3 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Мультитул для хакера: обзор ПО для кибератак

Содержание

Задачей анализатора уязвимостей является скрытое от владельца сети или сервера обнаружение потенциальных слабых мест для таргетированной атаки. Программы этого типа проверяют текущий статус внешних портов системы, версии установленных там сервисов и другие параметры, которые пригодятся затем для настройки основного атакующего ПО.

Поэтому анализаторы часто идут в пакете с другими хакерскими инструментами, например, подборщиками паролей. Знаменитый анализатор Sn1per в зависимости от версии стоит от 0 до $499, причем совершенно официально, так как преподносится создателями в качестве средства для пентестинга.

Анализатор Nessus специализируется на операционных системах семейства Unix; Burp Suite, помимо анализа, умеет перехватывать сетевой трафик для последующего изучения; а Arachni интересен тем, что умеет анализировать фреймворки JavaScript, в том числе JQuery и AngularJS.

Неожиданно, но свой сканер уязвимостей есть даже у Microsoft. Он называется Microsoft Baseline Security Analyzer (MBSA) и умеет проверять уже известные дыры в безопасности, характерные для продукции MS. После проверки MBSA предлагает помощь в устранении проблем с безопасностью.

Еще больше описаний популярных анализаторов уязвимостей содержит вот этот материал.

Кто является хакером. Хакер — это кто такой? Попытки взлома защиты операционной системы

HoneyPot — это кибер-система, созданная для наблюдения за действиями злоумышленников. Дословно переводится как «Горшочек с медом», и выполняет функцию уязвимой инфраструктуры, которую можно взломать.

Приманка ХаниПот смоделирована таким образом, чтобы выглядеть максимально реалистично. На сегодняшний день HoneyPot — это один из наиболее эффективных инструментов обнаружения источников угроз.

Целью системы HoneyPot является сбор информации о методах киберпреступников и своевременное информирование IT-отделов о начале атаки. Так как HoneyPot существует отдельно от реальной инфраструктуры, любое взаимодействие с приманкой означает нацеленную кибератаку.

В свою очередь, это позволяет специалистам быстро принять меры по отношению к злоумышленнику, обеспечивать более надежную защиту уязвимых мест в инфраструктуре и избегать уже реальных атак.

Планирование развертывания приманок HoneyPots

Во-первых, планирование развертывания данной системы должно подходить под цели и особенности организации. Вам следует определить, какие данные в компании особенно ценны? Какие системы содержат важные активы? Как злоумышленник может получить к ним доступ?

Все это поможет определить, какие типы приманок нужно использовать конкретно для вашей инфраструктуры. Помимо прочего, развертывание приманок HoneyPot должно учитывать и географический фактор.

HoneyPots бывают разные – от простых смоделированных систем до систем, работающих на операционных системах или даже в аппаратном и виртуальном режиме.

Как говорилось ранее, HoneyPots предназначены для трансляции уязвимостей, чтобы привлечь злоумышленников. Например, может использоваться служба с уязвимостью, устаревшая или нелицензионная операционная система, сетевые ресурсы с подозрительными названиями и т.п.

Особенность ресурсов HoneyPot в том, что все они – ложны и направлены исключительно на поимку хакера. Они настроены на отслеживание злоумышленников в системе без их ведома. Это обеспечивает компаниям раннее предупреждение и позволяет исследовать методы киберпреступников.

Как осуществляется работа приманки.

Система крупномасштабного мониторинга HoneyNet

Систему HoneyPot можно расширить в целую структуру, состоящую из нескольких систем в корпоративной сети. Подобную развернутую систему называют HoneyNet.

HoneyNet позволяет настраивать несколько видов приманок с различными конфигурациями и уязвимостями. Обычно с помощью централизованного инструментария для мониторинга всех приманок в сети.

Как правило, HoneyNet представляет собой виртуальную сеть с виртуальными службами и приложениями, которые выглядят для злоумышленника как настоящая сеть. И такая система особенно полезна для крупномасштабного мониторинга активности вредоносных программ, за счет использования различных операционных систем и уязвимостей.

Как работает HoneyPot

Приманка ХаниПот – это имитация ложно существующего файла, сервера или компьютерной системы. HoneyPot используется как для обнаружения атак, так и для «отвлечения» атак от реальной инфраструктуры компании.

Приманки должны быть настолько реалистичны, чтобы злоумышленник посчитал ее стоящей целью. Отслеживая трафик, попадающий в HoneyPot, вы сможете понять, откуда приходят злоумышленники, чего они хотят и на что охотятся. Это поможет вам улучшить меры безопасности, направленные на реальные корпоративные данные.

С учетом роста работы через Интернет, растет и уровень киберпреступности. И HoneyPot может помочь защитить ваш бизнес от кибератак.

Решения приманок на рынке

Рассмотрим поставщиков решений HoneyPot, существующих на рынке. Все они предоставляют систему приманок, позволяющую обнаруживать вторжения и угрозы для вашей корпоративной сети. Однако каждое решение стоит рассмотреть отдельно, предварительно составив требования.

