Примечание. Это не для того, чтобы мотивировать вас взламывать и закрывать веб-сайты, а для того, чтобы дать общее представление о том, как выполняются ежедневные хакерские действия, и защитить себя от подобных инцидентов, по крайней мере, принять некоторые меры предосторожности.
В этой статье объясняется 5 шагов взлома на примере хакера, который пытается взломать сервер компании и получить доступ ко всем данным.
Разведка: это первая фаза, когда хакер пытается собрать информацию о цели. Это может включать идентификацию цели, определение диапазона IP-адресов цели, сети, записей DNS и т. Д. Предположим, что злоумышленник собирается взломать контакты веб-сайтов .
Он может сделать это: используя поисковую систему, такую как maltego, исследуя цель, например, веб-сайт (проверяя ссылки, вакансии, должности, электронную почту, новости и т. Д.), Или инструмент, такой как HTTPTrack, для загрузки всего веб-сайта для последующего перечисления, хакер может определить следующее: имена сотрудников, должности и адреса электронной почты.
Сканирование. Этот этап включает в себя использование таких инструментов, как номеронабиратели, сканеры портов, сетевые картографы, подметальные машины и сканеры уязвимостей для сканирования данных. Теперь хакеры, вероятно, ищут любую информацию, которая может помочь им совершить атаку, такую как имена компьютеров, IP-адреса и учетные записи пользователей. Теперь, когда у хакера есть некоторая базовая информация, хакер переходит к следующему этапу и начинает тестировать сеть на предмет других пути атаки. Хакер решает использовать пару методов для этой цели, чтобы помочь сопоставить сеть (например, Kali Linux, Maltego и найти электронное письмо для контакта, чтобы увидеть, какой почтовый сервер используется). Хакер ищет автоматическое электронное письмо, если это возможно, или на основе собранной информации, он может решить отправить электронное письмо HR с запросом о вакансии.
Получение доступа: на этом этапе хакер разрабатывает проект сети цели с помощью данных, собранных во время этапа 1 и этапа 2. Хакер завершил подсчет и сканирование сети и теперь решает, что у них есть несколько вариантов получения доступ к сети.
Например, скажем, хакер выбирает фишинговую атаку:Хакер решает рисковать и использовать простую фишинговую атаку для получения доступа. Хакер решает проникнуть из ИТ-отдела. Они видят, что были некоторые недавние наймы, и они, вероятно, еще не успевают на процедурах еще. Фишинговая электронная почта будет отправлена с использованием фактического адреса электронной почты CTO с помощью программы и отправлена техническим специалистам. В письме содержится фишинговый веб-сайт, на котором будут собраны их логин и пароли. Используя любое количество параметров (приложение для телефона, подмена электронной почты на веб-сайте, Zmail и т. Д.), Хакер отправляет электронное письмо с просьбой войти на новый портал Google со своими учетными данными. У них уже запущен инструментарий социальной инженерии, и они отправили электронное письмо с адресом сервера пользователям, маскирующим его с помощью bitly или tinyurl.
Другие варианты включают создание обратной оболочки TCP / IP в PDF с использованием Metasploit (может быть перехвачено фильтром спама). Глядя на календарь событий, они могут настроить маршрутизатор Evil Twin и попытаться атаковать пользователей в середине, чтобы получить доступ. Вариант атаки типа « отказ в обслуживании» , переполнения буфера в стеке и перехвата сеанса также может оказаться хорошим.
Поддержание доступа. После того, как хакер получил доступ, он хочет сохранить этот доступ для будущей эксплуатации и атак. Как только хакер владеет системой, он может использовать ее в качестве базы для запуска дополнительных атак.
В этом случае принадлежащая система иногда упоминается как система зомби .Теперь, когда у хакера есть несколько учетных записей электронной почты, хакер начинает тестировать учетные записи в домене. Хакер с этого момента создает новую учетную запись администратора для себя на основе структуры имен и пытается смешаться. В качестве меры предосторожности хакер начинает искать и идентифицировать учетные записи, которые не использовались в течение длительного времени. Хакер предполагает, что эти учетные записи, вероятно, либо забыты, либо не используются, поэтому они изменяют пароль и повышают привилегии администратора до уровня дополнительной учетной записи, чтобы поддерживать доступ к сети. Хакер также может отправлять электронные письма другим пользователям с использованием эксплуатируемого файла, такого как PDF, с обратной оболочкой для расширения их возможного доступа. В это время не будет никакой открытой эксплуатации или атак. Если нет доказательств обнаружения, Игра в ожидание позволяет жертве думать, что ничто не было нарушено. Получив доступ к учетной записи ИТ, хакер начинает делать копии всех электронных писем, встреч, контактов, мгновенных сообщений и файлов, которые будут отсортированы и использованы позже.
Очистка треков (чтобы никто не мог их достать): до атаки злоумышленник меняет свой MAC-адрес и запускает атакующий компьютер через хотя бы одну VPN-сеть, чтобы помочь им идентифицировать себя. Они не будут осуществлять прямую атаку или какую-либо технику сканирования, которая будет считаться «шумной».
Как только доступ получен и привилегии повышены, хакер пытается скрыть свои следы. Это включает в себя очистку отправленных писем, очистку журналов сервера, временных файлов и т. Д. Хакер также будет искать указания поставщика электронной почты, предупреждающего пользователя, или возможные несанкционированные входы в систему под его учетной записью.
Защити себя: что и чего не делать?
Не размещайте информацию в социальных сетях, которая может быть связана с контрольными вопросами
Используйте пароли, которые не могут быть взломаны грубой силой или угадыванием.
Рассмотрите возможность двухфакторной аутентификации, когда это возможно.
Будьте осторожны с электронными письмами с запросами пароля. Такие службы, как Heroku, Gmail и другие, не будут запрашивать ввод паролей для дополнительной акции или услуги.
Проверьте источник контакта.
Прежде чем перейти по ссылке, изучите ее.
Всегда сканируйте файл и никогда не нажимайте на пакетные файлы.
Всегда просматривайте фоновые службы, которые работают на вашем устройстве, и никогда не полагайтесь на чужие устройства.
Обязательно установите антивирус и установите корневые пароли для установки.
Выйдите из сеансов и очистите кеш.
Если вы считаете, что вас скомпрометировали, сообщите об этом поставщикам услуг, а если вас подтвердят, вы должны сообщить об этом в отдел киберпреступлений. В эти дни к таким инцидентам относятся серьезно.
Будьте в безопасности и воздержитесь от того, чтобы стать целью!
