменяющие настройки XML-файлы Документация о том, что конфигурация основана на Документация, объясняющая причины рекомендуемых изменений и инструкции по безопасной установке и настройкеКонцептуальные документы устройства, устанавливающие рекомендации по аудиту механизмов аутентификации, таких как пароли безопасности. Не все инструкции, содержащиеся в списках конфигурации, обязательно направлены на настройку правил безопасности. Очень часто успешные атаки на систему являются результатом недостаточной политики безопасности в рамках административных практик, таких как неизменные пароли по умолчанию, неприменение новых исправлений и другие. Это одна из причин, почему контрольные списки часто включают административные методы, которые сами по себе повышают безопасность продукта [39] Примеры использования контрольного списка конфигурации безопасности: Многоцелевые операционные системы Общие настольные приложения (веб-браузеры, веб-клиенты, текстовые редакторы, антивирусные программы и локальные брандмауэры) Инфраструктурные устройства (маршрутизаторы, брандмауэры, VPN, IDS, AP) Серверы приложений DNS, DHCP, SMTP и серверы баз данных Телефоны, копировальные аппараты, принтеры 55
56 6.4 Преимущества использования контрольных списков безопасности Правильное использование контрольных списков безопасности является предпосылкой для большей степени безопасности, чем при использовании предопределенных настроек. Применение контрольных списков к операционным системам и приложениям может уменьшить количество уязвимостей, которые могут быть использованы злоумышленниками для успешной атаки на систему, а также уменьшить влияние успешных атак. Использование контрольных списков повышает согласованность и предсказуемость поведения системы безопасности, особенно в сочетании с обучением и информированием пользователей. Другими преимуществами, которые дает использование контрольных списков, является защита от основных локальных и удаленных угроз, таких как вирусы, различные черви, DoS-атаки, несанкционированный доступ или предотвращение ненадлежащего использования. Контрольные списки могут не только способствовать значительному сокращению времени, необходимого для исследования и разработки подходящей конфигурации безопасности.отдельных установленных продуктов, но снижают вероятность потери или кражи конфиденциальных данных, что может привести к финансовым потерям или просто потере доверия. Они также позволяют небольшим организациям использовать внешних поставщиков, способных внедрить передовой опыт. Хотя использование конфигураций безопасности обычно повышает уровень безопасности систем, оно не делает систему полностью безопасной. Использование контрольных списков, в которых делается упор на защиту от скрытых программных ошибок, обычно приводит к более высокому уровню защиты продукта от будущих угроз. [39] 6.5 Процесс выбора контрольного списка Пользовательская процедура выбора правильного контрольного списка состоит из нескольких шагов. 1. Соберите местные требования к оборудованию, операционной системе, конкретным требованиям безопасности, а затем приобретите необходимое оборудование, которое наилучшим образом соответствует требованиям. 2. Пользователь просматривает репозиторий и получает необходимый контрольный список, который лучше всего описывает его потребности. Если продукт уже застрахован производителем, но пользователь хочет быть абсолютно уверенным в безопасности продукта, необходимо найти правильный сценарий контроля и узнать, обновлялся ли чек-лист. 3. Пользователь просматривает все пункты чек-листа и выбирает тот, который лучше всего соответствует его требованиям, а затем, при необходимости, адаптирует список с учетом локальных политик и настроек. Затем он должен протестировать контрольный список и предоставить отзыв разработчикам NIST. 4. Последним этапом является развертывание контрольного списка, что также связано с созданием резервной копии данных и применением контрольного списка в производственной среде. Контрольный список разработчика немного более полный и разделен на два отдельных этапа. Первый этап полностью зависит от разработчика, а второй этап — от NIST, чтобы пройти контрольный список. 56
57 1. Разработчик знакомится с процедурами итребования по созданию программы управления и завершает соглашение об участии в программе. 2. Разработчик создает, тестирует чек-лист. 3. Создает контрольный список документации в соответствии с правилами NCP. 4. Отправка пакета с контрольным списком в NIST. 5. NIST просматривает контрольный список и при необходимости устраняет любые обнаруженные проблемы вместе с разработчиком. 6. NIST опубликует контрольный список в течение периода тестирования, который обычно длится от 30 до 60 дней. В течение периода тестирования отзывы собираются для рассмотрения разработчиками, а также NIST. 7. NIST опубликует метаданные контрольного списка в своем репозитории и сообщит о его доступности. 8. Выполнение периодических обновлений и архивирование отдельных версий. 6.6 Протокол автоматизации содержимого безопасности SCAP представляет собой набор стандартов, которые в основном управляются организацией NIST. Это особый метод, который позволяет автоматически сканировать и сравнивать уязвимости в системах, которыми управляют организации. Протокол был создан для стандартизации системной безопасности и автоматической проверки наличия критических систем. Цель этой автоматической проверки — облегчить процесс укрепления и обеспечить соответствие контрольным спискам NIST. Отдельные организации должны постоянно проверять системы и приложения, которые работают в их системах, но в то же время они должны включать обновления безопасности программного обеспечения. SCAP сравнивает ряд открытых стандартов, которые обычно используются для перечисления неверных конфигураций и критических ошибок в программном обеспечении. Некоторые приложения выполняют проверку существующих стандартов, чтобы найти слабые места системы и в то же время предлагают возможность оценить обнаруженные угрозы и их возможное влияние на систему. 57