Ниже приведена сравнительная таблица решений HoneyPots.

Существуют и готовые решения по приманкам HoneyPot. Они делятся по:

  • совместимости с операционной системой,
  • по требованиям к реализации,
  • по уровню взаимодействия,
  • на реальные и виртуальные.

Рассмотрим некоторые из них:

  1. Honeyd-WIN32 – HoneyPot для Это версия со слабым уровнем взаимодействия, обширным функционалом и открытым исходным кодом. Один Honey-Win32 способен смоделировать несколько пользователей и тысячи портов. Поддерживает UDP и TCP-порты с возможностью их настройки. В решении используется язык сценариев. Минус решения заключается в долгой установке.
  2. KFSensor – также под Windows и со слабым уровнем взаимодействия и предварительно настроенными портами UDP и TCP. HoneyPot имитирует уязвимость для троянов, червей и прочих атак на сервисы. Здесь присутствует возможность удаленного администрирования, эмуляция сетевых протоколов, а также записи действий хакера. KFSensor можно расширять и дописывать свои сценарии, тем самым увеличивая базу данных сигнатур.
  3. VMware – используют для создания приманок и целых сетей HoneyPots. У этой рабочей станции идет поддержка Linux и Windows. С VMware вы сможете сохранять сеансы, сбрасывать их в случае попытки хакера загрузить вредоносную программу. Однако в VMware отсутствует функция оповещений и отслеживания, для этого используется дополнительное ПО.
  4. Spector – один из самых простых в установке и настройке за счет ограниченного функционала. Этот HoneyPot имитирует ряд операционных систем семейства Windows, сетевые службы, а также порты для троянов. Spector предоставляет возможность взаимодействовать с хакером, собирать информацию о злоумышленнике благодаря интеллектуальным модулям. Также в HoneuPot есть функция удаленного администрирования, предоставления реалистичных данных для «кражи» и генерации программ, которые хакер может скачать.
  5. APS – HoneyPot слабого взаимодействия для операционной системы Windows. Он обнаруживает ряд мошеннических действий (сканирование портов, рассылки, DoS-атаки и пр.) и передает информацию IT-специалисту. В APS ведется статистика обнаружения атак благодаря исследованию корпоративной сети и регулярному сканированию портов.
  6. ManTrap – представитель HoneyPot сильного взаимодействия, имеющий контролируемую ОС для взаимодействия со взломщиком. Имеет расширенный сбор данных и разрешение настраивать ловушки. Вы можете создать учетные записи, приложения, отдельные ложные файлы и даже целые процессы. В случае атаки хакер будет видеть реальную ОС, однако все его действия будут записываться. Преимущество этого HoneyPot в создании виртуального окружения в единой физической системе.

Ответы о технологии HoneyPot от разработчиков

Технология HoneyPot может применяться в самых разных сферах деятельности, иметь легкий и сложный процесс использования, сбора данных и взаимодействия со злоумышленниками. Но как выбрать правильный HoneyPot? Когда лучше выбрать низкий уровень имитации, а когда высокий? Лучше приобрести готовый продукт или обратиться к поставщику услуг?

С этими и другими вопросами о технологии мы обратились к компании Xello, единственному российскому разработчику HoneyPot-решений.

На вопросы ответил СЕО Xello – Александр Щетинин.

Александр, расскажите об удобности интеграции решения в условиях уже существующей корпоративной защиты и варианты такой интеграции?

«Что касается нашего решения, то оно достаточно просто интегрируется в любую корпоративную сеть и существующие СЗИ никакой помехи нам не несут. Для того чтоб запустить систему у заказчика в минимальной конфигурации нам нужны 2 виртуальные машины и 2 служебные учетные записи в Active Directory. Далее можно достаточно гибко масштабироваться и распространять приманки по тем хостам, по которым хочет заказчик и располагать серверы-ловушки в релевантных для него подсетях.»

Какие есть варианты централизованного управления системами интегрируемой ловушки?

«В нашей системе используется единая консоль управления, из которой управляются как хостовые приманки, так и конфигурируются серверы-ловушки. Все хостовые приманки управляются безагентским способом, что мы считаем безусловно своим конкурентным преимуществом. Сервера ловушки также всегда находятся под управлением центрального сервера.»

Есть ли возможность расширения типов приманок?

«Да мы постоянно наращиваем, количество поддерживаемых типов и протоколов наших приманок.»

Какие методы оповещения об атаке имеются? Существует ли возможность мониторинга системы в реальном времени или наблюдение пост-активное?

Читать еще:  Обзор электронной книги Pocketbook A10. Дизайн, конструкция, управляющие элементы

«Да, конечно, наша система изначально и заточена под раннее обнаружение атаки и поэтому возможность мониторинга в режиме реального времени была для нас приоритетом при разработке. Мы поддерживаем оповещение SOC через интеграцию с SIEM и почтовыми серверами. То есть при наступлении инцидента он появится в веб-консоли, отправится оповещение в SOC(SIEM), а также офицеру безопасности на email. Все это дает клиенту выигрыш в самом ценном ресурсе при реагировании на инцидент ИБ – времени.»

