Сляды і разведка

Слядовая адбітка адносіцца да працэсу збору інфармацыі аб мэтавай сістэме. Гэта першы крок атакі, пры якім зламыснік спрабуе даведацца як мага больш пра мэту, каб знайсці спосаб пранікнення ў сістэму.



Віды слядоў

Ёсць два тыпы слядоў:

  • Пасіўны след
  • Актыўны след

Пасіўны след - азначае збор інфармацыі без непасрэднага ўзаемадзеяння з мэтай. Гэты тып слядоў выкарыстоўваецца, калі збор інфармацыі не павінен быць выяўлены мэтай.


Актыўны след - азначае збор інфармацыі шляхам непасрэднага ўзаемадзеяння з мэтай. Пры такім тыпе слядоў існуе верагоднасць, што мэта даведаецца пра збор інфармацыі.

Зламыснікі выкарыстоўваюць след для збору наступнай інфармацыі:


  • Інфармацыя пра сетку

    • Дамены

    • Паддамены

    • IP-адрасы

    • Запісы Whois і DNS

  • Сістэмная інфармацыя

    • Аперацыйныя сістэмы вэб-сервера

    • Размяшчэнне сервераў

    • Карыстальнікі

    • Паролі

  • Інфармацыя пра арганізацыю

    • Інфармацыя пра супрацоўнікаў

    • Фон арганізацыі

    • Нумары тэлефонаў

    • Месцы



Мэты слядоў

Мэтамі адбіткаў ног з'яўляюцца:


  • Вывучыце позу бяспекі Прааналізуйце позу бяспекі мэты, знайдзіце шчыліны і стварыце план атакі.


  • Вызначце вобласць фокусу З дапамогай розных інструментаў і метадаў звузіце дыяпазон IP-адрасоў.


  • Пошук уразлівасцяў Выкарыстоўвайце сабраную інфармацыю для выяўлення недахопаў у бяспецы мэты.



  • Адлюстраванне сеткі Графічна ўяўляйце сетку мэты і выкарыстоўвайце яе ў якасці арыентыру падчас атакі.



Як і дзе збіраць інфармацыю

Існуе мноства інструментаў і інтэрнэт-рэсурсаў, якія мы можам выкарыстоўваць для збору інфармацыі аб нашай мэты.

Пошукавая сістэма і Інтэрнэт-рэсурсы

Пошукавыя сістэмы могуць выкарыстоўвацца для здабывання інфармацыі аб мэтавай арганізацыі. Вынікі пошуку могуць утрымліваць інфармацыю пра супрацоўнікаў мэтавай арганізацыі, унутраную сетку, старонкі ўваходу і іншую інфармацыю, якая можа спатрэбіцца зламыснікам.

Адзін са спосабаў збору інфармацыі з дапамогай пошукавых сістэм - выкарыстанне метадаў узлому Google.


Узлом Google - гэта метад, які зламыснікі выкарыстоўваюць для комплекснага пошуку і здабывання важнай інфармацыі пра свае мэты. Яна ўключае выкарыстанне набору аператараў пошуку і стварэнне складаных запытаў. Аператары, якія выкарыстоўваюцца пры ўзломе Google, называюцца dorks.

Whois, геолокация IP і допыт DNS

Хто

Whois спасылаецца на пратакол запытаў і адказаў, які выкарыстоўваецца для атрымання інфармацыі аб прызначаных Інтэрнэт-рэсурсах.

Базы дадзеных Whois ўтрымліваюць асабістую інфармацыю ўладальнікаў даменаў і захоўваюцца ў рэгіянальных рэестрах Інтэрнэту.

Існуе два тыпы мадэляў дадзеных:


  • Тоўсты Whois
  • Тонкі Whois

Шчыльны Whois змяшчае ўсю інфармацыю ад усіх рэгістратараў для зададзенага набору дадзеных. Тонкі Whois змяшчае абмежаваную інфармацыю пра зададзены набор дадзеных.