58 7 УСКОРИТЕЛЬ РЕШЕНИЙ Ускоритель решений — это инструмент Microsoft Security Compliance Manager.Инструмент выпускается для различных типов операционных систем Microsoft и служит средством настройки защиты. SCM предназначен для предоставления комплексного решения, от планирования, развертывания и мониторинга безопасности на компьютерах с продуктами Microsoft. Базовые точки можно экспортировать как пакеты конфигурации для проверки соответствия Microsoft Configuration Manager. Краеугольным камнем является набор элементов конфигурации для продуктов Microsoft, которые предоставляют предписанные значения для конкретных сценариев. Правила безопасности содержат рекомендации и технические данные для эффективного понимания угроз и принятия контрмер. Эти знания доступны через SCM, который предлагает достаточно возможностей для адаптации правил безопасности к конкретным требованиям организации. Подобно BSA, он позволяет подробно просматривать слабые места, характерные для операционной системы, ее приложений, включая настройки интернет-браузера, а также предлагает информацию об оценке потенциальных угроз. [41][42] Как указывалось ранее, Security Compliance Manager обеспечивает централизованное представление функций, базовое управление безопасностью, позволяет гибко настраивать параметры, а также экспортировать эти базовые параметры безопасности, тем самым увеличивая возможность достижения соответствия требованиям безопасности в нескольких устройства. Для укрепления системы полезно использовать опыт профессионалов, работающих в сфере безопасности, что экономит не только время, но и деньги. 58
59 8 СПИСОК СЛАБЫХ СЛАБОСТЕЙ И УГРОЗ Существует несколько организаций, которые не только разрабатывают свои собственные стандарты, но и пытаются предоставлять актуальные обзоры существующих угроз. Одной из таких организаций является Национальная база данных уязвимостей (NVD) NIST, которая предлагает обзоруязвимость. Уязвимости можно фильтровать по признаку обнаружения угрозы, давности, а также по разным категориям и группам, поэтому, если администратору необходимо получить информацию об уязвимостях, относящихся только к операционным системам, он вводит в поиске необходимые ключевые слова и Система отображает список опубликованных уязвимостей, включая информацию о том, когда уязвимость была раскрыта, а также серьезность угрозы. После открытия выбранной угрозы можно найти отдельные воздействия, а также то, как можно использовать слабость. Например, есть информация о том, как нужно использовать уязвимость, чтобы скомпрометировать систему. Например, что цель определенным образом отреагировала механизмом атаки. В этом разделе также есть описание того, какие разрешения может получить злоумышленник или атакующий механизм или какую информацию злоумышленник может получить из-за неправильного использования. Кроме того, можно найти другие ссылки, ведущие на страницы с дополнительной информацией об угрозе или на страницы с исправлениями. =cpe:/o:microsoft:windows_7 Еще одной организацией, которая регулярно предупреждает и информирует о новых угрозах, является Национальное управление кибербезопасности и информационной безопасности (NUKIB) и организация CSIRT.CZ. NÚKIB в основном информирует об угрозах и описывает угрозы и процедуры распространения, но также дает рекомендации затронутым пользователям. Напротив, CSIRT предоставляет населению информационные услуги скорее в виде новостей. Они информируют о проведенных атаках, эксплуатируемых угрозах и приложениях. И последнее, но не менее важное: некоммерческая организация Center for Internet Security (CIS) выполняет те же функции, что и NIST. Они также направлены на повышение кибербезопасности и улучшение реакции организаций на угрозы безопасности. Центр интернет-безопасности работает со многими организациями, от частных лиц, академических центров до государственных ипредлагает услуги и продукты, повышающие безопасность в интернет-среде. 59
60 Подобно NVD, он предлагает оповещения об угрозах, подробные описания отдельных угроз и их потенциальных рисков для правительства или бизнеса, а также рекомендации, которые следует применять для устранения или предотвращения риска использования угрозы третьими лицами. 60
61 9 СРАВНЕНИЕ Сравнивать продукты Security Compliance Manager с Security Content Automation Protocol довольно сложно, несмотря на то, что оба они похожи и преследуют одни и те же основные цели. Само использование может иметь большое значение. Поскольку, как следует из названия, SCM представляет собой инструмент, который после распаковки и установки в основном содержит ряд контрольных списков, которые он получает из базы данных Microsoft, эти контрольные списки, содержащие правила, можно использовать для реализации и достижения соответствия. Его результаты могут быть экспортированы в GPO или SCAP после проверки, а сценарий необходим только для реализации установленных политик. В случае с SCAP все немного сложнее, так как это в первую очередь не программа, а метод использования стандартов, разработанный в первую очередь NIST с участием различных организаций, включая Microsoft, что в конечном итоге может означать более быструю и актуальную данные об угрозах. Запуск самой проверки может быть немного сложнее, так как сам SCAP не имеет интерфейса, и поэтому необходимо использовать библиотеку с открытым исходным кодом, позволяющую использовать набор стандартов. Таким инструментом может быть, например, OpenSCAP, который предоставляет пользователям интерфейс, минимизируя при этом усилия, необходимые для работы и понимания отдельных стандартов. 61