Какое примерное количество ложных срабатываний и методы борьбы с ними?

«Количество ложных срабатываний в целом у данного класса систем достаточно низкое, так как все приманки и ловушки не видимы рядовому пользователю. И если кто-то с ними взаимодействует, то это с большой долей вероятности злоумышленник. Также, когда решение внедряется в «боевую» инфраструктуру, существует множество факторов ложных срабатываний, например, легитимные механизмы внутреннего сканирования, с такого рода срабатываниями можно бороться только с помощью исключений.»

Расскажите о кастомизации ловушки. Как сильно клиент может видоизменить готовое решение ловушки при возникновении необходимости, есть ли инструменты для подобных действий, если да, то какие?

«Что касается нас, то сами ловушки могут достаточно гибко изменяться. От изменения пула триггеров реагирования до установки любого дополнительного софта на них. Мы тут предоставляем максимальную свободу нашим заказчикам.»

Какой спектр хакерских атак и сканирований способна отследить ловушка, а что останется вне поля наблюдения при любых условиях?

«В случае с deception-технологиями фокус не на спектре возможных атак, а на правильном расположении ловушек и их правдоподобности. Остановлюсь здесь поподробнее. Все мы знаем, что может быть множество типов атак, к примеру, на протокол SSH, но достаточно лишь того, чтобы приманка или ловушка типа SSH во время его перемещения по сети и этого будет достаточно для успешного детектирования атаки. Ловушка сработает по любому обращению по данному протоколу к ней. Именно поэтому фокус производители платформ делают не на спектре возможных атак, а как раз на вероятности обойти ловушки и не попасть в них. А это напрямую зависит от правдоподобности и правильном расположении ловушек в сетевой инфраструктуре.»

Компания «Облачные сети» предоставляет услуги по HoneyPot и Пентестам. Если вас заинтересовало решение, свяжитесь с нашим менеджером.

Будьте внимательнее

Самыми распространенными видами атак являются уязвимость с вредоносным кодом и попытки взлома. Также часто встречаются методы отправки через электронную почту мошеннических посланий – как индивидуальным пользователям, так и предприятиям. При этом хакеры имитируют адреса реальных отправителей для запугивания получателей или для придания достоверности электронного письма.

Например, в Латвии было зарегистрировано несколько случаев мошеннических схем, когда в рассылке электронных писем клиентам местных банков присылали вредное ПО, чтобы получить доступ к их страницам в интернет-банке. Поэтому здесь проблема заключается в невнимательности – нельзя кликать на любые даже подозрительные ссылки.

«Такое вредоносное ПО может использовать ресурс процессора, чтобы «майнить» криптовалюту. Но такие «паразиты» очень сложно обнаружить. Если у пользователя нет специальной системы безопасности, то заметить червя можно разве что случайно. Так, тревожным звонком должно стать, когда ПК работает медленнее, батарея ноутбука разряжается быстрее и тому подобное», – советует Либиетис.

Сетевые сканеры

Сетевые сканеры являются одним из основных хакерских инструментов, так как позволяют быстро определить структуру атакуемой сети, найти все подключенные к ней компьютеры и узнать многие их параметры. Безусловным лидером среди подобных приложений является бесплатная программа с открытым исходным кодом NMAP.

NMAP (Network Mapper) сканирует необработанные IP-пакеты, чтобы определить, какие хосты доступны в сети, какие сервисы (имя и версия приложения) предлагают эти хосты, на каких версиях операционных систем они работают и многое другое. Все это помогает определить потенциальные цели для развития атаки. Программа отлично справляется с быстрым сканированием больших сетей, но может быть применена и на отдельных хостах.

Подобными возможностями, хотя и со своими особенностями, обладают многие сетевые сканеры, такие как MiTeC Network Scanner, SoftPerfect Network Scanner, Network DeepScan и другие. Более подробную информацию об этом типе хакерских «отмычек» можно получить из этой статьи.

Кто является хакером. Хакер — это кто такой? Попытки взлома защиты операционной системы

HoneyPot — это кибер-система, созданная для наблюдения за действиями злоумышленников. Дословно переводится как «Горшочек с медом», и выполняет функцию уязвимой инфраструктуры, которую можно взломать.

Приманка ХаниПот смоделирована таким образом, чтобы выглядеть максимально реалистично. На сегодняшний день HoneyPot — это один из наиболее эффективных инструментов обнаружения источников угроз.

Целью системы HoneyPot является сбор информации о методах киберпреступников и своевременное информирование IT-отделов о начале атаки. Так как HoneyPot существует отдельно от реальной инфраструктуры, любое взаимодействие с приманкой означает нацеленную кибератаку.

В свою очередь, это позволяет специалистам быстро принять меры по отношению к злоумышленнику, обеспечивать более надежную защиту уязвимых мест в инфраструктуре и избегать уже реальных атак.

