About Teletype
Join
Penetration Tester
@fnay_offensive
obuchenie_post
March 26

День 11. Базовые атаки

Ссылка на комнату - THM

1. Введение

Наше существование в цифровом мире требует от нас понимания распространенных атак и умения защищаться от них.
В этом комнате будут обсуждаться некоторые из наиболее распространенных методов, используемых злоумышленниками для атаки на людей в Интернете. Также будут рассмотрены некоторые из лучших способов предотвращения успеха каждого метода.

2. Распространенные атаки: Социальная инженерия

Stuxnet - атака на ядерную программу Ирана в 2009г.

Да она разработали вирус, но использовали социальную инженерию, для доставки вируса в закрытый сектор, простой человеческий интерес "А что на этой флешке? Посмотрю на работе, она же рядом."

Как защититься от атак социальной инженерии

Обучайтесь и обучайте других. Чем больше вы и ваше окружение знаете о методах социальной инженерии, тем сложнее злоумышленникам вас обмануть.

3. Распространенные атаки: Социальная инженерия: фишинг

Обзор

Фишинг — один из самых распространенных типов кибератак, используемых мошенниками и злоумышленниками, которые без разбора нацелены на отдельных лиц и компании. Во многих случаях фишинг — это начальный вектор атаки, используемый для получения доступа к инфраструктуре компании перед выполнением дальнейших атак на корпоративную сеть. Хотя сейчас доступно множество автоматизированных инструментов для борьбы с угрозами фишинга , фишинг по-прежнему остается одним из самых распространенных векторов атак.

Конечная цель фишинговой атаки может существенно различаться в зависимости от того, кто ее осуществляет. Например, мошенник низкого уровня может просто охотиться за конфиденциальной информацией (например, банковскими реквизитами), тогда как мощная группа злонамеренных хакеров может нацеливаться на конкретную организацию с намерением нанести еще больший ущерб.

Выявление фишинговых атак

Отличный пример, в привычку взять проверку ссылок, для перехода:
Наводим на ссылку курсор и видим, куда на самом деле она ведет.

Аналогичным образом, адрес электронной почты «От» в фишинговой кампании по электронной почте часто будет подозрительным. Многие общие массовые фишинговые кампании просто используют адреса Gmail — не утруждая себя использованием доменного имени, связанного с компанией, которую они подделывают. Это явный признак того, что электронное письмо подозрительно.

Лучший способ распознать фишинговое письмо — просто держать глаза открытыми и обращать внимание на все подозрительное. Во всех письмах, кроме самых лучших, где-то будет ошибка .

Защита от фишинговых атак

4. Распространенные атаки: Вредоносные программы и программы-вымогатели

Несмотря на постоянное развитие антивирусных программных решений, вредоносные программы (и программы-вымогатели в частности) представляют собой постоянно растущую угрозу.

Вредоносное ПО (сокращение от «вредоносное ПО») можно определить как любое ПО, предназначенное для выполнения вредоносных действий от имени злоумышленника. Существует множество различных видов вредоносного ПО: в этой задаче мы сосредоточимся на общих вредоносных программах и программах-вымогателях.

После установки злоумышленники обычно используют вредоносное ПО для кражи информации, нанесения ущерба или выполнения произвольных команд на зараженной системе. Вредоносное ПО часто используется для выполнения набора задач, называемых «Command and Control» (или C2 / C&C). Вредоносное ПО C2 подключается обратно к ожидающему серверу и позволяет злоумышленнику удаленно управлять зараженной системой, часто включая множество простых задач, таких как кейлоггерство, в качестве встроенных частей вредоносного ПО.

Это окно дает жертвам временные ограничения и инструкции о том, как заплатить, а также краткое изложение того, что именно произошло с их данными. Пример выше взят из печально известного вируса-вымогателя Wannacry .

После уплаты выкупа вредоносная программа может расшифровать данные и самоуничтожиться, а может и нет, в зависимости от того, насколько любезны злоумышленники.

Интересная статья для ознакомления - wannacry

Насколько помню, остановить его удалось благодаря "килл-свитчу" (kill switch) — механизму внутри кода вируса. Он пытался обратиться к случайному, на первый взгляд, домену (например, iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com). Если домен был недоступен — вирус продолжал работу. Но исследователь Маркус Хатчинс (MalwareTech) заметил этот механизм, зарегистрировал домен и направил его на пустой сервер. Это деактивировало WannaCry, так как вирус получил ответ от домена и "решил", что должен прекратить заражение.

Однако это не означало полный конец атак — изменённые версии без "килл-свитча" вскоре появились в сети, но они уже не распространялись так быстро, потому что Microsoft выпустила патч.