62 10 ПРАКТИЧЕСКАЯ ЧАСТЬ 10.1 Metasploit Самый популярный фреймворк под названием Metasploit используется для проверки функциональности и тестирования на проникновение. Metasploit разрабатывается и развивается как открытый исходный кодпроект Rapid7 для создания и выполнения эксплойтов против удаленного устройства. База данных Metasploit содержит более тысячи эксплойтов, полезных нагрузок и других важных инструментов для тестирования всех операционных систем. Сама программа содержит несколько интерфейсов, от классической консоли до веб-интерфейса. Metasploit также является частью Kali Linux, который используется для этой работы. Чтобы начать работу с Metasploit, необходимо инициализировать базу данных (msfdb init), а затем запустить программу (msfconsole). Отображение всех доступных эксплойтов и их описаний возможно с помощью команды показать эксплойты. Дополнительные команды и процедуры демонстрируются на более поздних этапах Модель сети Пример модели решается в виртуализированной среде в Oracle VirtualBox и состоит из трех устройств, подключенных друг к другу. Окружение состоит из Windows 10, Windows Server 2012 и Linux Kali, из которых будут предприниматься попытки атаковать систему. DHCP работает на точке доступа, которая выделяет диапазон адресов в сети /24. Рисунок 14 – смоделированная сеть, источник: собственный 62
63 10.3 Тестирование Перед фактическим укреплением отдельных систем было проведено тестирование установленных систем, чтобы определить, содержат ли они достаточные уязвимости, которые позволили бы злоумышленнику получить контроль или, по крайней мере, полезную информацию. Все атаки можно проводить удаленно через Интернет, однако подобные атаки гораздо более требовательны как в плане исследования, так и в плане исполнения. Атаковать устройства с общедоступным IP-адресом непросто, поскольку такие устройства, как правило, хорошо защищены от подобных попыток. Другие устройства, не имеющие публичного IP-адреса, обычно прячутся за NAT-серверами провайдера или за собственными точками доступа. В этом случае злоумышленник получает только информацию и IPадрес точки доступа, а не информацию о самом устройстве. Поэтому провести атаку на конкретное устройство в сети Интернет не совсем просто, и, как правило, получение контроля над таким устройством в случае успеха атаки — это вопрос нескольких месяцев кропотливой работы, социальной инженерии или бэкдор на целевом устройстве. Если злоумышленник знает, что он находится в той же сети, что и другие устройства, которые он хочет атаковать, он должен сначала узнать их IP-адреса. Для такого опроса можно использовать несколько различных приложений, в том числе zenmap или netdiscover, используемые ниже. Рисунок 15 — netdiscover — перечисление подключенных устройств, Источник: Собственный В некоторых случаях злоумышленник может не знать, сколько устройств активно в сети, поэтому он должен прослушивать сетевой трафик, что позволит ему получить основную информацию. Пассивный режим Netdiscover допускает такой случай. 63
64 Рисунок 16 — netdiscover — пассивный режим, источник: собственный Как объяснялось в теоретической части, исследование не заканчивается получением IP-адреса или места назначения. Важно получить дополнительную информацию о пункте назначения, поэтому, когда известны доступные адреса в сети, необходимо выбрать конкретный пункт назначения. Опять же, есть несколько вариантов получения информации о подключенных устройствах. Важно получить информацию о том, какая операционная система используется, какова ее версия, есть ли у нее открытые порты или службы, которые могут быть использованы. Рисунок 17. Zenmap — сканирование портов, источник: пользовательский Рисунок 18. Zenmap — информация о цели, источник: пользовательский 64
65 Рисунок 19 — nmap — сканирование портов TCP, источник: пользовательский Рисунок 20 — nmap — сканирование портов UDP, источник: пользовательский . Из этих результатов злоумышленник получает список открытых портов и уже знаеткакая операционная система здесь работает. Злоумышленник получил основную информацию, необходимую ему для начала атаки. Это конкретное устройство работает под управлением Windows 10, имеет 4 открытых TCP-порта и некоторые службы, работающие на каждом порту. Теперь злоумышленнику предстоит выяснить, не устарела ли какая-либо служба или не возникла ли ошибка при настройке упомянутых служб, которую он мог бы использовать для проникновения в систему. Если он не знает отдельных сервисов, то может занести их в поисковик и поискать в базе слабых мест и эксплойтов. При этом на обеих установленных версиях Windows отсутствуют уязвимые места. В основном это связано с тем, что это чистые установки без каких-либо дополнительных программ, которые могут повысить уязвимость либо из-за плохой конфигурации, либо из-за открытых портов. Целью данной работы является не установка дополнительных программ, которые заведомо автору содержат слабые места и существуют для них 65
66 эксплойтов, и в этом случае можно было имитировать системную атаку, используя структуру metasploit и получая контроль над устройством, но проверяя безопасность и выполняя усиление. Другой вариант, который может попробовать злоумышленник, — использовать грубую силу для получения доступа к системе. Если бы хакер не знал ни имени пользователя, ни пароля, такой подход мог быть утомительным без использования значительных вычислительных мощностей. В более ранних версиях Windows можно было использовать SMB (блок сообщений сервера) и утилиту nmap для перечисления и получения дополнительной информации о системе. Например, список используемых учетных записей пользователей, список общих папок, в которые может быть загружен троянский конь или другой тип вредоносного кода. Однако с появлением более новых версий и UAC (Контроля учетных записей), который включен и активен по умолчанию, такой вариант уже невозможен, поэтому можно без преувеличения сказать, что системы от Windows XPкроме того, они значительно безопаснее. Однако необходимо учитывать использование социальной инженерии, когда злоумышленник может попытаться получить личность или личные данные пользователей, манипулируя законным пользователем системы. Такая манипуляция — гораздо более простой и эффективный способ получения контента, чем сложное преодоление технологических препятствий. Злоумышленник использует социальные сети, чтобы выслужиться перед жертвой под ложным предлогом или выдать себя за коллегу, руководителя или администратора, который запрашивает данные для входа под каким-либо ложным предлогом. Таким образом, злоумышленник может получить информацию или заставить жертву сделать то, что он хочет. Как только злоумышленник получит имя пользователя, он может снова попытаться запустить атаку методом грубой силы и получить полные учетные данные. Если злоумышленник решит начать атаку методом грубой силы, уже зная имя пользователя, он может загрузить базу данных паролей и использовать платформу Metasploit для запуска атаки. Рисунок 21 — Metasploit — атака по словарю, источник: собственный. Если используется слабый пароль, его можно взломать за разумное время, а полученные учетные данные могут быть использованы не по назначению. 66
