October 22, 2020

Уязвимости корпоративных сетей

Приветствую всех!
Сегодня поговорим об уязвимостях корпоративных сетей.


Введение

Все практики, которые применяются в использовании уязвимостей для неких дальнейших действий могут применяться в бизнес среде. Разница между бизнесом и простыми машинами в сети лишь в масштабе действий и их защите. Это обусловлено тем, что работать мы вынуждены в едином технологическом пространстве, и арсенал возможных атак для этой технологической базы - един.

Специализацией данной лекции, все же, является именно корпоративная среда и методы проникновения.Относительно самих бизнес-структур, их неотъемлемой частью является доменная инфраструктура, почтовые сервисы, веб-приложения и бизнес-системы.

В рамках данной статьи мы рассмотрим:

  • какие уязвимости наиболее распространены на сетевом периметре;
  • самые благоприятные векторы атак, которыми можно воспользоваться для получения доступа к ресурсам корпоративной сети;
  • какие недостатки безопасности в корпоративных сетях могут нам позволить получить максимальные привилегии в корпоративной инфраструктуре;
  • коснемся методов социальной инженерии;
  • как с помощью атак на беспроводные сети получить доступ к ресурсам внутренней сети.

Изучение состояния безопасности бизнес-структур ведется постоянно. Публикуются тематические отчеты и исследования.К нашему счастью, подавляющее число всех корпоративных систем (более 60%!!) прекрасно подвержены взлому и несанкционированному проникновению.Но не стоит обольщаться, стоит Вам неправильно ввести пароль от wi-fi, и на этаж поднимается охрана (проверено из личного опыта).

Более четверти сотрудников компаний переходят по ссылкам в почте или открывают неизвестные файлы. Зачастую это тупая проверка, для тупых, обычная ссылка, которая ведет к фотографии с логотипом компании, в надежде, что Вы следующий раз одумайтесь.

С беспроводными сетями вообще мрак: в 75% случаев возможен перехват чувствительной информации и ее последующее использование. Все это работает, на нас лишь потому, что большие боссы любят максимально экономить.

Атаки на корпоративные сети принято разделять на внешние, внутренние и комплексные (когда берутся серьезно и надолго, как правило, это уже уровень спецслужб, где подготовка к непосредственной атаке может занимать по несколько лет).


Классификация и методы защиты

Если говорить об уязвимостях в инфраструктуре компании, то обычно их делят на следующие виды:

  1. технологические (архитектурные) - когда нет конкретных механизмов обеспечения информационной безопасности или попросту они настолько старые, что уже не актуальны. Бизнес никогда не будет шевелить задницей ,пока это не выходит за рамки риск менеджмента.
  2. организационные - нет четко прописанных требований, порядка защиты информации, инструкций, требований и нормативов по пользованию ПО, ПК и сетями.
  3. эксплуатационные - связаны с недочетами в существующих компонентах IT-инфраструктуры(устаревшие роутеры, модемы и т.д).

Стоит отметить следующий важнейший факт, обычно, если мы говорим об ИТ компаниях, инфраструктуру разрабатывают самые опытные люди - архитекторы. Как правило, эти люди выбирают технологии проверенные временем, а следовательно с огромным кол-вом уязвимостей. Как ни странно, все имеет место устаревать, а следовательно и кол-во проблем с тем или иным софтом увеличивается.

Наиболее часто среди эксплуатационных уязвимостей встречаются:

