Проводим пентест. Часть 7. Ищем сокровища и заметаем следы

 АНДРЕЙ БИРЮКОВ, системный архитектор по информационной безопасности, abiryukov@samag.ru

Проводим пентест
Часть 7. Ищем сокровища и заметаем следы

Что делает хакер, уже проникнув в сеть? В зависимости от структуры компании жертвы эти действия могут отличаться Как же обнаружить злоумышленников?

Этой статьей я завершаю цикл, посвященный проведению тестов на проникновение. В предыдущих шести [1-6] мы достаточно подробно рассмотрели различные способы, которыми может воспользоваться злоумышленник дляпроникновения в корпоративную сеть. Были представлены методы, связанные с использованием беспроводных сетей, поиском и эксплуатацией уязвимостей в приложениях, разработкой эксплоитов. Темой этой статьи будет обсуждение действий хакера, который уже проник в сеть, получил шелл на различные серверы, и теперь ему необходимо найти в сети ценную информацию, а также скрыть следы своего присутствия.

Как известно, в среднем после взлома сети и до его обнаружения проходит порядка 200 дней (рекорд – восемь лет!). За это время злоумышленник успевает получить доступ практически ко всей интересующей его информации. Рассмотрим, какие действия может предпринять взломщик, проникнув в сеть, и что можно сделать, чтобы их обнаружить.

Вот основные действия хакера, о которых мы будем говорить:

• Взлом паролей
• Инвентаризация и поиск необходимой информации
• Перехват передаваемого трафика
• Выгрузка собранной информации
• Сокрытие следов своего присутствия

Это некоторый типовой набор действий, которые обычно предпринимает злоумышленник. Перехват передаваемого трафика уже достаточно подробно рассматривался во второй статье цикла, так что здесь мы к этой теме возвращаться небудем.

Однако в зависимости от структуры компании жертвы эти действия могут отличаться.

Паролей не бывает много

Даже получив доступ к сети и создав свои учетные записи с административными правами, злоумышленник будет интересоваться учетными данными легальных пользователей домена, доступ к которым позволит получить доступ к большей информации, в том числе и зашифрованной данным пользователем. Также его действия будут менее заметны.

Самый простой способ, к которому он может прибегнуть, – это сделать копию файлов с паролями и затем попытаться расшифровать пользовательские пароли офлайн, то есть на своем оборудовании или с помощью ботсети. Конечно, многие могут возразить, что подбор паролей – это достаточно продолжительный и трудоемкий процесс. Однако с ростом вычислительных мощностей и развитием соответствующих технологий подбор восьмизначного символьно-цифрового пароля может занять считанные минуты. Но обо всем по порядку.

Начнем с того, где хранят пароли различные операционные системы. Начнем с семейства ОС Windows.

Статью целиком читайте в журнале «Системный администратор», №12 за 2016 г. на страницах 33-37.

PDF-версию данного номера можно приобрести в нашем магазине.

1. Бирюков А. Проводим пентест. Часть 6. Пишем эксплоит. // «Системный администратор», №11-12, 2016 г. – С. 42-46 (http://samag.ru/archive/article/3315).
2. Бирюков А. Проводим пентест. Часть 5. Поиск уязвимостей в «самописных» приложениях. // «Системный администратор», №10, 2016 г. – С. 38-43 (http://samag.ru/archive/article/3292).
3. Бирюков А. Проводим пентест. Часть 4. Используем уязвимости. // «Системный администратор», №7-8, 2016 г. – С. 47-51 (http://samag.ru/archive/article/3237).
4. Бирюков А. Проводим пентест. Часть 3. Ищем уязвимости. // «Системный администратор», №6, 2016 г. – С. 24-29 (http://samag.ru/archive/article/3211).
5. Бирюков А. Проводим пентест. Часть 2. Сбор необходимой информации. // «Системный администратор», №5, 2016 г. – С. 27-31 (http://samag.ru/archive/article/3190).
6. Бирюков А. Проводим пентест. Часть 1. Проникаем в беспроводную сеть. // «Системный администратор», №4, 2016 г. – С. 40-44 (http://samag.ru/archive/article/3171).
7. Утилита gsecdump – http://www.truesec.se/sakerhet/verktyg/saakerhet/gsecdump_v2.0b5.
8. Описание утилиты John the Ripper – https://kali.tools/?p=747.
9. Утилита Hashcat – http://hashcat.net/hashcat.
10. Примеры хешей для различных алгоритмов – https://hashcat.net/wiki/doku.php?id=example_hashes.
11. Радужные таблицы – http://project-rainbowcrack.com/table.htm.
12. Утилита Steghide – http://steghide.sourceforge.net.
13. Бирюков А. Стеганография: реализация и предотвращение. // «Системный администратор», №4, 2015 г. – С. 40-44 (http://samag.ru/archive/article/2924).
14. Вебинар по подмене логов – http://www.specialist.ru/center/video/161/ustrojstvo-logov-i-sposobi-podmeni-zapisej-zhurnalov.
15. Утилита Handle – https://technet.microsoft.com/ru-ru/sysinternals/handle.aspx.
16. Сайт Сергея Клевогина – http://klevogin.ru.
17. Видеокурс по этичному хакингу – https://www.cybrary.it/course/ethical-hacking.
18. Материалы Offensive Security – https://www.offensive-security.com/information-security-certifications/oscp-offensive-security-certified-professional.
19. Экзамен Certified Ethical Hacking – https://www.eccouncil.org/programs/certified-ethical-hacker-ceh.

Комментарии могут оставлять только зарегистрированные пользователи