67 Другой вариант — получить контроль с помощью социальной инженерии или мошеннического сайта, который размещает троянского коня, который злоумышленник может легко создать. Metasploit содержит ряд полезных нагрузок, которые можно охарактеризовать как вредоносный код, выполняющий заданное действие. Metasploit также позволяет создавать собственные полезные нагрузки с помощью msfvenom. Эта программа способна не только создавать собственную полезную нагрузку, но и кодировать ее так, чтобы антивирусное программное обеспечение не могло ее распознать. >> msfvenom h // показать справку Создать полезную нагрузку TCP: >> msfvenom p windows/x64/meterpreter/reverse_tcp a x64 lport=8080 lhost= f exe >/root/desktop/payload.exe Приведенная выше команда создает полезную нагрузку для 64-разрядной системы, устанавливает порт и IP-адрес злоумышленника и выбирает формат полезной нагрузки. Однако такая полезная нагрузка будет обнаружена, поэтому ее необходимо зашифровать. Одним из очень популярных энкодеров для 32-битных систем является Shikata Ga Nai, который при правильных условиях не ловится антивирусом. >> msfvenom l encoders // отображение всех энкодеров, ранг и описание Рисунок 22 — msfvenom — отображение энкодеров, Источник: Custom >> msfvenom a x64 -p windows/x64/meterpreter/reverse_tcp lport=8080 lhost= f exe e x86/shikata_ga_nai i 3 b \x00\xff > /root/desktop/payload.exe Та же самая команда, что упоминалась выше, с той лишь разницей, что она была дополнена шифрованием, количеством раз, которое будет шифроваться полезная нагрузка и списком символов, чтобы избежать шифрования. Полезная нагрузка, созданная таким образом, в большинстве случаев уже не поддается обнаружению. Однако по-прежнему необходимо доставить к цели созданную аналогичным образом вредоносную полезную нагрузку. Однако файл не должен выглядеть подозрительно, и пользователь должен захотеть запустить его и сделать то, что ему нужно, не подозревая, что происходит неправильная операция. 67
68 В подобном случае полезно объединить вредоносный код с программой, известной или знакомой пользователю. Фреймворк Veil, который не является нативной частью Kali Linux, но может быть установлен с помощью apt-get install veil-evasion, был создан именно для этой цели. Преимущество использования такого троянского коня заключается в получении неограниченных административных прав без какого-либо уведомления цели. Используя native/backdoor_factory, Veil Framework может закодировать вредоносный код, например, в exe-файл, не изменяя его, но функциональность файла не сохраняется полностью. Идеально подойдет любой исполняемый файл из Putty, WinSCP или WinRAR, который используется вв данном случае и в чей установочный файл был добавлен бэкдор. >> veil-evasion // запускаем фреймворк >>list // отображаем все доступные пейлоады Рисунок 23 — veil-evasion — добавление бэкдора в exe файл, Источник: Custom Рисунок 24 — veil-evasion — список настроек, Источник: На изображении выше вы можете увидеть настройку LHOST, которая является IP-адресом Kali Linux, LPORT — это порт, который будет прослушиваться, исходный файл, который будет объединен с вредоносным кодом, и сама полезная нагрузка. который будет использоваться. 68
69 После генерации создается новый файл, содержащий вредоносный код и исходную программу. Теперь все готово для того, чтобы злоумышленник начал слушать, чтобы увидеть, запустил ли пользователь файл и установил ли соединение. Рисунок 25 — msf — прослушивание входящих подключений, Источник: Пользовательский После запуска прослушивателя Metasploit ожидает, пока клиент установит соединение. Когда клиент запускает программу, бэкдор устанавливает соединение с Metasploit и дает ему административные права в системе. В этот момент хакеру разрешено контролировать или получать любой файл с устройства. Как уже было сказано, использование Veil-уклонения возможно, однако проблема возникает при запуске файла, который выглядит поврежденным, даже если такой файл работает на злоумышленника. Для того, чтобы полностью сохранить функциональность файла и не вызвать подозрений у пользователя, может быть использован инструмент для инъекций Shelter, который способен внедрить вредоносный код в нативное приложение Windows. Если хакер использует Shelter, у пользователя нет возможности узнать, что он только что стал жертвой, так как ни антивирус, ни Защитник Windows не реагируют на атаку. Скачав и запустив программу в wine, злоумышленник выбирает файл, который будет слит с бэкдором и, как и в предыдущих двух случаях, устанавливает полезную нагрузку, LHOST, LPORT 69
70 и ждатьдля создания файла. Он запускает Metasploit и снова настраивает слушателя, как и в предыдущих случаях. Затем они должны передать файл пользователю и дождаться его запуска. Изображение 26 — metasploit — установление соединения, Источник: Собственный Сразу же после того, как пользователь открывает файл, происходит соединение с злоумышленником, и злоумышленник уведомляется об установленном соединении. Если злоумышленнику удалось установить несколько подключений одновременно, он может выбирать между отдельными сеансами и выполнять отдельные действия, такие как загрузка, выгрузка или запуск любого файла. Злоумышленник также может отключить использование мыши, клавиатуру может использовать meterpreter для записи нажатий клавиш или завершения отдельных служб и процессов. Доказательство получения доступа и получения прав администратора с использованием эскалации, поэтому информация получена и неограниченный доступ к консоли. Рис. 27 — Meterpreter — информация о системе, Источник: Custom 70