Планирование развертывания приманок HoneyPots

Во-первых, планирование развертывания данной системы должно подходить под цели и особенности организации. Вам следует определить, какие данные в компании особенно ценны? Какие системы содержат важные активы? Как злоумышленник может получить к ним доступ?

Все это поможет определить, какие типы приманок нужно использовать конкретно для вашей инфраструктуры. Помимо прочего, развертывание приманок HoneyPot должно учитывать и географический фактор.

HoneyPots бывают разные – от простых смоделированных систем до систем, работающих на операционных системах или даже в аппаратном и виртуальном режиме.

Как говорилось ранее, HoneyPots предназначены для трансляции уязвимостей, чтобы привлечь злоумышленников. Например, может использоваться служба с уязвимостью, устаревшая или нелицензионная операционная система, сетевые ресурсы с подозрительными названиями и т.п.

Особенность ресурсов HoneyPot в том, что все они – ложны и направлены исключительно на поимку хакера. Они настроены на отслеживание злоумышленников в системе без их ведома. Это обеспечивает компаниям раннее предупреждение и позволяет исследовать методы киберпреступников.

Как осуществляется работа приманки.

Система крупномасштабного мониторинга HoneyNet

Систему HoneyPot можно расширить в целую структуру, состоящую из нескольких систем в корпоративной сети. Подобную развернутую систему называют HoneyNet.

HoneyNet позволяет настраивать несколько видов приманок с различными конфигурациями и уязвимостями. Обычно с помощью централизованного инструментария для мониторинга всех приманок в сети.

Как правило, HoneyNet представляет собой виртуальную сеть с виртуальными службами и приложениями, которые выглядят для злоумышленника как настоящая сеть. И такая система особенно полезна для крупномасштабного мониторинга активности вредоносных программ, за счет использования различных операционных систем и уязвимостей.

Как работает HoneyPot

Приманка ХаниПот – это имитация ложно существующего файла, сервера или компьютерной системы. HoneyPot используется как для обнаружения атак, так и для «отвлечения» атак от реальной инфраструктуры компании.

Приманки должны быть настолько реалистичны, чтобы злоумышленник посчитал ее стоящей целью. Отслеживая трафик, попадающий в HoneyPot, вы сможете понять, откуда приходят злоумышленники, чего они хотят и на что охотятся. Это поможет вам улучшить меры безопасности, направленные на реальные корпоративные данные.

С учетом роста работы через Интернет, растет и уровень киберпреступности. И HoneyPot может помочь защитить ваш бизнес от кибератак.

Решения приманок на рынке

Рассмотрим поставщиков решений HoneyPot, существующих на рынке. Все они предоставляют систему приманок, позволяющую обнаруживать вторжения и угрозы для вашей корпоративной сети. Однако каждое решение стоит рассмотреть отдельно, предварительно составив требования.

Ниже приведена сравнительная таблица решений HoneyPots.

Существуют и готовые решения по приманкам HoneyPot. Они делятся по:

  • совместимости с операционной системой,
  • по требованиям к реализации,
  • по уровню взаимодействия,
  • на реальные и виртуальные.

Рассмотрим некоторые из них:

  1. Honeyd-WIN32 – HoneyPot для Это версия со слабым уровнем взаимодействия, обширным функционалом и открытым исходным кодом. Один Honey-Win32 способен смоделировать несколько пользователей и тысячи портов. Поддерживает UDP и TCP-порты с возможностью их настройки. В решении используется язык сценариев. Минус решения заключается в долгой установке.
  2. KFSensor – также под Windows и со слабым уровнем взаимодействия и предварительно настроенными портами UDP и TCP. HoneyPot имитирует уязвимость для троянов, червей и прочих атак на сервисы. Здесь присутствует возможность удаленного администрирования, эмуляция сетевых протоколов, а также записи действий хакера. KFSensor можно расширять и дописывать свои сценарии, тем самым увеличивая базу данных сигнатур.
  3. VMware – используют для создания приманок и целых сетей HoneyPots. У этой рабочей станции идет поддержка Linux и Windows. С VMware вы сможете сохранять сеансы, сбрасывать их в случае попытки хакера загрузить вредоносную программу. Однако в VMware отсутствует функция оповещений и отслеживания, для этого используется дополнительное ПО.
  4. Spector – один из самых простых в установке и настройке за счет ограниченного функционала. Этот HoneyPot имитирует ряд операционных систем семейства Windows, сетевые службы, а также порты для троянов. Spector предоставляет возможность взаимодействовать с хакером, собирать информацию о злоумышленнике благодаря интеллектуальным модулям. Также в HoneuPot есть функция удаленного администрирования, предоставления реалистичных данных для «кражи» и генерации программ, которые хакер может скачать.
  5. APS – HoneyPot слабого взаимодействия для операционной системы Windows. Он обнаруживает ряд мошеннических действий (сканирование портов, рассылки, DoS-атаки и пр.) и передает информацию IT-специалисту. В APS ведется статистика обнаружения атак благодаря исследованию корпоративной сети и регулярному сканированию портов.
  6. ManTrap – представитель HoneyPot сильного взаимодействия, имеющий контролируемую ОС для взаимодействия со взломщиком. Имеет расширенный сбор данных и разрешение настраивать ловушки. Вы можете создать учетные записи, приложения, отдельные ложные файлы и даже целые процессы. В случае атаки хакер будет видеть реальную ОС, однако все его действия будут записываться. Преимущество этого HoneyPot в создании виртуального окружения в единой физической системе.
Читать еще:  Face id приложение на андроид. У Android-смартфонов появится свой Face ID. Если Face ID не работает

