Дорожная карта наступательной кибербезопасности

Сети

Рекогносцировка и картирование сетей

Рекогносцировка сетей включает сбор информации о целевой сети для создания карты ее структуры и устройств. Техники включают пассивное сбор информации, сканирование и активную инвентаризацию сетевых компонентов. Инструменты, такие как Nmap и Wireshark, используются для идентификации открытых портов, сервисов и потенциальных уязвимостей. Используйте команды, такие как:

nmap -sS -O -v target-ip

Эта команда выполняет TCP SYN-сканирование и определяет операционную систему цели.

Стратегии бокового движения

Боковое движение относится к техникам, которые атакующие используют для перемещения по сети после начального доступа. Это включает эксплуатацию уязвимостей в соседних сегментах сети и использование скомпрометированных учетных данных для доступа к ресурсам. Атакующие могут использовать инструменты, такие как PsExec или PowerShell, для латерального распространения.

Эксплуатация сетевых протоколов

Это включает идентификацию слабостей в сетевых протоколах, таких как SMB, RDP или DNS, и их использование для выполнения несанкционированных действий. Знание механизмов работы протоколов и создание аномалий может привести к успешной эксплуатации.

Техники атак "человек посередине" (MitM)

Атаки MitM подразумевают перехват и изменение коммуникации между двумя сторонами без их ведома. Методы могут включать подделку ARP или отравление DNS. Атакующие используют инструменты, такие как Ettercap и MITMf, для захвата и изменения трафика.

Анализ и манипуляция сетевым трафиком

Анализ трафика включает мониторинг сетевых данных пакетов для выявления шаблонов или аномалий. Атакующие могут перенаправлять, удалять или инжектировать пакеты для нарушения или анализа коммуникаций. Инструменты, такие как Tcpdump и Scapy, часто используются для этих целей.

Веб-приложения

Продвинутые инъекционные атаки (SQLi, NoSQLi)

SQL Injection включает вставку вредоносного SQL-кода в поля ввода пользователей для манипуляции или извлечения данных из базы данных. Принципы распространяются на NoSQL-базы данных с NoSQLi. SQLmap - это распространенный инструмент для автоматизации SQL-атак и захвата баз данных:

sqlmap -u "http://target.com/search?q=test" --dbs

Эта команда пытается извлечь имена баз данных с целевого URL.

Кросс-сайтовый скриптинг (XSS) и эксплуатация CSRF

XSS позволяет атакующим внедрять скрипты в веб-страницы, которые просматривают другие пользователи, что позволяет похищать сессии или данные. CSRF обманывает пользователей в выполнении нежелательных действий на другом сайте, где они аутентифицированы.

Неавторизованный доступ к объектам (IDOR) и BOLAs

Уязвимости IDOR позволяют атакующим получать доступ к данным, манипулируя ссылками на объекты (например, идентификаторы пользователей). Нарушенная авторизация на уровне объектов (BOLAs) включает недостаточное применение контроля доступа к отдельным объектам.

Тактики веб-шеллов и постоянность

Установите веб-шелл на скомпрометированный сервер для постоянного доступа и удаленного выполнения команд. Веб-шеллы - это простые скрипты, обеспечивающие интерфейс через HTTP.

<?php system($_GET['cmd']); ?>

Пример упрощенного PHP веб-шелла.

Обход веб-приложений (WAF)

Обход WAF включает создание полезных нагрузок, которые обходят обнаружение на основе сигнатур. Техники включают кодирование, обфускацию или фрагментацию векторов атаки.

Мобильные приложения

Реверс-инжиниринг мобильных приложений

Реверс-инжиниринг включает расшифровку и анализ кода мобильного приложения для понимания его логики и выявления уязвимостей. Инструменты, такие как APKTool или Hopper, необходимы для дизассемблирования или декомпиляции.

Эксплуатация уязвимостей мобильных платформ

Каждая мобильная платформа (например, Android, iOS) имеет специфические уязвимости. Эксплойты могут включать использование системных привилегий или устаревших библиотек.

Перехват и манипуляция мобильными коммуникациями

Атакующие используют инструменты, такие как Burp Suite или Frida, для перехвата и манипуляции данными, передаваемыми мобильными приложениями, особенно при слабой или неправильно настроенной реализации SSL/TLS.

Нарушения безопасности данных мобильных приложений

Целится в небезопасные методы хранения данных или передачи данных, используемые мобильными приложениями, когда конфиденциальная информация хранится или передается без адекватного шифрования.

Цепочка поставок

Нацеливание на разработку и каналы доставки

Компьютеризация канала разработки может привести к широкому распространению вредоносного кода. Атакующие нацеливаются на репозитории исходного кода или среды CI/CD для внедрения бэкдоров.

Тестирование безопасности встроенных систем

Акцент на выявлении уязвимостей внутри прошивки или программного обеспечения встроенных устройств. Тестирование часто включает аппаратные интерфейсы, такие как JTAG или UART.

Техники компрометации цепочки поставок

Внедрение вредоносных компонентов в цепочку поставок продукта нарушает его целостность до того, как он достигает конечного пользователя. Известные примеры включают аппаратные имплантаты или измененные файлы обновлений.