71 Рисунок 28 – meterpreter – консоль Windows, Источник: Vlatní 71
72 Рисунок 29 – список всех пользователей, источник: собственный 72
73 Рисунок 30 — meterpreter — изменение пароля пользователя Администратора, Источник: Собственный Точно такая же процедура может быть применена и к Windows Server, который после получения зараженного файла предупредил о файле из непроверенного источника, но не мешало его запуску. Рис. 31 — Meterpreter — повышение прав доступа Windows Server, источник: Custom Доставка программы пользователю и получение им возможности открыть файл может быть довольно сложным процессом. Поэтому гораздо проще скрыть эксплойт в другом файле, что будет более выгодно для пользователя. AutoIt позволяет объединить любой файл с эксплойтом, будь то изображение, mp3, wav, pdf или любой другой исполняемый файл, со значком или предварительным просмотром, соответствующим файлу. 73
74Изображение 32 — AutoIt — вставка вредоносного кода в образ, Источник: Собственный Недостаток вновь созданного образа в том, что он имеет расширение exe, поэтому знакомый с проблемой пользователь может сразу оценить аналогичный файл как подозрительный, так как обычный образ расширение другое. Однако даже это не должно быть непреодолимой проблемой для хакера, поскольку есть способ замаскировать расширение и не вызывать сразу первоначальных подозрений. Идея всей маскировки заключается в использовании специального символа U+202E, который перезаписывает направление чтения справа налево. Злоумышленник, который хочет перезаписать имя файла wallpaper.exe, записывает инвертированное новое расширение в конец имени файла. Если он хочет jpg, он пишет wallpapergpj.exe, а затем вставляет специальный символ, в результате чего получается wallpaperexe.jpg. Для лучшего внешнего вида файл можно переименовать в другое имя, например, wallexe.jpg. Однако все упомянутые методы атаки бесполезны, если злоумышленник не имеет возможности поддерживать связь с атакуемой системой ни после принудительного закрытия бэкдора, ни после перезагрузки компьютера. Следовательно, он должен гарантировать, что вредоносный код запишет себя в системные реестры и сможет повторно установить соединение с злоумышленником. 74
75 Рисунок 33 — MSF — настройки постоянного подключения, Источник: Пользовательский Создание службы на целевом устройстве. Сервис снова запускает программу (полезную нагрузку) через 10 секунд, если связь потеряна. Рисунок 34 — msf — успешное внедрение полезной нагрузки и установление соединения после перезапуска, Источник: Пользовательская загрузка и активация службы на целевом устройстве. Рисунок №34 также иллюстрирует потерю и повторное установление соединения из-за перезагрузки компьютера. Если соединение было закрыто намеренно или непреднамеренно со стороны злоумышленника, есть возможность снова запустить скрипт и подождать установленное время для новой попытки установить соединение с атакуемой системы. Рис. 35. Окна активныservices, Источник: собственный Видимая служба, запущенная пользователем, но неизвестная пользователю, может быть обнаружена и сообщена. Поэтому есть вариант, который способен скрыть текущую полезную нагрузку и внедрить ее в другой известный сервис и сделать вредоносный код полностью невидимым. 75
76 10.4 Защита Windows 10 Перед началом защиты необходимо получить и установить операционную систему из надежного источника. Следующий шаг — проверить, включен ли UAC и настроен ли брандмауэр. Настройка сетевых профилей, отключение сетевого обнаружения или общий доступ к файлам и принтерам должны работать. Исключения могут быть для частных сетей, однако конфигурация для общедоступных сетей должна быть полностью бескомпромиссной, а совместное использование должно быть отключено. Проверка учетных записей пользователей и удаление ненужных учетных записей пользователей. В случае однопользовательской системы абсолютно необходимо убедиться, что доступ к системе защищен достаточно надежным паролем. В этом случае в системе были созданы две учетные записи пользователя и гостевая учетная запись. Неиспользуемая учетная запись была удалена, а гостевая учетная запись отключена. Кроме того, необходимо проверить, включены ли автоматические обновления, и, в случае наличия обновлений, обновить систему. Кроме того, должен быть включен Защитник Windows, который проверяет приложения в режиме реального времени и способен останавливать подозрительные приложения до их запуска. В то же время желательно подключить Защитник Windows к общей сети Microsoft, чтобы отправлять подозрительные файлы и тем самым улучшать функциональность этой программы. Не менее важно удалить и отключить неиспользуемые функции или программы, которые были приобретены вместе с операционной системой. Устаревшие программы могут быть источником проблем. Примерами могут служить различные продукты от Adobe (Flash, Reader) и многие другие. Продукты Microsoft также не застрахованы от проблем(Офис), а потому необходимо следить за обновлениями, и в случае публикации нового обновления программу следует заменить на более новую версию. В этом случае SkyDrive был удален из операционной системы и отключено большое количество встроенных приложений, которые поставлялись вместе с операционной системой. Удаление встроенных приложений в Windows 10 не совсем простая задача, ведь их действительно большое количество и в обычном случае Windows даже не предлагает их удалить. Приложение появится в списке всех установленных приложений в новых панелях управления. Однако с ним ничего нельзя сделать, кроме сброса и удаления пользовательских данных. Первый способ удалить такое приложение — найти его в меню «Пуск» и щелкнуть правой кнопкой мыши, чтобы выбрать «Удалить». Однако проблема в том, что даже тогда не получится удалить все ненужные приложения, так как Windows позволяет удалить только некоторые, например Skype. 76
