Penetration test

6 Тестирование на проникновение

Анализ скомпрометированной базы паролей пользователей


Тест на проникновение максимально приближен к реальности и позволяет аудиторам смоделировать большую часть угроз информационной безопасности, воздействующих на информационную систему.
Входными данными для тестирования являются:
1. Перечень IP-адресов хостов, образующих внешний периметр информационной системы Заказчика (подсеть 168.192.200.0/28).
2. поиск уязвимостей на сайте Перечень адресов корпоративной электронной почты в домене alemneftegaz.ru, представляющий собой репрезентативную выборку по сотрудникам из различных структурных подразделений.
Применялась следующая методика, позволяющая наиболее полно смоделировать действия потенциального нарушителя:
2. Запросы, похожие на «защита от sql-инъекций» Активный сбор сведений об информационной системе Заказчика (подключение к хостам внешнего периметра).
3. Проверка возможности проникновения в информационную систему Заказчика при помощи использования уязвимостей сетевых служб, запущенных на хостах внешнего периметра.
4. проверка сайта на взлом Проверка возможности проникновения в информационную систему Заказчика
при помощи реверсивной троянской программы. о ходе выполнения работ по тесту на проникновение в информационную систему Заказчика регулярно сообщалось представителям отдела информационной безопасности Заказчика.
Сотрудникам отдела информационных технологий, ответственным за администрирование информационной системы, не было сообщено о факте выполнения таких работ.
В качестве потенциального нарушителя информационной безопасности ЛВС рассматривается лицо или группа лиц, состоящих или не состоящих в сговоре, которые в результате умышленных или неумышленных действий могут реализовать разнообразные угрозы информационной безопасности, направленные на информационные ресурсы и нанести моральный и/или материальный ущерб интересам Край Инвест Банка.
Сводная характеристика вероятного нарушителя приведена в таблице 1.
Таблица 1 – Модель нарушителя
Нарушение угрозы целостности, конфиденциальности, доступности в корыстных или иных целях
Нарушитель обладает высоким уровнем знаний в области программирования и вычислительной техники, проектирования и эксплуатации автоматизированных информационных систем Нарушитель обладает достаточными знаниями для сбора информации, применения известных эксплоитов и написания собственного программного обеспечения для осуществления атаки
Без непосредственного доступа на территорию объекта (внешний нарушитель).
Нарушитель действует удалённо, через Интернет.
Нарушитель не является авторизованным пользователем информационной системы банка С территории объекта (внутренний нарушитель).
Нарушитель действует удалённо по отношению к атакуемым компонентам системы, но внутри защитного периметра.
Нарушитель является авторизованным пользователем информационной системы банка Анализ защищенности информационных ресурсов
Перед началом работ по проведению теста на проникновения был составлен примерный профиль информационной системы – приблизительное описание корпоративных сервисов, предоставляемых информационной системой сотрудникам и пользователям глобальной сети Интернет.
Такая предварительная оценка позволяет сразу же выделить основные направления, подлежащие анализу в первую очередь.
Было сделано предположение, что типовые корпоративные сервисы данной информационной системы – это сис электронной почты, корпоративный сайт или портал, сис доступа удаленных клиентов, а также служебные подсистемы – например, службы DNS, NTP и – ключевой компонент – подсис средств защиты.
Пассивный сбор сведений
Пассивный сбор сведений об информационной системе проводился при помощи общедоступных сетевых сервисов – службы DNS, службы WHOIS, а также программ traceroute, tracepath и т.п., web-интерфейс к которым предоставляют многие сайты (таким образом, IP-адрес потенциального нарушителя остается неизвестным для атакуемой системы).
Утилита host позволяет получить перечень всех доменных имен исследуемой зоны alemneftegaz.ru:
sms% host –l -t any alemneftegaz.ru
alemneftegaz.ru name server ns1.alemneftegaz.ru.
alemneftegaz.ru name server ns2.alemneftegaz.ru.
alemneftegaz.ru has address 168.192.200.11
alemneftegaz.ru mail is handled by 10 mail.alemneftegaz.ru.
alemneftegaz.ru mail is handled by 20 mold.alemneftegaz.ru.
alemneftegaz.ru has SOA record ns1.alemneftegaz.ru. root.alemneftegaz.ru.
2005073101 1800 900 2592000 900
mail.alemneftegaz.ru is an alias for ns2.alemneftegaz.ru.
www.alemneftegaz.ru is an alias for ns1.alemneftegaz.ru.
telcom-gw.alemneftegaz.ru has address 168.192.200.1
gate.alemneftegaz.ru has address 168.192.200.10
ns1.alemneftegaz.ru has address 168.192.200.11
ns2.alemneftegaz.ru has address 168.192.200.12
realsecure.alemneftegaz.ru has address 168.192.200.13