Способы доставки

Проходя стажировку в 2023 году, в компании positive technologies - они давали реальные задачки по типу узнать "как злоумышленик попал в сектор, какое ПО, что делает, куда обращается, итог"
Могу сказать да, чаще для заражения винды использую powershell скрипты, с обусфакцией кода powershell

Соблюдение безопасности

Лучший способ защититься от вредоносных программ (и в частности программ-вымогателей) — это сочетание осведомленности и поддержания актуальности информации!

  • Всегда принимайте обновления и исправления, когда они предлагаются — особенно в важном программном обеспечении, таком как операционные системы. Обновления часто содержат исправления уязвимостей безопасности, поэтому важно установить их как можно скорее.
  • Никогда не нажимайте на подозрительные ссылки, особенно в электронных письмах. Старайтесь не открывать вложенные файлы, если это возможно. Если сообщение выглядит подозрительным, удалите его или перешлите соответствующей команде, если используете рабочую учетную запись.
  • Всегда будьте начеку, поскольку люди могут попытаться заставить вас загрузить или запустить файлы — особенно по электронной почте или через мгновенные сообщения.
  • Никогда не подключайте неизвестные медиаустройства (например, USB-устройства) к важным компьютерам. Если вы нашли устройство в общественном месте, не подключайте его к рабочему ноутбуку!
  • Всегда создавайте резервные копии важных данных — этот вопрос будет более подробно рассмотрен далее в этом зале и может иметь решающее значение при восстановлении после атаки программ-вымогателей.
  • Убедитесь, что ваше антивирусное программное обеспечение всегда обновлено и активировано.

Примечание: Если вы или ваш бизнес заражены программой-вымогателем, не платите выкуп. Вместо этого немедленно позвоните в местные органы власти и попытайтесь сдержать заражение, отключив маршрутизатор или иным образом физически предотвратив подключение зараженного устройства к чему-либо еще. Не выключайте зараженное устройство, так как это иногда может уничтожить любые потенциальные возможности расшифровать данные без оплаты.


5. Распространенные атаки: Пароли и аутентификация

Хорошо это или плохо, но пароли являются неотъемлемой частью большинства систем аутентификации. Мы используем пароли для защиты всего, от наших аккаунтов в социальных сетях до наших банковских приложений. К сожалению, несмотря на их значительную важность, все еще слишком легко создать и использовать небезопасный пароль, и еще легче предпринять другие действия, которые снижают общую безопасность системы. Например, даже самый надежный пароль в мире бесполезен, если написан на доске в поле зрения веб-камеры — особенно если один и тот же пароль используется для нескольких услуг.

Эта задача будет охватывать безопасность паролей, а также другие меры, которые вы можете предпринять для повышения общей безопасности аутентификации.

Этого достаточно, чтобы удовлетворить большинству требований к сложности пароля (строчные и заглавные буквы, более восьми символов, содержит цифры и символ); однако, если злоумышленник знает, что у вас есть сын по имени Гарет, родившийся в 2012 году, то догадаться об этом не составит труда. Такой тип пароля по своей сути крайне ненадежен.

Короче говоря, любой пароль, который может легко угадать кто-то, кто вас относительно хорошо знает (включая злоумышленника, просматривающего ваши аккаунты в социальных сетях), — плохая идея!

Точно так же короткие пароли (особенно те, которые не содержат никаких небуквенно-цифровых символов) слабы против атак методом подбора. Мы рассмотрим это более подробно далее в задаче.

Не менее важным, чем надежность пароля, является его повторное использование. У вас может быть самый надежный пароль в мире, но если вы используете его в многочисленных аккаунтах и ​​он будет раскрыт, злоумышленник может просто использовать один и тот же надежный пароль на всех затронутых аккаунтах. Точно так же, если вы обнаружите, что ваш пароль был раскрыт, вам придется много работать , чтобы изменить все пароли ваших аккаунтов!

И САМОЕ ГЛАВНОЕ: ПРЕКРАТИТЕ ИСПОЛЬЗОВАТЬ ОДИН И ТОТ ЖЕ ПАРОЛЬ, ДЛЯ ВСЕХ СЕРВИСОВ!!!

Атаки на пароли

Злоумышленники используют локальные и удалённые атаки на пароли.

Локальные атаки требуют украденных хешированных паролей. Затем с помощью ПО злоумышленник подбирает пароли случайным перебором, словарными атаками или их комбинацией.

Удалённые атаки включают перебор паролей по известным логинам или проверку утёкших учётных данных на разных сайтах (подстановка учётных данных).