77 В такой момент в дело вступает Windows Power Shell, которая позволяет удалить большинство встроенных приложений. К сожалению, по примеру других производителей операционных систем, некоторые приложения нельзя полностью удалить, а только отключить. Совершенно нелогично, пользователям предлагается, например, функция для Xbox, и с ней нельзя ничего сделать, кроме как отключить функциональность. Пример команды PowerShell, которая удаляет App Connector: get-appxpackage *appconnector* remove-appxpackage Команда, которая удаляет большинство встроенных приложений для всех пользователей: Get-AppxPackage -allusers Remove-AppxPackage Чтобы получить список всех установленных приложений, вы можете использовать shell:appsfolder, который отображает все установленные приложения. После выполнения удаления нежелательных приложений количество ненужных приложений и источников потенциальных угроз значительно сократится. Не забудьте установить антивируспрограммное обеспечение, которое будет проверять корректную работу системы и реагировать на вредоносное ПО в режиме реального времени. Пользователь может выбрать и довольствоваться штатным Защитником Windows, однако, если проводится усиление защиты, в системе должен быть установлен полноценный антивирус. Не только установочный файл операционной системы должен быть получен из проверенных или надежных источников, но и другое установленное программное обеспечение, включая антивирусную программу, должно быть получено с официального сайта выбранной компании. Для тестирования был выбран ESET Smart Security, который имеет собственный брандмауэр и включает защиту от фишинга. После настройки этих основных параметров можно запустить утилиту Microsoft Baseline Security Analyzer для сканирования операционной системы, оценки потенциальных угроз и выработки рекомендаций по параметрам. 77
78 Рис. 36 — MBSA — результаты сканирования, источник: собственное изображение 37 — анализ MBSA, источник: собственное MBSA выявил несколько недостатков, которые необходимо исправить или проверить. Хотя сканирование MBSA выявило проблему отсутствия установки автоматических обновлений, предложение обновлений для других продуктов Microsoft также включено в настройках. Также было подтверждено, что все существующие обновления безопасности загружены и установлены. Удаление автоматического входа в систему Использование автоматического входа в систему является серьезной проблемой безопасности, поскольку пользователь, входящий в систему, обходит диалоговое окно ctrl+alt+del, которое предотвращает подделку входа. Чтобы убрать автоматический вход, необходимо вмешаться в системные реестры, найти и изменить значение AutoAdminLogon и DefaultPassword, в папке: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon Учетные записи пользователей Одной из обнаруженных угроз была наличие нескольких учетных записей и нулевая или очень слабая безопасностьиндивидуальные счета. 78
79 Сама выписка по счету на панелях управления показывала только одну учетную запись. Однако в списке командной строки было обнаружено большее количество учетных записей, хотя и неактивных. Рисунок 38 — учетные записи пользователей, Источник: собственный Список учетных записей из командной строки также подтвердил список пользователей, отображаемый в «Управлении компьютером», что не только подтвердило существование учетных записей, но и отобразило их описания. Это предопределенные учетные записи, используемые для управления системой и доменом. Возможна установка более сложных паролей для отдельных учетных записей и ту учетную запись, которая здесь лишняя, нужно удалить — sshd. Рис. 39. Предопределенные учетные записи, Источник: Собственный Другой проблемой, обнаруженной при сканировании, было отсутствие срока действия пароля. Для обеспечения безопасности пароль следует регулярно менять. Чтобы установить срок действия пароля в свойствах пользователя, снимите флажок «Пароль все еще действителен». 79
80 Рисунок 40 – допустимость пароля, источник: собственный Сканирование также выявило исключения в настройках брандмауэра. Перечисленные исключения относятся к использованию внешнего программного обеспечения, которое запускает брандмауэр вместо встроенного брандмауэра Windows. Рис. 41. MBSA — дополнительная информация. Источник: собственный анализатор Microsoft Baseline Security Analyzer дополнительно предоставляет администратору защиты дополнительную информацию и потенциальные угрозы, которые необходимо проверить. Программа также выполнила сканирование портов и не нашла потенциально опасных и открытых портов. Однако он предостерегает от общих папок и рекомендует полностью отключать общие папки, если они не нужны. Или рекомендуется ограничить доступ пользователям, которым не нужно использовать общие папки. Удалить общие папки с компьютера можно с помощью диспетчера компьютеров. Рис. 42. Удаление общих папок, Источник: Пользовательский 80
81 Рис. 43. Результаты сканирования MBSA, источник:Пользовательские дополнительные результаты теперь посвящены только отсутствующим службам, которые не удалось просканировать, поскольку они не установлены. На этом самая основная настройка сделана. Кроме того, администратор, выполняющий усиление защиты, может установить MSCM или найти контрольный список, который лучше всего описывает его собственные потребности или потребности организации, для которой выполняется усиление. Если администратор выбирает чек-лист, реализация значительно усложняется, так как все изменения вносятся вручную. При этом администратор должен быть знаком с вопросом, системой и ее конфигурацией. Тем не менее, это будет длительная и медленная настройка, полная поиска различной информации и параметров настройки. Более простой, быстрый и определенно более приемлемый способ — Microsoft Security Compliance Manager. SCM, однако эту программу необходимо скачать с официального сайта, которая на данный момент предлагается в версии 4.0, однако сам установочный файл не содержит актуальной базы данных. Если, как здесь, Windows 10 укрепляется, необходимо обновить базу данных Microsoft Baseline. Теперь администратор может выбрать, какая система будет подвергаться усилению защиты, и выбрать необходимый чек-лист. Преимуществом MSCM является простое управление и изменение настроек. Потому что после выбора необходимого чек-листа администратор может сразу изменить отдельные настройки, не ища их без необходимости ни в реестрах, ни в разных местах операционной системы. Таким образом, управление и изменение настроек очень простое и интуитивно понятное. Каждый контрольный список и каждый пункт 81