mold.alemneftegaz.ru has address 168.192.200.14
Анализ доменных имен хостов, находящихся в зоне alemneftegaz.ru, позволяет сделать предположение о функциональном назначении хостов, имеющих записи в базе DNS. Таким образом, не проводя активного сканирования всех портов для каждого из исследуемых хостов, существует возможность получить сведения об информационной системе.
Информация, полученная при помощи программ traceroute и tracepath, позволяет составить примерную карту сети и сделать предположения об установленных межсетевых экранах и правилах фильтрации сетевого трафика.
При отправке пакетов UDP:
15 168.192.200.1 134.135 ms 136.745 ms 117.957 ms
При отправке пакетов ICMP:
15 168.192.200.1 134.135 ms 136.745 ms 117.957 ms
16 168.192.200.4 112.163 ms 117.184 ms 125.641 ms
17 168.192.200.11 134.106 ms 134.150 ms 135.251 ms
Предположительно, не обнаруженный в базе DNS хост 168.192.200.4 является маршрутизатором, который контролирует демилитаризованную зону.
Активный сбор сведений
Во время активного сбора информации было проведено сканирование хостов всего диапазона при помощи программы nmap.
Для снижения риска обнаружения нарушителей средствами предположительно установленной в исследуемой подсети ISS Real Secure сканирование проводилось в течение длительного времени, с большими интервалами между сканированием отдельных портов.
Были определены версии программного обеспечения сетевых служб на исследованных хостах.
Проведенное сканирование показало корректность исходных предположений о профиле информационной системы.
После этого была выполнена проверка достоверности полученной информации.
С большой долей уверенности можно было утверждать, что сокрытие или изменение версий программного обеспечения сетевых служб администраторами информационной системы не проводилось.
Анализ уязвимостей сетевых служб
Поиск уязвимостей в программном обеспечении сетевых служб не дал
положительных результатов, были предприняты лишь контрольные запуски эксплоитов на службы SMTP и WWW для проверки чувствительности сенсора ISS и возможного блокирования IP-адреса, с которого производился запуск эксплоита, средствами маршрутизатора или межсетевого экрана.
Подсис защиты никак не отреагировала на активные попытки атаки, адрес нарушителя заблокирован не был.
Запуск реверсивной троянской программы
Следующим этапом выполнения теста на проникновение являлась рассылка троянской программы пользователям информационной системы согласно согласованному перечню адресов электронной почты.
Необходимо отметить, что при помощи популярных поисковых систем (www.yandex.ru, www.google.com) потенциальный нарушитель может получить адреса электронной почты сотрудников, которые по тем или иным причинам оказались опубликованы в сети Интернет, и использовать эту информацию для более эффективной атаки при помощи троянской программы.
Была использована троянская программа, позволяющая в случае ее запуска на компьютере пользователя получить удаленный (через Интернет) доступ к ресурсам данного компьютера и корпоративной сети с правами пользователя, запустившего программу.
Троянская программа является реверсивной – то есть, самостоятельно инициирующей запросы к своему управляющему серверу (установленному в сети атакующего), который сообщает ей последовательность команд для выполнения на компьютере пользователя, а в ответ получает результат выполнения этих команд.
Это позволяет использовать троянскую программу в сетях с трансляцией сетевых адресов (NAT).
Троянская программа обходит распространенные средства защиты в типовой конфигурации, используемые в корпоративных сетях – персональные межсетевые экраны, системы обнаружения вторжений, прокси-серверы с авторизацией доступа и т.п.
Троянская программа была разослана пользователям в виде сжатого в ZIP-архив и прикрепленного к письму исполняемого файла.
Письмо было якобы отправлено одним сотрудником другому и содержало предложение запустить трехмерную версию компьютерной игры Тетрис.
Замаскированную таким образом троянскую программу в течение двух рабочих дней после рассылки запустили 8 из 20 пользователей, чьи адреса электронной почты удалось получить.
Одна из рабочих станций (адрес 10.100.3.64, маска подсети 255.255.254.0), которая, судя по времени работы (uptime), не выключалась по окончании рабочего дня, была выбрана в качестве исходной точки для организации атаки.
Далее троянская программа загрузила со своего управляющего сервера код эксплоита для службы RPC (для ОС Windows 2000 и Windows XP) и провела атаку на контроллер домена (адрес 10.100.1.10, маска подсети 255.255.254.0), в котором находилась данная рабочая станция, а также другие серверы и рабочие станции, перечень которых был получен с контроллера домена.
Контроллер домена оказался уязвим к данной атаке, вследствие чего был получен полный административный доступ к командной строке контроллера домена.