Вынікі запытаў Whois звычайна ўключаюць:

  • Падрабязнасці дамена
  • Падрабязнасці ўладальніка дамена
  • Даменны сервер
  • Чысты дыяпазон
  • Тэрмін дзеяння дамена
  • Даты стварэння і апошняга абнаўлення

Рэгіянальныя Інтэрнэт-рэестры, якія вядуць базы дадзеных Whois, уключаюць:

  • ARIN (Амерыканскі рэестр Інтэрнэт-нумароў)
  • AFRINIC (Афрыканскі сеткавы інфармацыйны цэнтр)
  • APNIC (Азіяцка-Ціхаакіянскі сеткавы інфармацыйны цэнтр)
  • RIPE (Каардынацыйны цэнтр сеткі IP Europeens)
  • LACNIC (Інфармацыйны цэнтр сетак Лацінскай Амерыкі і Карыбскага басейна)

Геалакацыя IP

Геалякацыя IP дапамагае знайсці інфармацыю пра месцазнаходжанне такой мэты, як краіна, горад, паштовы індэкс, Інтэрнэт-правайдэр і гэтак далей. Дзякуючы гэтай інфармацыі, хакеры могуць здзяйсняць атакі сацыяльнай інжынерыі на мэта.


Допыт DNS

Адбітак DNS адносіцца да збору інфармацыі пра дадзеныя зоны DNS, якая ўключае інфармацыю пра ключавыя хасты ў сетцы.

Інструменты допыту DNS дапамагаюць зламыснікам выканаць адбітак DNS. З дапамогай гэтых інструментаў зламыснікі атрымліваюць інфармацыю пра тыпы сервераў і іх месцазнаходжанне.

Адбітак электроннай пошты

Адбітак электроннай пошты адносіцца да збору інфармацыі з электроннай пошты шляхам маніторынгу дастаўкі электроннай пошты і праверкі загалоўкаў.

Інфармацыя, сабраная з дапамогай электроннай пошты, уключае:

  • IP-адрас атрымальніка
  • Геалагічнае размяшчэнне атрымальніка
  • Інфармацыя пра дастаўку
  • Наведзеныя спасылкі
  • Інфармацыя пра аглядальнік і АС
  • Час чытання

Загалоўкі электроннай пошты ўтрымліваюць інфармацыю пра адпраўніка, тэму і атрымальніка. Уся гэтая інфармацыя каштоўная для хакераў пры планаванні нападу на іх мэта.

Інфармацыя, якая змяшчаецца ў загалоўках электроннай пошты, уключае:

  • Імя адпраўніка
  • IP / адрас электроннай пошты адпраўніка
  • Паштовы сервер
  • Сістэма аўтэнтыфікацыі паштовага сервера
  • Адпраўка і дастаўка маркі
  • Унікальны нумар паведамлення

Таксама можна адсочваць электронныя лісты з дапамогай розных інструментаў адсочвання. Інструменты адсочвання электроннай пошты маюць магчымасць адсочваць электронныя лісты і правяраць іх загалоўкі, каб атрымаць карысную інфармацыю. Адпраўшчык атрымлівае апавяшчэнне аб дастаўцы і адчыненні паведамлення электроннай пошты.

Сляды сайта

Сляды веб-сайтаў - гэта метад, пры якім інфармацыя пра мэту збіраецца шляхам маніторынгу вэб-сайта мэты. Хакеры могуць адлюстраваць увесь вэб-сайт мэты, не заўважыўшы.

Сляды сайта даюць інфармацыю пра:

  • Праграмнае забеспячэнне
  • Аперацыйная сістэма
  • Падкаталогі
  • Кантактная інфармацыя
  • Сцэнарная платформа
  • Падрабязнасці запыту

Вывучыўшы загалоўкі вэб-сайта, можна атрымаць інфармацыю пра наступныя загалоўкі:

  • Змест зместу
  • Прымальныя дыяпазоны
  • Стан злучэння
  • Апошняе змяненне інфармацыі
  • X-харчаванне ад інфармацыі
  • Інфармацыя пра вэб-сервер

Дадатковыя спосабы збору інфармацыі - з дапамогай зыходнага кода HTML і праверкі файлаў cookie. Разглядаючы зыходны код HTML, можна атрымаць інфармацыю з каментарыяў у кодзе, а таксама атрымаць уяўленне пра структуру файлавай сістэмы, назіраючы за спасылкамі і тэгамі малюнкаў.