  • Использование операционных систем и программного обеспечения в версиях, которые не поддерживаются (MS Windows XP, MS Windows Server 2003, PHP).
    Чего ожидать? Например, отказа в обслуживании, выполнения какого-то произвольного кода и, конечно же, раскрытия так бережно охраняемой информации. Но в реальности мастера умеют на всей линейке Windows играть, как на пианино и ни в чем себе не отказывать.
  • Уязвимости веб-серверов (например, Apache HTTP Server), которые позволят нападающему с легкостью устроить отказ в обслуживании или выполнить произвольный код в системе. Обычно веб сервера умеют кэшировать статическую информацию, а это может дать нам как минимум информацию о веб приложении. В качестве небольшого домашнего задания, Вы должны посмотреть название веб-сервера любого сайта и свежие уязвимости к нему. Это довольно просто, например в хроме это F12 / Network / Любой файл / Headers. Изучите содержимое и Вы найдете кое-что интересное.
  • Использование небезопасных протоколов управления (скажем, Telnet).
    Чего ожидать? Нападающий перехватывает информацию, которая передается, и без проблем получает доступ к хосту. Для перехвата аутентификационных данных нужно находиться на пути их прохождения (например, обладать доступом к оборудованию провайдера, каналу связи). Или, как вариант, перенаправить трафик на себя с помощью настроек DNS и необходимых инструментов. А для этого нужно знать модели там всякие и вообще компьютерные сети тоже, хотя бы основы. Для этого можно использовать атаки на сетевые протоколы маршрутизации класса ARP Spoofing (локально) или DNS (удаленно).
    Краткая инструкция по это атаке - http://project.net.ru/security/article9/g4.html
  • Использование небезопасных протоколов SSL и TLS.
    Чего ожидать? Опять же, перехвата передаваемой аутентификационной информации.
  • Использование ненадежных паролей WPA/WPA2-PSK.
    Чего ожидать? Нападающий может получить доступ к беспроводной сети, а также перехватить данные, передаваемые по защищенным протоколам (самый распространенный перехват это HTTP).
  • Использование протокола разрешения имен NetBIOS по TCP/IP (NBNS) и LLMNR.
    Чего ожидать? Перехват информации (паролей, хешей паролей и т.п.) между Windows-хостами.
  • Межсайтовый скриптинг (XSS). Уязвимость класса Cross Site Scripting возникает из-за недостаточного экранирования символов (замены в тексте управляющих символов на соответствующие текстовые подстановки), выводимых веб-приложением.
    Нападающий может обойти установленные ограничения и перехватить сессионную инфу полноправного юзера сервисов этого домена, выполнив, скажем, вредоносный JavaScript-код. Внедрение такого кода на сетевом уровне или посредством атак социальной инженерии, любым доступным в конкретном случае способом.

Среди организационных уязвимостей принято выделять следующие направления:

  1. Процессы «Управление конфигурациями», «Управление изменениями», «Управление обновлениями» обеспечения информационной безопасности не контролируются.
    Чего ожидать? Появления новых эксплуатационных уязвимостей в IT-инфраструктуре.
  2. Контрагенты и подрядчики. Отдельные сервисы и процессы (например, поддержка информационных систем, управление сетевой частью IT-инфраструктуры) компании на практике часто отдают на аутсорсинг.
    Это значит, что получив доступ к корпоративным сетям подрядных организаций нашего клиента, мы с их помощью можем установить проги удаленного управления в защищаемую сеть и затем использовать технологии скрытых каналов (например, DNS covert channel) для управления и транспортировки секретной информации на контролируемые сервера.

Что же касается технологических уязвимостей, то тут отдельно хочу выделить две категории:

  1. Подключение корпоративных устройств к незащищенным гостевым сегментам беспроводных сетей клиента. В таком случае нападающий без труда сможет перехватить аутентификационные данные и получить доступ секретной информации.
  2. Неконтролируемые информационные потоки. Как несложно догадаться, слабое место любой компании в плане информационной безопасности - это использование ее сотрудниками внешних запоминающих устройств и сервисов обмена информацией (почта, хранилища файлов и т.п.). Работнички тащат из дома свои диски и флешки, повышая тем самым риск заражения всякими зловредами.

Как нам противостоят корпоративные сети?

В любой нормальной компании есть ответственный за IT-безопасность человек. Он в какой то степени определяет политику безопасности корпоративной инфраструктуры.Этот человек определяет политику управления конфигурациями компонентов системы. Также этот человек должен определить политику управления обновлений.Настоящие спецы в области IT-безопасности должны чутко мониторить ситуацию и вовремя обновлять как общесистемное, так и прикладное программное обеспечение. Зачастую выйдя на данного человека мы имеем всю картину в прямом и переносном смысле.

И финал: управление изменениями.

Когда вносятся существенные изменения в информационные системы, крайне важно тестить реализованные механизмы информационной безопасности. Какие изменения можно отнести к существенным? Например, изменения мажорной версии системы или отдельных ее компонентов, изменения системной архитектуры, изменения состава или функций средств защиты информации и т.п.
В версионировании за мажорной считается, что версия 1.0.0 переходит в версию 2.0.0 Помните самый главный минус работы в сфере разработки и безопасности - человеческий фактор.

Существует два типа внесения изменений:

  • Есть определенный график, проектирования, разработки и тестирования.
    Баги, которые не успели пофиксить уходят в релиз.
  • Софт пилится до тех пор, пока все баги не будут ликвидированы и уже тогда релиз.

На сегодня пожалуй закончим, в следующей статье поговорим о примерах атак на корпоративную сеть.


🌌Dark Warehouse - Склад интересных вещиц.

🕸Shadow Shop - Магазин цифровых товаров.

💎RefPay - Бот для пассивного дохода.

💬Lamers Chat - Свободный чат. Общение на любые темы.