Чтобы зафиксировать факт проникновения, троянская программа получила команду создать в домене пользователя dsadmin с привилегиями администратора домена.
Далее при помощи программы pwdump, загруженной троянской программой на рабочую станцию, с которой проводилась атака, была получена база паролей пользователей домена (более 1200 учетных записей).
Уязвимыми к данной атаке оказались также сервер, на котором была развернута СУБД Oracle (адрес 10.100.1.13), сервер доступа RAS (адрес 10.100.1.17), резервный контроллер домена (адрес 10.100.1.11), файловый сервер (адрес 10.100.1.15), а также более 60 рабочих станций.
По приблизительным оценкам (на основе информации, полученной с контроллера домена), в информационной системе Заказчика 12 серверов и не менее 400 рабочих станций.
Как правило, столь значительное количество уязвимых хостов говорит об отсутствии сервера обновлений Windows Update, который должен быть развернут в информационной системе.
Далее была предпринята попытка использовать скомпрометированные пароли администраторов информационной системы для доступа к коммутаторам Cisco, на которых была собрана локальная вычислительная сеть информационной системы Заказчика.
Комбинация логина cisco и пароля supercap1967 (от одной из административных учетных записей) позволила получить доступ уровня 15 (максимально возможный) к консоли управления каждого из 6 коммутаторов сети.
1. проверка на sql уязвимость Внешний периметр информационной системы Заказчика защищен достаточно надежно: регулярно выполняется установка обновлений программного обеспечения сетевых служб, конфигурация служб соответствует требованиям информационной безопасности.
Тем не менее, сетевые службы предоставляют потенциальному нарушителю достоверную служебную информацию, что может быть использовано при организации атак на внешний периметр.
2. Сис обнаружения вторжений установлена в конфигурации по умолчанию, её настройка неэффективна и не обеспечивает адекватный уровень реакции на явно выраженную сетевую активность нарушителя.
3. проверка на взлом Общая архитектура информационной системы Заказчика, конкретные технические решения по обеспечению информационной безопасности и низкая квалификация пользователей информационной системы не обеспечивают требуемый уровень защиты, что позволило специалистам компании Digital Security осуществить успешный запуск троянской программы.
4. Уровень защищенности серверов и рабочих станций информационной системы Заказчика – низкий.
Отдельно необходимо отметить низкий уровень защиты критически важных серверов: контроллера домена и сервера СУБД, в которой хранится важная для бизнеса информация.
5. Анализ скомпрометированной базы паролей пользователей показал низкую стойкость паролей как обычных пользователей, так и администраторов системы.
1. Включить скрытие служебной информации, предоставляемой сетевыми службами пользователям.
2. Выполнить тонкую настройку системы обнаружения вторжений.
3. Развернуть в информационной системе сервер обновлений Windows Update, включить автоматическое обновление на всех серверах и рабочих станциях.
4. Развернуть в информационной системе сетевую систему обнаружения вторжений, которая позволила бы протоколировать подозрительную сетевую активность и оперативно реагировать на подобные инциденты.
5. поиск уязвимостей на сайте Разработать парольную политику, включающую в себя требования по стойкости паролей, правила хранения и периодической замены ключевых фраз.
Недопустимо использование единого пароля для администрирования всех ресурсов информационной системы.
К паролям административных учетных записей должны предъявляться особые требования по стойкости.
6. Разработать и реализовать на практике программу обучения пользователей вопросам информационной безопасности.

Похожие статьи Pentest

  • Методика тестирования на проникновение

    Обеспечение информационной безопасности любого предприятия является процессом, который не может прийти в некое конечное состояние. проверка сайта на...

  • Тестирование на проникновение

    Тест на проникновение представляет собой моделирование (на основе согласованной с заказчиком модели) действий хакера, намеренного проникнуть в...

  • Тесты на проникновение

    Результатом работы будет являться отчет, содержащий: Логическим продолжением теста на проникновение могут являться работы: Результатом работы будет...

  • Тестирование на проникновение (pentest)

    С каждым днём риски, связанные с информационной безопасностью , растут. безопасность www серверов Злоумышленники, конкуренты, да и просто скучающие...

  • Тестирование на проникновение: что это? Для чего? Как

    Тестирование на проникновение: что это? Для чего? Как? Тестирование на проникновение является популярной услугой среди компаний по тестированию, так как...