Файлы cookie таксама могуць раскрываць важную інфармацыю аб праграмным забеспячэнні, якое працуе на серверы, і яго паводзінах. Таксама, аглядаючы сеансы, можна ідэнтыфікаваць сцэнарныя платформы.

Ёсць праграмы, распрацаваныя, каб дапамагчы знайсці сайт. Гэтыя праграмы называюцца вэб-павукамі, і яны метадычна праглядаюць вэб-сайт у пошуках пэўнай інфармацыі. Інфармацыя, сабраная такім чынам, можа дапамагчы зламыснікам выконваць атакі сацыяльнай інжынерыі.

Кланаванне вэб-сайтаў

Люстраное адлюстраванне або кланаванне вэб-сайта ставіцца да працэсу дубліравання вэб-сайта. Адлюстраванне вэб-сайта дапамагае праглядаць сайт у аўтаномным рэжыме, шукаць на сайце ўразлівасці і выяўляць каштоўную інфармацыю.

На вэб-сайтах могуць захоўвацца дакументы іншага фармату, якія, у сваю чаргу, могуць утрымліваць схаваную інфармацыю і метаданыя, якія могуць быць прааналізаваны і выкарыстаны пры выкананні атакі. Гэтыя метададзеныя можна атрымаць з дапамогай розных інструментаў вымання метададзеных, а таксама дапамагчы зламыснікам выканаць атакі сацыяльнай інжынерыі.

Сеткавы след

Адбітак сеткі адносіцца да працэсу збору інфармацыі пра сетку мэты. Падчас гэтага працэсу зламыснікі збіраюць інфармацыю пра далёкасць дзеяння сеткі і выкарыстоўваюць яе для адлюстравання сеткі мэты.

Дыяпазон сеткі дае магчымасць зламыснікам зразумець, як структуравана сетка і якія машыны належаць да сеткі.

Nmap

Nmap - гэта інструмент, які выкарыстоўваецца для адкрыцця сеткі. Ён выкарыстоўвае неапрацаваныя IP-пакеты для вызначэння даступных хастоў у сетцы, паслуг, якія прапануюць гэтыя хасты, аперацыйных сістэм, на якіх яны працуюць, тыпаў брандмаўэра, якія выкарыстоўваюцца і іншых важных характарыстык.

Функцыі Nmap ўключаюць магчымасць сканавання вялікіх сетак, а таксама адлюстраванне сетак.

Трасіроўка

Праграмы Traceroute выкарыстоўваюцца для выяўлення маршрутызатараў, якія знаходзяцца на шляху да мэтавага хаста. Гэтая інфармацыя дапамагае ажыццяўляць атакі 'чалавек пасярэдзіне' і іншыя звязаныя з імі атакі.

Traceroute выкарыстоўвае пратакол ICMP і поле TTL у загалоўку IP для выяўлення маршруту. Ён запісвае IP-адрасы і DNS-імёны выяўленых маршрутызатараў.

Вынікі трасіроўкі дапамагаюць зламыснікам збіраць інфармацыю пра тапалогію сеткі, давераныя маршрутызатары, а таксама пра месцазнаходжанне брандмаўэра. Яны могуць выкарыстоўваць гэта для стварэння сеткавых дыяграм і планавання сваіх нападаў.



Слядовыя контрмеры

Некаторыя контрмеры, якія тычацца наступстваў, ўключаюць:

  • Абмежаванне доступу да сацыяльных сетак
  • Выкананне палітыкі бяспекі
  • Навучанне супрацоўнікаў пра пагрозы бяспецы
  • Шыфраванне канфідэнцыйнай інфармацыі
  • Адключэнне пратаколаў, якія не патрабуюцца
  • Правільная канфігурацыя службы


Справаздачы аб слядах

Справаздачы аб слядах павінны змяшчаць падрабязную інфармацыю аб праведзеных тэстах, выкарыстаных метадах і выніках выпрабаванняў. Ён таксама павінен уключаць спіс уразлівасцяў і спосабы іх выпраўлення. Гэтыя справаздачы трэба захоўваць у сакрэтнай форме, каб яны не трапілі ў чужыя рукі.