Ответы о технологии HoneyPot от разработчиков

Технология HoneyPot может применяться в самых разных сферах деятельности, иметь легкий и сложный процесс использования, сбора данных и взаимодействия со злоумышленниками. Но как выбрать правильный HoneyPot? Когда лучше выбрать низкий уровень имитации, а когда высокий? Лучше приобрести готовый продукт или обратиться к поставщику услуг?

С этими и другими вопросами о технологии мы обратились к компании Xello, единственному российскому разработчику HoneyPot-решений.

На вопросы ответил СЕО Xello – Александр Щетинин.

Александр, расскажите об удобности интеграции решения в условиях уже существующей корпоративной защиты и варианты такой интеграции?

«Что касается нашего решения, то оно достаточно просто интегрируется в любую корпоративную сеть и существующие СЗИ никакой помехи нам не несут. Для того чтоб запустить систему у заказчика в минимальной конфигурации нам нужны 2 виртуальные машины и 2 служебные учетные записи в Active Directory. Далее можно достаточно гибко масштабироваться и распространять приманки по тем хостам, по которым хочет заказчик и располагать серверы-ловушки в релевантных для него подсетях.»

Какие есть варианты централизованного управления системами интегрируемой ловушки?

«В нашей системе используется единая консоль управления, из которой управляются как хостовые приманки, так и конфигурируются серверы-ловушки. Все хостовые приманки управляются безагентским способом, что мы считаем безусловно своим конкурентным преимуществом. Сервера ловушки также всегда находятся под управлением центрального сервера.»

Есть ли возможность расширения типов приманок?

«Да мы постоянно наращиваем, количество поддерживаемых типов и протоколов наших приманок.»

Какие методы оповещения об атаке имеются? Существует ли возможность мониторинга системы в реальном времени или наблюдение пост-активное?

«Да, конечно, наша система изначально и заточена под раннее обнаружение атаки и поэтому возможность мониторинга в режиме реального времени была для нас приоритетом при разработке. Мы поддерживаем оповещение SOC через интеграцию с SIEM и почтовыми серверами. То есть при наступлении инцидента он появится в веб-консоли, отправится оповещение в SOC(SIEM), а также офицеру безопасности на email. Все это дает клиенту выигрыш в самом ценном ресурсе при реагировании на инцидент ИБ – времени.»

Какое примерное количество ложных срабатываний и методы борьбы с ними?

«Количество ложных срабатываний в целом у данного класса систем достаточно низкое, так как все приманки и ловушки не видимы рядовому пользователю. И если кто-то с ними взаимодействует, то это с большой долей вероятности злоумышленник. Также, когда решение внедряется в «боевую» инфраструктуру, существует множество факторов ложных срабатываний, например, легитимные механизмы внутреннего сканирования, с такого рода срабатываниями можно бороться только с помощью исключений.»

Расскажите о кастомизации ловушки. Как сильно клиент может видоизменить готовое решение ловушки при возникновении необходимости, есть ли инструменты для подобных действий, если да, то какие?

«Что касается нас, то сами ловушки могут достаточно гибко изменяться. От изменения пула триггеров реагирования до установки любого дополнительного софта на них. Мы тут предоставляем максимальную свободу нашим заказчикам.»

Какой спектр хакерских атак и сканирований способна отследить ловушка, а что останется вне поля наблюдения при любых условиях?

«В случае с deception-технологиями фокус не на спектре возможных атак, а на правильном расположении ловушек и их правдоподобности. Остановлюсь здесь поподробнее. Все мы знаем, что может быть множество типов атак, к примеру, на протокол SSH, но достаточно лишь того, чтобы приманка или ловушка типа SSH во время его перемещения по сети и этого будет достаточно для успешного детектирования атаки. Ловушка сработает по любому обращению по данному протоколу к ней. Именно поэтому фокус производители платформ делают не на спектре возможных атак, а как раз на вероятности обойти ловушки и не попасть в них. А это напрямую зависит от правдоподобности и правильном расположении ловушек в сетевой инфраструктуре.»

Компания «Облачные сети» предоставляет услуги по HoneyPot и Пентестам. Если вас заинтересовало решение, свяжитесь с нашим менеджером.

Регулярное обновление программ

Самая распространенная причина, которая создает угрозу кибербезопасности, – это «дыры» в конфигурациях, которые затрагивают более половины всех IP-адресов. Это возникает, если вовремя не обновлять операционную систему и программы. В результате пользователь не имеет защиты даже против атак старых вирусов.