Бэкдуринг программного обеспечения от третьих сторон

Внедрение скрытого, несанкционированного кода в программные продукты, поставляемые сторонними поставщиками, во время разработки, намеренно или через эксплойт.

CI/CD

Компрометация сред CI/CD

Несанкционированный доступ к среде CI/CD предоставляет возможность изменить процесс сборки программного обеспечения, потенциально вставляя вредоносный код перед развертыванием.

Проникновение в каналы сборки

Атакующие перехватывают или модифицируют артефакты сборки, что приводит к распространению скомпрометированного программного обеспечения. Уязвимости в скриптах сборки или зависимостях часто эксплуатируются.

Подделка артефактов и компрометация целостности

Модификация артефактов сборки незаметно может подорвать функциональность программного обеспечения. Обеспечение целостности артефактов имеет решающее значение и основывается на контрольных суммах или криптографических подписях.

Эксплуатация уязвимостей инструментов CI/CD

Известные уязвимости в инструментах CI/CD, таких как Jenkins или GitLab, могут быть использованы для несанкционированного доступа и изменения кода.

Облако

Техники эксплуатации облачных сервисов

Эксплуатация ошибочно настроенных или уязвимых облачных сервисов для получения несанкционированного доступа или контроля над управляемыми облаком ресурсами.

Атаки на неверно настроенное облачное хранилище

Целиться в экспонированные сервисы хранения, такие как AWS S3 бакеты, из-за недостаточных мер безопасности, таких как публичная запись или чтение.

Обход облачного управления идентификацией и доступом

Получение несанкционированного доступа к облачным ресурсам, используя слабые политики IAM или излишне разрешительные роли.

Векторы атак на архитектуры без серверов

Эксплуатация уязвимостей в безсерверных фреймворках путем злоупотребления событиями-триггерами или внедрения вредоносных нагрузок в контексты выполнения функций.

Контейнеры

Техники выхода из контейнеров

Идентификация и эксплуатация уязвимостей, позволяющих вредоносному коду выйти за пределы контейнерной среды на хост-систему.

Атаки на кластеры Kubernetes

Эксплуатация ошибочных конфигураций в средах Kubernetes для получения несанкционированного контроля или нарушения сервиса.

Эксплуатация уязвимостей оркестрации контейнеров

Целиться в уязвимости в инструментах оркестрации, таких как Docker Swarm или Kubernetes, для доступа к ограниченным средам.

Отравление контейнерных образов

Изменение контейнерных образов путем внедрения вредоносного кода, поражая системы, где эти образы развернуты.

API

Энумерация и рекогносцировка конечных точек API

Идентификация конечных точек API и картирование их структуры для определения доступных ресурсов и потенциальных уязвимостей.

Обход аутентификации и авторизации API

Эксплуатация уязвимостей, которые позволяют обойти слои аутентификации или неправильные проверки авторизации.

Злоупотребление лимитами и квотами

Обход лимитов скорости для перегрузки API или извлечения большего количества данных, чем предполагалось, манипулируя заголовками запроса или полезными данными.

Эксплуатация уязвимостей REST и SOAP API

Целиться в конкретные API через инъекции, атаки на десериализацию или используя уязвимости, вызванные подробными сообщениями об ошибках.

Аппаратное обеспечение

Эксплуатация интерфейсов аппаратного обеспечения

Манипулирование или доступ к интерфейсам аппаратного обеспечения для извлечения конфиденциальных данных или изменения операций устройства.

Атаки на боковые каналы аппаратного обеспечения

Использование электромагнитных излучений, анализа энергопотребления или информации о времени для вывода операций устройства или получения конфиденциальной информации.

Нарушение безопасности встроенных устройств

Получение несанкционированного доступа к встроенным устройствам через уязвимости в прошивке или внешние интерфейсы связи.

Реверс-инжиниринг прошивок аппаратного обеспечения

Анализ прошивки аппаратных устройств для выявления уязвимостей или понимания операций устройства через реверс-инжиниринг.

Беспроводные коммуникации

Атаки на беспроводные сети (Wi-Fi, Bluetooth)

Эксплуатация слабых протоколов Wi-Fi (WEP/WPA2) или неправильных конфигураций Bluetooth для перехвата и манипуляции беспроводными переговорками.

Развертывание ложных точек доступа

Развертывание несанкционированных точек доступа для перехвата беспроводных переговорок, техника, часто используемая при фишинге или краже учетных данных.

Прослушивание беспроводных коммуникаций

Прослушивание незашифрованной связи по беспроводной сети для захвата конфиденциальной информации, такой как пароли.

Эксплуатация беспроводных протоколов

Эксплуатация слабых мест в протоколах, таких как Zigbee или Bluetooth Low Energy (BLE), для получения контроля или шпионажа за коммуникациями устройств.

Атаки на физическую безопасность

Социальная инженерия и физическое проникновение

Использование обмана для обхода мер физической безопасности, включая выдачу себя за другого человека или подделку учетных данных для получения несанкционированного доступа к объектам.