82 содержит описания отдельных функций. Однако перед изменением отдельных настроек необходимо продублировать контрольный список и создать свой собственный. Рисунок 44 — MSCM — создание пользовательского правила, Источник: собственный Рисунок 45 — MSCM — Соответствие компьютерной безопасности,Источник: Собственный Один из контрольных списков, которые можно использовать для усиления защиты, — «Соответствие компьютерной безопасности», этот контрольный список содержит 560 уникальных параметров, которые могут помочь добиться соответствия правилам безопасности. Каждое правило содержит описание того, что делает каждое изменение, почему оно важно и, самое главное, насколько важна настройка такого правила. 82
83 Например, самое первое правило касается безопасности доступа пользователей. Пользователь должен иметь карту безопасности или токен — устройство, которое будет использоваться для входа в систему. Правило является прямым ответом на ненадежность пользователей запоминать более надежные пароли и в то же время на негативную реакцию пользователей, когда их заставляют менять пароль. Подобное правило является ресурсоемким, для его применения необходимо приобрести считыватели, карты/токены и создать защищенные открытые ключи. Поэтому в модельном случае он не применяется. Рисунок 46 – Настройки правил, Источник: Собственный В некоторых случаях необходимо искать отдельные правила с помощью Интернета или находить их в различных чек-листах и узнавать, каковы рекомендации. Одной из таких ситуаций является интерактивный вход и количество предыдущих входов, хранящихся в кеше. Обычно значение в контрольном списке не определено, а значение по умолчанию равно 10. Однако, например, Руководство по усилению защиты для Windows 8.1, опубликованное Австралийским центром кибербезопасности в июне 2017 года, рекомендует другое — хранить только один логин в Память диспетчера учетных записей безопасности. Это связано с тем, что функция позволяет ранее вошедшим в систему пользователям снова войти в систему, даже если домен в настоящее время недоступен. Хотя эта функция может быть полезной и желательной с точки зрения доступности, она также может быть опасной, если эти сохраненные данные будут украдены. 83
84 Рис. 47 – Локальныйполитики безопасности, источник: собственный. Один из других параметров политики — блокировка учетной записи пользователя после определенного количества неудачных попыток входа в систему. Рисунок 48 – Настройки блокировки учетной записи пользователя, Источник: Custom Результатом настройки политик безопасности для входа в систему может быть следующий вывод. Отдельные параметры могут отличаться от политик безопасности Microsoft, поскольку они были оценены для использования других или более строгих правил безопасности, чем рекомендуемые. 84
85 Рисунок 49 – Типы аутентификации в системе, Источник: Собственный В рамках политик безопасности можно указать, какие события будут регистрироваться. Опять же, есть разница между значениями по умолчанию и рекомендациями Microsoft. Рисунок 50 – Регистрация событий, Источник: Собственный Среди других функций, на которые необходимо обратить внимание, есть настройка автозапуска. В остальных случаях также необходимо рассмотреть вопрос о запрете установки съемных устройств. В некоторых случаях может быть желательно установить такую политику безопасности. Например, известны ситуации, когда злоумышленник загружает вредоносный код на флешки и эти диски случайно 85
86 разбегается перед зданием компании, в котором он очень заинтересован в нападении. Не раз случалось, что хотя бы один активный сотрудник был недостаточно ознакомлен с политикой безопасности компании и подключал найденную флешку к компьютеру, с которого по незнанию распространялся вредоносный код. Подобные ситуации можно предотвратить. Либо за счет достаточного обучения отдельных сотрудников, либо за счет политики безопасности системы. Установка, несмотря на свои преимущества, такие как невозможность кражи конфиденциальной информации с помощью съемного носителя, имеет и недостатки. Одним из них является именно невозможность адресной передачи и обмена данными. Единственный вариант — создать его централизованно.управляемое безопасное хранилище, которое будет использоваться для обмена данными между людьми и отделами. Рисунок 51 — базовая конфигурация, Источник: Собственный Также есть возможность отключить установку приложений из Магазина Windows и их обновлений, отключить помощника Cortana или возможность локализации системы. Также можно указать, кто может управлять брандмауэром, регистрировать отдельные события, установленные соединения или пакеты, превышающие установленный предел. Также желательно отключить сохранение логинов и паролей на другие устройства в сети. Установите напоминание пользователю о смене пароля. 86
87 Рисунок 52 — конфигурация сессий, Источник: Собственный Одним из интересных вариантов продолжения усиления является также запрет на отправку телеметрии в Microsoft. Хотя в большинстве случаев рекомендуется оставить функцию включенной. В Windows 8 появилось расширение для отправки данных телеметрии в Microsoft. Хотя полный список данных, которые собираются с устройств Windows, еще не опубликован, информации отправляется очень много. Данные телеметрии содержат и собирают информацию об установленном оборудовании (установленная память, ЦП и прочее). Они также содержат списки установленных приложений, драйверов или даже того, как пользователь работает с системой. Разрешив отправку большого объема данных, Microsoft может получить доступ к конфиденциальной информации, связанной не только с безопасностью, но и с работой организации или компании. Рисунок 53 — отправка телеметрии, Источник: Собственный Один из вариантов защиты системы — абсолютный запрет на установку приложений из непроверенных источников. Если администратор не запретил установку приложений из Магазина Windows, обычный пользователь без прав администратора может установить некоторые новые приложения. Администратор может включить проверку упакованных файлов, содержащихисполняемые файлы. 87
