Скоро Хакинг и обнаружение: модель Cyber Kill Chain для хакинга на практике и ее обнаружение посредством сетевой форензики [Аллейн] - Часть 2 из 3

Статус
В этой теме нельзя размещать новые ответы.
VkurseBot

VkurseBot

Модератор
20 Сен 2020
0
782
50
Голосов: 0
#1
51EXcHwnIzL.jpg


Хакинг и обнаружение:
модель Cyber Kill Chain для хакинга на практике и ее обнаружение посредством сетевой форензики


Часть 1 | Часть 2 (вы здесь!) | Часть 3


1.png
2.png
3.png


Описание:


В этой книге описывается использование модели Cyber Kill Chain (цепочка действий атакующего для проникновения в информационную систему, термин, введенный американской военно-промышленной корпорацией Lockheed Martin) — вы разберетесь, как происходит взлом и его обнаружение с позиций сетевой форензики. А потому - приготовьтесь к большому количеству анализа пакетов и логов!

Есть много книг, обучающих хакингу. Однако, проблема большинства подобных книг в том, что они не обучают тому, как обнаруживать действия атакующих. Это означает, что вам, как читателю, приходится идти обращаться к другим книгам, чтобы разобраться с остаточными следами сетевых улик, индикаторов компрометации (IoC), событиями, представляющими интерес (EoI) и уликами, оставленными за собой злоумышленниками, и всё это — необходимые составляющие вашей деятельности по работе со скомпрометированной системой. Поэтому основное предназначение этой книги в том, чтобы помочь вам обнаруживать атаки как можно скорее, в случаях, когда кто-либо компрометирует вашу сеть. Запомните, вопрос не в том, подвергнитесь ли вы компрометации, а в том, когда это может произойти. Это утверждение предполагает, что вы еще не были скомпрометированы.

Чтобы вы смогли получить удовольствие от чтения этой книги, она написана в духе повествования истории. Большинство книг, связанных с технологиями, создаются в стиле практического руководства, но эта книга будет отличаться. И тем не менее, задачи остаются прежними. Я рассчитываю, что вплетение технического материала в историю добавит больше контекста, сделает месседж для читателя более прозрачным, а процесс обучения более простым.

О чем эта история? Нейса (хакер-злоумышленник) планирует использовать модель Cyber Kill Chain, разработанную в Lockheed Martin, в качестве своего фреймворка для атаки. Она рассчитывает, что при помощи цепочки Cyber Kill она сможет действовать образом, похожим на модель под названием "продвинутая устойчивая угроза" (APT). Она будет в точности следовать этой модели там, где это возможно. Однако, при необходимости, она может отклоняться от этой модели, сохраняя при этом фокус на выполнении действий и достижении целей — так, как это определенно в модели Cyber Kill Chain.
В ответ на все атаки Нейсы (хакера-злоумышленника), Накиа (недавно нанятая на работу специалист по кибербезопасности) будет использовать все свои улетные навыки для обнаружения действий Нейсы.

Что важно, по каждой из атак, обнаруженных Накиа, ей необходимо давать ответы на вопросы: кто, что, когда, где, почему и как владельцу компании SecurityNik Inc. по имени Саадия. Это критически важные вопросы, на которые должен давать ответ любой специалист, занимающийся реагированием на инциденты. Реальность такова, что во многих случаях у вас не будет возможности ответить, "почему" это произошло, поскольку как правило вы не знаете мотивов злоумышленников. Как бы то ни было, Накиа сделает все возможное, чтобы обеспечить необходимое сопровождение инцидентов, таким образом предоставляя Саадии ценные разведывательные данные для выбора решения по дальнейшим действиям.

В комплекте с книгой идет полный набор pcap-файлов, логов, vbs-скриптов, лог Splunk и многое другое.

Чему вы обучитесь?
  • Понимать модель Cyber Kill Chain на практике. Только практика, никакого трёпа!
  • Узнаете не только о том, как выполняются атаки, но и как их обнаруживать.
  • Узнаете о сетевой форензике.
  • Узнаете, как атакующие могут воспользоваться неправильными конфигурациями.
  • Узнаете, как применять стратегии противодействия.
  • Узнаете, как атакующие могут получить доступ к вашим изолированным локальным сетям/подсетям, у которых нет доступа в интернет, посредством pivoting/горизонтального продвижения.
  • Узнаете, как может осуществляться извлечение данных при помощи ретрансляторов.
  • Узнаете о различных механизмах контроля и управления (C&C), использующих разные типовые порты и/или протоколы.
Примечание переводчика:

Хакер совершает атаку на компанию по цепочке Cyber Kill Chain от Lockheed Martin:

  • Разведка — Google, WHOIS, кастомные техники и трюки, разведка доменов, сетевое сканирование, сканирование портов, перебор служб
  • Вооружение — создание вредоносного исполняемого файла под видом архива с изображениями, будет использована уязвимость MS17-010, позволяющая удаленное выполнение кода
  • Доставка — создание и отправка вредоносного письма с вложением руководителю компании, подмена заголовков письма
  • Эксплуатация — эксплуатация уязвимостей в ПО, использование ранее добытых учетных данных
  • Установка — загрузка ncat.exe, dnscat2, 7za.exe на скомпрометированную машину, добавление механизмов закрепления через реестр, папку запуска, запланированные задания и т.д., создание и загрузка кастомных скриптовых файлов
  • Командование и управление (C&C) — использование загруженного вредоносного ПО ncat.exe и dnscat2 для установления двусторонней связи посредством каналов командования и управления (C2/C&C) между машиной атакующего и скомпрометированными машинами в инфраструктуре компании
  • Цели и задачи — добавить пользователя в домен, повысить права пользователя с пользователя домена до администратора домена, добавив его в группу администраторов домена, повысить привилегии на устройстве Linux за счет локальной уязвимости эскалации привилегий, добавить бэкдор-пользователя с root-правами на устройство Linux в DMZ, упаковать данные для извлечения из сети при помощи нативных инструментов, таких как powershell и tar, а также сторонних инструментов, таких как 7zip, украсть учетные данные, внутренняя разведка - просканировать внутреннюю инфраструктуру в целях обнаружения дополнительных хостов, горизонтальное продвижение по внутренней сети при помощи техники pivoting, скомпрометировать один или более новых обнаруженных хостов, извлечь данные как из-под привилегированного пользователя (root/administrator), так и обычного пользователя, загрузить данные на машину атакующего, зачистить следы
Параллельно описываются действия обороняющейся стороны - подробный анализ логов.

Автор:


Найк Аллейн — 18 лет в IT, 10 из них в сфере безопасности. Руководитель высшего звена в MSSP, где он занимается различными технологиями безопасности, включая IDS/IPS, инструменты для защиты от малвари, прокси, файрволы, SIEM и т.д. Является тренером в Институте SANS и ведет следующие дисциплины: "SEC503: Углубленное обнаружение вторжений" и "SEC504: хакерские инструменты, техники, эксплойты и обработка инцидентов". Обладатель огромного количества современных сертификатов в области безопасности.

Отзывы:

  • Подход автора, описывающего происходящее как со стороны атакующего, так и со стороны обороняющихся, является великолепным способом установить соответствие между причинами и последствиями каждого действия в атаке. Это не только помогает читателю обучаться, но и ощутимо захватывает, заставляя прошерстить эту книгу вдоль и поперек, чтобы убедиться, что не упущены никакие детали.
Тайлер Хадак, Information Security

  • Демонстрируя атаку с обеих сторон: нападающих и обороняющихся, автор помогает лучше понять, как действует каждая из этих сторон.
Джо Скотман, член экспертного совета SANS

  • Эта книга раскрывает современные атаки со стороны продвинутых устойчивых угроз в легком для понимания формате. Автор проходит по цепочке Cyber Kill как с позиции атакующих (демонстрируя инструменты и трюки, используемые атакующим), так и с позиции защищающейся стороны, выделяя мельчайшие улики, оставленные злоумышленником. Следуя по ходу истории, читатель при помощи виртуальных машин оказывается способен приобрести наилучшее понимание того, как работают атаки в реальном мире, и получает ценные инсайты по способам защиты от них.
Дэниэл МакОли, Manager Infrastructure and Technology Group

Примеры в этой книге полностью вымышлены. Описываемые инструменты и техники имеют открытый исходный код, а следовательно - доступны публично. Специалисты по безопасности и пентестеры регулярно используют их в своей работе, также как и атакующие. Если вы стали жертвой компьютерного преступления и обнаружили в этой книге демонстрацию техник или инструментов, то это никоим образом не означает, что автору этой книги и переводчику можно инкриминировать любую связь с компьютерным преступлением, содержимое этой книги не дает никаких оснований полагать, что есть какая-либо связь между автором книги/переводчиком и преступниками.

Любые действия и/или деятельность, связанные с материалом, содержащимся в этой книге, находятся целиком под вашей ответственностью. Неправильное использование информации из этой книги может стать результатом обвинений в совершении уголовного правонарушения в адрес соответствующих лиц. Автор и переводчик не несут никакой ответственности за деяния лиц, использующих информацию из этой книги в преступных целях.

Эта книга не призывает заниматься хакерством, взломом программного обеспечения и/или пиратством. Вся информация, представленная в книге, предназначена исключительно в образовательных целях. Она призвана помочь организациям защитить свои сети от атакующих, а следователям собрать цифровые улики во время расследования инцидентов.

Совершение любых попыток по хакингу/взлому систем или тестирование систем на проникновение должно сопровождаться письменным разрешением от владельцев данных систем.
  • Авторы: Ник Аллейн
  • Оригинальное название: Hack & Detect: Leveraging the Cyber Kill Chain for Practical Hacking and its Detection via Network Forensics
  • Объем оригинала: 521 стр.
  • Объем второй части перевода: ~125 стр.
  • Дата публикации: декабрь 2018
  • Тип перевода: перевод на русский
  • Формат: текст, PDF
 
Последнее редактирование модератором:
Статус
В этой теме нельзя размещать новые ответы.

О нас

Слив платных курсов - скачать бесплатно

На форуме мы делимся сливами популярных курсов в различных областях знаний! Если вы хотите повысить свою профессиональную квалификацию, но не хотите тратить много на курсы, то вы попали по адресу.

VKURSE.INFO регулярно публикует:

  • слив курсов от лучших онлайн-школ, инфобизнесменов и блогеров;
  • вебинары, марафоны, мануалы, от популярных блогеров на тему здоровья и саморазвития;
  • торрент-курсы, книги и гайды, обучения веб-дизайну, программированию, создания сайтов, бизнеса, продвижения в социальных сетях актуальных сегодня.

Мы ежедневно обновляем нашу коллекцию, чтобы вы могли бесплатно найти и скачать необходимый слив курсов обучения

Быстрая навигация

Меню пользователя