«Лучший способ минимизировать эти угрозы — выбрать актуальную операционную систему, которую поддерживает производитель, и следить за ее обновлением. Следует учитывать, что настройки при покупке системы тоже не всегда на 100% являются безопасными. Только что установленная антивирусная программа не сразу выполняет все функции защиты. Поэтому в настройках следует указать, какие действия должна выполнять программа, а какие нет», – пояснил руководитель по информационной безопасности Tet (Ex-Lattelecom) Улдис Либиетіис.

Средства взлома систем удаленного доступа

С началом пандемии и массовым переходом сотрудников на удаленную работу количество попыток взлома инструментов удаленного доступа (RDP) по всему миру выросло в несколько раз. Используя проверенную тактику «грубой силы» (brute force), хакеры одновременно атакуют тысячи компьютеров, в надежде обнаружить неправильно настроенные и плохо защищенные RDP-серверы.

В данном случае статистика на стороне злоумышленников — где-то среди бесконечного списка адресов обязательно найдутся хосты, где установлены не стойкие к перебору пароли или полное уязвимостей устаревшее ПО.

На графике вы можете видеть статистику атак на RDP, собранную в первой половине этого года аналитиками угроз из «Лаборатории Касперского». Комментарии совершенно излишни. В ход идут любые утилиты для brute force, включая Ncrack, THC Hydra, Hashcat и множество других, как бесплатных, так и коммерческих. Достаточно полный перечень хакерских инструментов для подбора паролей можно найти, например, здесь.

Кто является хакером. Хакер — это кто такой? Попытки взлома защиты операционной системы

HoneyPot — это кибер-система, созданная для наблюдения за действиями злоумышленников. Дословно переводится как «Горшочек с медом», и выполняет функцию уязвимой инфраструктуры, которую можно взломать.

Приманка ХаниПот смоделирована таким образом, чтобы выглядеть максимально реалистично. На сегодняшний день HoneyPot — это один из наиболее эффективных инструментов обнаружения источников угроз.

Целью системы HoneyPot является сбор информации о методах киберпреступников и своевременное информирование IT-отделов о начале атаки. Так как HoneyPot существует отдельно от реальной инфраструктуры, любое взаимодействие с приманкой означает нацеленную кибератаку.

В свою очередь, это позволяет специалистам быстро принять меры по отношению к злоумышленнику, обеспечивать более надежную защиту уязвимых мест в инфраструктуре и избегать уже реальных атак.

Планирование развертывания приманок HoneyPots

Во-первых, планирование развертывания данной системы должно подходить под цели и особенности организации. Вам следует определить, какие данные в компании особенно ценны? Какие системы содержат важные активы? Как злоумышленник может получить к ним доступ?

Все это поможет определить, какие типы приманок нужно использовать конкретно для вашей инфраструктуры. Помимо прочего, развертывание приманок HoneyPot должно учитывать и географический фактор.

HoneyPots бывают разные – от простых смоделированных систем до систем, работающих на операционных системах или даже в аппаратном и виртуальном режиме.

Как говорилось ранее, HoneyPots предназначены для трансляции уязвимостей, чтобы привлечь злоумышленников. Например, может использоваться служба с уязвимостью, устаревшая или нелицензионная операционная система, сетевые ресурсы с подозрительными названиями и т.п.

Особенность ресурсов HoneyPot в том, что все они – ложны и направлены исключительно на поимку хакера. Они настроены на отслеживание злоумышленников в системе без их ведома. Это обеспечивает компаниям раннее предупреждение и позволяет исследовать методы киберпреступников.

Как осуществляется работа приманки.

Система крупномасштабного мониторинга HoneyNet

Систему HoneyPot можно расширить в целую структуру, состоящую из нескольких систем в корпоративной сети. Подобную развернутую систему называют HoneyNet.

HoneyNet позволяет настраивать несколько видов приманок с различными конфигурациями и уязвимостями. Обычно с помощью централизованного инструментария для мониторинга всех приманок в сети.

Как правило, HoneyNet представляет собой виртуальную сеть с виртуальными службами и приложениями, которые выглядят для злоумышленника как настоящая сеть. И такая система особенно полезна для крупномасштабного мониторинга активности вредоносных программ, за счет использования различных операционных систем и уязвимостей.

Как работает HoneyPot

Приманка ХаниПот – это имитация ложно существующего файла, сервера или компьютерной системы. HoneyPot используется как для обнаружения атак, так и для «отвлечения» атак от реальной инфраструктуры компании.

Приманки должны быть настолько реалистичны, чтобы злоумышленник посчитал ее стоящей целью. Отслеживая трафик, попадающий в HoneyPot, вы сможете понять, откуда приходят злоумышленники, чего они хотят и на что охотятся. Это поможет вам улучшить меры безопасности, направленные на реальные корпоративные данные.

Читать еще:  Корзина не работает, и включить не получается

С учетом роста работы через Интернет, растет и уровень киберпреступности. И HoneyPot может помочь защитить ваш бизнес от кибератак.