88 Если Защитник Windows обнаружит вредоносный код, расположенный в заархивированном файле, он может отключить или удалить его. Рис. 54. Более подробные настройки UAC и Защитника Windows. Источник: Пользовательский. Как уже упоминалось, этот конкретный базовый план содержит более 500 правил, и каждое из них необходимо пройти перед применением. Если администратор не проверил и не удостоверился в отдельных правилах, могли быть необоснованные ограничения не только на пользователя, но и на функциональность самой системы. Предложенные здесь правила не всегда могут подойти для всех, а потому проверять их необходимо уже при строительстве. Второй этап проверки — тестирование самой системы, выполняет ли она цель, для которой была установлена, и в то же время не ограничивают ли какие-то новые правила ее работу. После настройки правил их необходимо экспортировать. MSCM предлагает экспорт в несколько файлов, Excel, GPO, SCAP или SCM. Для экспорта установленных правил используется объект групповой политики, который можно загрузить отдельно или включить в набор Microsoft Security Compliance Toolkit. Частью пакета LGPO является документация, которая описывает работу с программой и в то же время указывает на необходимые права администратора. Запустить скрипт, выполняющий настройку, уже достаточно просто. 88
89 Рисунок 55 – Применение правил с использованием LGPO, Источник: Пользовательский Чтобы проверить новую конфигурацию, можно выйти из системы или проверить настройки в локальной политике безопасности. Рисунок 56 — проверка параметров локальной политики, Источник: Собственные доказательства безопасности и правильных параметров политики безопасности могут быть любые попытки установить соединение из Kali Linux. Рис. 57. Заблокированное соединение с Kali Linux, источник: Custom 89
90 Windows Server до того, как Windows Server 2012 можно будет подвергнутьтестирования необходимо снова получить установочный файл из надежного источника и следовать инструкциям по усилению защиты, которые рекомендуют, как действовать во время установки. Те же атаки, что и на Windows 10, могут быть использованы для атаки на Windows Server. И вот злоумышленник снова сканирует порты и выясняет, открыты ли какие-то порты или сервисы, которые он мог бы использовать для взлома системы. Поскольку это чистая установка Windows Server, в ней нет уязвимого сервиса или открытого порта. Рисунок 58 – nmap – сканирование портов Windows Server, Источник: Собственный Однако автору удалось заразить систему так же, как и в случае с Windows 10. Таким образом, по крайней мере, в своей базовой установке Windows Server не может защитить защитить себя от атаки троянского коня и другого вредоносного кода. Поэтому абсолютно необходимо применять политики безопасности и подвергать систему усилению защиты также и на Windows Server. 90
91 Рис. 59. Microsoft Baseline Analyzer — Windows Server, источник: Custom Обычно после первого запуска выполняется базовая настройка, добавление ролей и функций или других управляемых серверов, а затем получение доступных обновлений для системы. . Контрольный список выбирается на основе того, какие сервисы используются на сервере. Начиная с Windows 2003, первые шаги по обеспечению безопасности Windows Server можно выполнить с помощью мастера настройки безопасности. В мастере можно создать роли серверов и функции, назначенные роли. Например, можно включить сервер DNS, FTP или SMTP. Далее 91
92 позволяет настраивать клиентские функции, такие как клиент удаленного доступа, который позволяет подключаться к другим сетям с помощью VPN или настраивать параметры и службы управления сервером. При усилении защиты Windows Server рекомендуется использовать комбинациюне менее двух базовых показателей, поскольку некоторые правила могут отсутствовать в том или ином контрольном списке. Как уже упоминалось, для отдельных сервисов используются разные правила и базовые уровни. Это другой контрольный список для Active Directory, чем для DNS-сервера. Эта работа связана с ужесточением общей политики безопасности системы, поэтому используется соответствие требованиям безопасности рядовых серверов, которое насчитывает более 230 элементов. Windows Server имеет аналогичный набор политик, и большинство из них не нужно специально модифицировать, хотя есть и исключения. Например, количество предыдущих логинов, сохраняемых в кэш-памяти, по умолчанию равно 10, для корректной настройки значение изменено на 3. Рисунок 60 — Параметры политики безопасности Windows Server Один из разделов политики безопасности — логирование различных события, которые необходимо отслеживать и оценивать, если кто-то неавторизованный не пытался атаковать систему. 92
93 Рисунок 61 – Параметры политики паролей, Источник: Пользовательский Для установки остальных политик можно использовать другие контрольные списки, которые могут быть посвящены усилению защиты других компонентов системы. Другая подходящая базовая линия может быть объединена для создания новой, специально адаптированной для собственных целей. В качестве второго контрольного списка вы можете использовать соответствие безопасности домена, которое содержит всего девять правил и в основном ориентировано на безопасность паролей. Рис. 62. Соответствие безопасности домена, источник: пользовательский На этом этапе все необходимые правила установлены и могут быть экспортированы. Правила снова генерируются в виде скрипта к формату. GPO и с помощью инструмента LGPO правила вводятся в действие. Если администратору нужны только некоторые элементы или он не хочет использовать весь контрольный список, он может использовать ручную настройку других средств для достижения соответствия. См. ниже 93
94image, где администратор может уточнить отдельные настройки, не просматривая контрольный список, и снова экспортировать все настройки. Рис. 63. Дополнительные параметры локальной политики, источник: Пользовательский 94