Обход средств контроля физического доступа

Преодоление барьеров, таких как замки или биометрические системы, с использованием таких методов, как взлом замков или атаки на ретрансляцию.

Извлечение информации по физическому слою

Извлечение данных физическими средствами, такими как копирование данных с открытых жестких дисков или перехват электромагнитных сигналов.

Методы оценки физической безопасности

Методы на основе симуляции для оценки уязвимостей в настройках физической безопасности, включая тестирование на проникновение в помещения.

Криптография

Атаки на криптографические протоколы

Эксплуатация уязвимостей в криптографических протоколах, приводящих к дешифрованию данных, обходу аутентификации или выдаче себя за другого.

Техники криптоанализа

Техники используют математический и системный анализ для компрометации криптографической безопасности, включая взлом шифров.

Злоупотребление управление ключами

Атаки на неправильное управление ключами, приводящие к несанкционированному раскрытию ключей и дешифрованию данных.

Взлом симметричного и асимметричного шифрования

Поиск слабых мест или эксплуатация ошибок реализации для дешифрования данных без обладания ключом. Примеры включают атаки на AES или RSA.

Разработка эксплойтов

Идентификация возможностей эксплуатации уязвимостей

Исследование и обнаружение уязвимостей в программном или аппаратном обеспечении, которые можно использовать. Фокус на входных точках в несанитизированных входах или непроверенных операциях.

Продвинутые техники искажения памяти

Использование слабостей в операциях с памятью для выполнения произвольного кода, включая переполнения буфера и использование после освобождения.

Создание и доставка шеллкода

Проектирование и внедрение шеллкода в качестве полезной нагрузки для выполнения вредоносных инструкций на целевой системе.

Использование фреймворков для разработки эксплойтов

Использование инструментов, таких как Metasploit, для помощи в разработке эксплойтов и управления векторами атак через настраиваемые модули для различных целей.

Red Teaming

Планирование и выполнение операций Red Team

Red teaming включает в себя моделирование сложных постоянных угроз (APT) для оценки защиты организации. Планирование фокусируется на достижении специфических тактик, техник и процедур (TTP).

Настройка инфраструктуры и инструментов для Red Team

Создание безопасной и устойчивой инфраструктуры для проведения операций Red Team, с акцентом на системы управления и управления (C2) и инструменты атаки.

Многоэтапные кампании атак

Координированные кампании, имитирующие реальных атакующих, включающие несколько фаз, такие как рекогносцировка, эксплуатация и боковое перемещение.

Симуляция и эмуляция противника

Реалистичная симуляция тактик, используемых передовыми атакующими, для оценки мер защиты организации и определения областей для улучшения.

Избегание обнаружения

Обход обнаружения сети и конечных точек

Использование тактик для избегания обнаружения IDS/IPS и решений безопасности конечных точек, через обфускацию вредоносного ПО или эксплуатацию пробелов в обнаружении.

Анти-форензика и манипуляция доказательства

Техники, разработанные для предотвращения судебной экспертизы или стирания следов доказательств, что критически важно для сохранения секретных операций.

Техники обфускации и шифрования

Маскирование полезных нагрузок или коммуникаций через слои обфускации или шифрования, чтобы избежать мер безопасности и анализа.

Обход Honeypot и Sandbox

Обнаружение и избегание взаимодействия с системами-приманками, такими как honeypots или окружение "песочницы", которые нацелены на захват вредоносных действий.

Разработка вредоносного ПО

Дизайн и доставка собственных полезных нагрузок

Создание специально разработанных полезных нагрузок, нацеленных на специфические среды или обходящих существующую защиту, с акцентом на скрытность и функциональность.

Техники избегания и устойчивости вредоносного ПО

Создание вредоносного ПО, чтобы оно оставалось на системе после компрометации и избегало обнаружения путем обфускации или манипуляции защитой хоста.

Разработка и управление инфраструктурой C2

Создание и управление инфраструктурой командования и управления для поддержания автономии над скомпрометированными системами, ключевое для постоянных угроз.

Методы обхода анти-вредоносного ПО

Усилия по обходу автоматических систем обнаружения вредоносного ПО с использованием техник обхода, таких как манипуляция сигнатурами или изменение поведения.

Программное обеспечение

Техники бэкдуринга программного обеспечения

Внедрение скрытых точек доступа в код программного обеспечения для несанкционированного доступа, часто через манипулированный открытый исходный код или собственные кодовые базы.

Манипуляция логикой приложений

Эксплуатация ошибок в бизнес-логике или потоке приложений для выполнения непреднамеренных действий или извлечения данных неправомерно.

Продвинутые техники реверс-инжиниринга

Глубокий анализ исполняемых файлов программного обеспечения с использованием таких инструментов, как IDA Pro или Ghidra, для раскрытия внутренней логики или уязвимостей в закрытых системах.

Внедрение и перехват кода

Внедрение вредоносного кода в работающие процессы или перехват рабочих процессов приложения через техниками перехвата, часто используемые для повышения привилегий.

Governance

Technology

Loading contributors...

Contribute to Cyber Library!

Have an idea? Help us build the ultimate resource for cybersecurity by sharing your content suggestions.