Решения приманок на рынке

Рассмотрим поставщиков решений HoneyPot, существующих на рынке. Все они предоставляют систему приманок, позволяющую обнаруживать вторжения и угрозы для вашей корпоративной сети. Однако каждое решение стоит рассмотреть отдельно, предварительно составив требования.

Ниже приведена сравнительная таблица решений HoneyPots.

Существуют и готовые решения по приманкам HoneyPot. Они делятся по:

  • совместимости с операционной системой,
  • по требованиям к реализации,
  • по уровню взаимодействия,
  • на реальные и виртуальные.

Рассмотрим некоторые из них:

  1. Honeyd-WIN32 – HoneyPot для Это версия со слабым уровнем взаимодействия, обширным функционалом и открытым исходным кодом. Один Honey-Win32 способен смоделировать несколько пользователей и тысячи портов. Поддерживает UDP и TCP-порты с возможностью их настройки. В решении используется язык сценариев. Минус решения заключается в долгой установке.
  2. KFSensor – также под Windows и со слабым уровнем взаимодействия и предварительно настроенными портами UDP и TCP. HoneyPot имитирует уязвимость для троянов, червей и прочих атак на сервисы. Здесь присутствует возможность удаленного администрирования, эмуляция сетевых протоколов, а также записи действий хакера. KFSensor можно расширять и дописывать свои сценарии, тем самым увеличивая базу данных сигнатур.
  3. VMware – используют для создания приманок и целых сетей HoneyPots. У этой рабочей станции идет поддержка Linux и Windows. С VMware вы сможете сохранять сеансы, сбрасывать их в случае попытки хакера загрузить вредоносную программу. Однако в VMware отсутствует функция оповещений и отслеживания, для этого используется дополнительное ПО.
  4. Spector – один из самых простых в установке и настройке за счет ограниченного функционала. Этот HoneyPot имитирует ряд операционных систем семейства Windows, сетевые службы, а также порты для троянов. Spector предоставляет возможность взаимодействовать с хакером, собирать информацию о злоумышленнике благодаря интеллектуальным модулям. Также в HoneuPot есть функция удаленного администрирования, предоставления реалистичных данных для «кражи» и генерации программ, которые хакер может скачать.
  5. APS – HoneyPot слабого взаимодействия для операционной системы Windows. Он обнаруживает ряд мошеннических действий (сканирование портов, рассылки, DoS-атаки и пр.) и передает информацию IT-специалисту. В APS ведется статистика обнаружения атак благодаря исследованию корпоративной сети и регулярному сканированию портов.
  6. ManTrap – представитель HoneyPot сильного взаимодействия, имеющий контролируемую ОС для взаимодействия со взломщиком. Имеет расширенный сбор данных и разрешение настраивать ловушки. Вы можете создать учетные записи, приложения, отдельные ложные файлы и даже целые процессы. В случае атаки хакер будет видеть реальную ОС, однако все его действия будут записываться. Преимущество этого HoneyPot в создании виртуального окружения в единой физической системе.

Ответы о технологии HoneyPot от разработчиков

Технология HoneyPot может применяться в самых разных сферах деятельности, иметь легкий и сложный процесс использования, сбора данных и взаимодействия со злоумышленниками. Но как выбрать правильный HoneyPot? Когда лучше выбрать низкий уровень имитации, а когда высокий? Лучше приобрести готовый продукт или обратиться к поставщику услуг?

С этими и другими вопросами о технологии мы обратились к компании Xello, единственному российскому разработчику HoneyPot-решений.

На вопросы ответил СЕО Xello – Александр Щетинин.

Александр, расскажите об удобности интеграции решения в условиях уже существующей корпоративной защиты и варианты такой интеграции?

«Что касается нашего решения, то оно достаточно просто интегрируется в любую корпоративную сеть и существующие СЗИ никакой помехи нам не несут. Для того чтоб запустить систему у заказчика в минимальной конфигурации нам нужны 2 виртуальные машины и 2 служебные учетные записи в Active Directory. Далее можно достаточно гибко масштабироваться и распространять приманки по тем хостам, по которым хочет заказчик и располагать серверы-ловушки в релевантных для него подсетях.»

Какие есть варианты централизованного управления системами интегрируемой ловушки?

«В нашей системе используется единая консоль управления, из которой управляются как хостовые приманки, так и конфигурируются серверы-ловушки. Все хостовые приманки управляются безагентским способом, что мы считаем безусловно своим конкурентным преимуществом. Сервера ловушки также всегда находятся под управлением центрального сервера.»

Есть ли возможность расширения типов приманок?

«Да мы постоянно наращиваем, количество поддерживаемых типов и протоколов наших приманок.»

Какие методы оповещения об атаке имеются? Существует ли возможность мониторинга системы в реальном времени или наблюдение пост-активное?