Локальные атаки:

  1. Brute-force (грубый перебор) – Программа подбирает все возможные комбинации паролей (например, aaa, aab, aac...), что занимает много времени, но гарантирует успех при достаточных ресурсах.
  2. Словарная атака – Используется список распространённых паролей (password123, qwerty, letmein). Такой метод быстрее, но менее надёжен против сложных паролей.
  3. Гибридная атака – Взломщик берёт базовый словарь и мутирует его (passwordP@ssw0rd!, adminAdmin123).
  4. Rainbow table – Используются заранее рассчитанные таблицы хешей паролей, что ускоряет взлом, если сервис не применяет соль (дополнительное случайное значение при хешировании).

Удалённые атаки:

  1. Перебор паролей (brute-force online) – Бот отправляет множественные запросы на сервер с разными паролями (admin:admin, admin:12345). Защита – ограничение попыток входа.
  2. Credential stuffing (подстановка учётных данных) – Проверка утёкших паролей на других сервисах. Например, если у человека был пароль password123 на одном сайте, злоумышленник попробует его в Facebook, Gmail и т. д.
  3. Фишинг – Взломщик создаёт поддельный сайт, похожий на настоящий, и убеждает жертву ввести логин и пароль.
  4. MitM-атака (человек посередине) – Перехват паролей при их передаче через незащищённое соединение, например, в общественном Wi-Fi.

Защититься можно с помощью сложных паролей, 2FA, менеджеров паролей и осторожности в интернете.

6. Соблюдение безопасности: Многофакторная аутентификация и менеджеры паролей

Тут скажу, что универсальной защиты нет, по типу 2FA и менеджеров паролей, все ломается, но лучше усложнять жизнь злоумышленнику и обезопасить себя.
Пользуйтесь 2FA ( смс или уведомление на телефон, а не письмо на почту, на почту у вас один и тот же пароль, её тоже ломают легко) 7. Соблюдение безопасности: Безопасность публичной сети

Интернет играет колоссальную роль в современной жизни, и большинство людей подключены к сети практически постоянно. Таким образом, большинство общественных мест (например, кафе, рестораны, общественный транспорт) полностью оборудованы общественным WiFI, чтобы люди могли проверить электронную почту (или, что не менее вероятно, поиграть в последнюю популярную мобильную игру). Многие люди не осознают, что ожидание общедоступного Wi-Fi может оказаться действительно очень опасным.

Безопасность подключения к веб-сайту

Помимо действий, которые вы предпринимаете для своей защиты , также важно знать о мерах, которые принимают онлайн-сервисы для вашей защиты.

Все веб-сайты теперь должны предоставлять информацию только в безопасном зашифрованном соединении. Как и при использовании VPN , это не позволяет злоумышленнику читать или изменять ваш веб-трафик, если он его перехватит. Зашифрованное соединение, используемое для создания HTTPS ( H yper T ext Transfer Protocol S ecurе ) , называется TLS ( Transport Layer Security ), и в большинстве браузеров представлено замком слева от строки поиска, что указывает на то, что соединение защищено:

8. Соблюдение безопасности: Резервные копии

Резервные копии, возможно, являются самой важной защитной мерой, которую вы можете предпринять для защиты своих данных. Что бы ни случилось, если вы предприняли соответствующие шаги для резервного копирования своей информации, вы всегда сможете восстановить ее, независимо от серьезности ущерба.

Независимо от того, являются ли данные критически важными для бизнеса на работе или семейными фотографиями дома, резервное копирование — это простая мера безопасности, которая многократно окупится, если произойдет худшее.

В зависимости от рассматриваемых данных, извлечение и восстановление из резервных копий может быть таким же простым, как перетаскивание папок в Google Drive. Тем не менее, существует также множество программных решений, которые помогают автоматизировать резервное копирование и облегчить восстановление.

9. Соблюдение безопасности: Обновления и исправления

Обновляйтесь!

10. Информация Заключение

В заключение следует сказать, что у злоумышленников есть множество различных вариантов атаковать как отдельных лиц, так и целые группы; однако для каждой атаки существуют свои меры защиты.

Завершив эту комнату, вы, как мы надеемся, должны немного больше узнать об этих распространенных атаках и защите от них. Вам не нужно быть экспертом в области компьютеров или кибербезопасности, чтобы оставаться в безопасности в сети: решения просты и заслуживают принятия в ваших личных и профессиональных онлайн-взаимодействиях.

Основная группа обучения ИБ
Lab-группу с полезным софтом / книгами / аудио.
Чат для обсуждений, задавай свои вопросы.
P.S. С вами был @Fnay_Offensive
До новой встречи, user_name!

Penetration Tester
March 26, 10:39
0 views
0 reactions
0 replies
0 reposts