Приветствую тебя, дорогой читатель во второй части серии статей «Приручение черного дракона. Этичный хакинг с Kali Linux.» Данная статья не будет содержать никаких практических примеров, и ее прочтение не займет у тебя много времени. Однако, без нее двигаться дальше будет так же бессмысленно, как и смотреть фильм в котором пропущен очень важный эпизод, несущий в себе смысл понимания происходящего во всей картине.
Тут мы затронем такую важную тему, как фазы атаки. Разберем стратегию действий атакующего шаг за шагом, для того, чтобы лучше понимать как проводить тестирования на проникновение эффективно и максимально приближенно к действиям злоумышленника.
Типы кибератак.
Условно все кибератаки можно разделить на два типа:
Массовые хакерские атаки — это создание ботнетов, распространение вредоносного ПО, почтовый спам и т. д. Чаще всего подобные атаки организуются любителями-энтузиастами, либо начинающими скрипт-кидди злоумышленниками.
Целевые атаки — любая атака на конкретную инфраструктуру (это те самые атаки, за которыми в статьях на «Хакере» стоят три магические буквы APT).
За подобного рода атаками обычно стоит группа опытных кибепреступников, которые используют и применяют самый полный спектр различных методик, приемов и инструментов для обхода всех стандартных средств защиты и получения доступа к целевым ресурсам.
Вполне логично предположить, что все подобные атаки должны иметь четкий план (сценарий атаки), представляющий из себя описание последовательности основных действий для достижения цели (фазы атаки).
Количество фаз может разниться, в зависимости от сценариев используемых атакующей стороной, но есть 4 основных фазы, которые присутствуют практически во всех видах атак:
1) футпринтинг (footprinting) или разведка - первоначальный сбор всей возможной информации о цели, как из открытых источников в сети Интернет, так и при помощи методов социальной инженерии и специальных инструментов (различных сканеров);
2) получение доступа к ресурсу (имея точные данные о том какие сервисы либо сетевые устройства используются в организации, можно попытаться найти уязвимости в этих системах. Яркий пример — APT атаки на правительственные сети в США в 2020 году, когда хакеры, стоявшие за этими атаками эксплуатировали уязвимости в VPN-серверах Fortinet и уязвимость Netlogon в Windows Server);
3) сохранение доступа (после получения доступа к целевой системе, злоумышленнику необходимо закрепиться в ней, на случай, если уязвимость которой он воспользовался будет закрыта. Для этого он может затроянить систему, чтобы сохранить к ней доступ);
4) сокрытие следов (любая современная система имеет на борту электронный журнал логирования всех выполняемых на ней действий. Отсюда следует, что в нем может сохраниться IP адрес с которого злоумышленник сканировал ресурсы сети или еще какая информация, которая может его разоблачить или дать понять техническому персоналу атакуемой компании, что их взломали).
Рассмотрим каждую фазу подробнее.
Футпринтинг (footprinting) или разведка — самая первая фаза планирования и подготовки к атаке, где главной задачей злоумышленника является сбор как можно большего количества информации о цели. Здесь можно выделить активный и пассивный подходы.
Пассивным подходом можно назвать обычное исследование цели путем сбора информации из открытых источников в Интернете либо методом социальной инженерии (познакомиться с сотрудником компании и попытаться выудить из него какую-то информацию).
К активному подходу можно отнести сканирование злоумышленником цели при помощи набора специальных инструментов (сетевые сканеры портов, сканеры уязвимостей системы);
Получение доступа к ресурсу. Тут может быть несколько вариантов.
Самый популярный — эксплуатация известной уязвимости в ПО сетевого оборудования либо операционной системы (подробнее эту тему мы рассмотрим позже). Так же, кроме получения доступа тут может быть сценарий дефейса (вывода из строя) ресурса атаками типа DoS/DDoS (доведение сервиса до отказа) при котором злоумышленнику совсем не обязательно получать доступ к системе;
Сохранение доступа. Следующая фаза атаки — закрепление в системе посредством вредоносного ПО типа бэкдора, руткита либо RAT-малвари.
Сокрытие следов. Вполне естественно, что опытный злоумышленник всегда будет стараться скрывать все следы своего пребывания в системе и использовать различные сложные приемы стеганографии, туннели, зачищать журналы ведения логов и проводить различные прочие манипуляции с целью остаться незаметным.
Ну, вот, пожалуй, мы и рассмотрели в общих чертах все основные фазы атаки. Более подробно каждую из них с практическими примерами мы рассмотрим в следующих статьях серии. А пока я прощаюсь с тобой, дорогой читатель до новых встреч!:)