«Да, конечно, наша система изначально и заточена под раннее обнаружение атаки и поэтому возможность мониторинга в режиме реального времени была для нас приоритетом при разработке. Мы поддерживаем оповещение SOC через интеграцию с SIEM и почтовыми серверами. То есть при наступлении инцидента он появится в веб-консоли, отправится оповещение в SOC(SIEM), а также офицеру безопасности на email. Все это дает клиенту выигрыш в самом ценном ресурсе при реагировании на инцидент ИБ – времени.»

Какое примерное количество ложных срабатываний и методы борьбы с ними?

«Количество ложных срабатываний в целом у данного класса систем достаточно низкое, так как все приманки и ловушки не видимы рядовому пользователю. И если кто-то с ними взаимодействует, то это с большой долей вероятности злоумышленник. Также, когда решение внедряется в «боевую» инфраструктуру, существует множество факторов ложных срабатываний, например, легитимные механизмы внутреннего сканирования, с такого рода срабатываниями можно бороться только с помощью исключений.»

Расскажите о кастомизации ловушки. Как сильно клиент может видоизменить готовое решение ловушки при возникновении необходимости, есть ли инструменты для подобных действий, если да, то какие?

«Что касается нас, то сами ловушки могут достаточно гибко изменяться. От изменения пула триггеров реагирования до установки любого дополнительного софта на них. Мы тут предоставляем максимальную свободу нашим заказчикам.»

Какой спектр хакерских атак и сканирований способна отследить ловушка, а что останется вне поля наблюдения при любых условиях?

«В случае с deception-технологиями фокус не на спектре возможных атак, а на правильном расположении ловушек и их правдоподобности. Остановлюсь здесь поподробнее. Все мы знаем, что может быть множество типов атак, к примеру, на протокол SSH, но достаточно лишь того, чтобы приманка или ловушка типа SSH во время его перемещения по сети и этого будет достаточно для успешного детектирования атаки. Ловушка сработает по любому обращению по данному протоколу к ней. Именно поэтому фокус производители платформ делают не на спектре возможных атак, а как раз на вероятности обойти ловушки и не попасть в них. А это напрямую зависит от правдоподобности и правильном расположении ловушек в сетевой инфраструктуре.»

Компания «Облачные сети» предоставляет услуги по HoneyPot и Пентестам. Если вас заинтересовало решение, свяжитесь с нашим менеджером.

Понаблюдайте за смартфоном

Популярность бесконтактного расчета постоянно растет. Однако, злоумышленники уже нашли способ обходить лимит бесконтактных транзакций, чтобы без ведома владельца «вытащить» из его счета значительную сумму. Хакеры используют SIM-карты, чтобы получать доступ к содержимому смартфонов.

Бесконтактные платежные карты лучше держать в специальном чехле, который блокирует сигналы, чтобы мошенники с помощью мобильного терминала не могли снять с нее деньги,

– говорит Улдис Либиетис.

Часто хакеры используют смартфон для майнинга криптовалюты. Если смартфон быстро тратит заряд батареи – это может быть одним из признаков. Самый простой способ избавиться от этой «инфекции» в телефоне – восстановить заводские настройки и скачать все обновленные приложения.

Пользуйтесь общественной сетью WiFi с активизированной технологией VPN

Как уменьшить риски кибербезопасности

Не посещайте опасные сайты! Нередко об опасности веб-сайта предупреждает интернет-браузер или антивирусное программное обеспечение. Прежде чем открыть ссылку, обратите внимание, что протокол https является более безопасным.

Используйте многофакторную аутентификацию для получения доступа к интернет-ресурсам и системам (например, электронная почта, код по SMS, мобильные приложения и т. д.).

Не открывайте незнакомые ссылки, если вы не знаете, к какому ресурсу они ведут.

Не храните пароли и данные банковских карт в интернет-браузерах.

Нажмите на «выйти» (log out) при выходе из профиля, например, из аккаунта в Gmail. Это имеет особое значение, если вы используете чужое устройство.

Не используйте один пароль для нескольких профилей. В структуре пароля не должно быть логической связи. Можно использовать инструменты управления паролями – есть немало хороших бесплатных инструментов.

Прежде чем ввести имя пользователя и пароль, убедитесь, что вы используете официальный, а не поддельный сайт.

Регулярно удаляйте из памяти программы-браузера cookie.

При посещении любого сайта ознакомьтесь с политикой конфиденциальности. Не используйте веб-сайт или приложение, если их политика конфиденциальности не приемлема для вас.

Не забывайте создавать копии данных и используйте облака для их хранения.

По возможности пользуйтесь общественной сетью WiFi с активизированной технологией VPN.

Удаляйте с устройства приложения, которыми не пользуетесь.

Выясните, какие разрешения запрашивает то или иное приложение, не соглашайтесь, если есть доступ к контактам, определение местоположения, камера и т. д.

Понаблюдайте, как приложение использует интернет – сколько тратит, нет ли подозрительно большого расхода.

Больше новостей, касающихся событий из мира технологий, гаджетов, искусственного интеллекта, а также космоса читайте в разделе Техно

Ссылка на основную публикацию
Статьи c упоминанием слов:
Adblock
detector