Подготовка отчета по ИБ

Концепция серверов и виртуалок

Компании постоянно подвергаются атакам. С каждым годом DDoS-атаки усиливаются, а вектора атак становятся все более изощренные. Например, возможна атака вашей компании через подрядчика, особенно во время праздников. Можно сказать, что в этом случае подрядчик несет юридическую ответственность. Но что такое киберинцидент де-юро? Есть ли описание понятия киберинцидента в договоре? И даже если и есть, вот подрядчик под DDoS атакой и у него лег сайтик, в этом случае нам, как заказчику, это вообще важно? Скорее всего нет. В мире инфобеза все всегда очень взаимосвязано, поэтому давайте поговорим о базовых методах защиты и проверки инфраструктуры компании, чтобы избежать взломов и юридических последствий.

Итак, умные дяди провели сайзинг железа, закупили серверов и теперь в вашей организации есть набор устройств. На них стоит хостовая операционная система. Это та OS, которая стоит непосредственно на железе: установили на комп Windows или Astra, и на этой системе работает железо. В противовес, существует гостевая операционная система как виртуальная машина. Также есть VMM.

Виртуализация: на компе стоит Ubuntu, у компа есть клавиатура, мышь, жесткий диск с OS, много прочих микросхемок. OS общается с железом через драйвер под Ubuntu, который переводит команды с языка OS на язык железа. Из функций в нолики и единички. Мышки от разных производителей могут иметь разные синтаксисы, и поэтому у всех устройств свои драйверы. И если работают разные OS через виртуализацию, им тоже надо как-то получать доступ к железу. Вот для этого и используется гипервизор. Многие компании используют виртуализацию и виртуалку как основную рабочую систему, и это хорошая практика в точки зрения ИБ. Примеры популярных гипервизоров QEMU и Bochs. Тут важно знать, что многие злоумышленники пишут свое ПО с проверками, запущен ли вредонос в виртуалке или в реальной системе. Очередная гонка вооружений.

OS делает много запросов к оборудованию, и некоторые запросы требуют особых привилегий для исполнения. Архитектура x86 использует 0-3 уровни привилегий, где 0 самый крутой уровень. Но в мире безопасности мы часто упрощаем до двух уровней: 0 как уровень ядра и 3 как уровень пользователя.

Паравиртуализация это техника виртуализации, которая позволяет гостевой OS понять, что она живет в виртуальной машине и есть специальный интерфейс для обращения к хостовой OS за системными функциями. Гостевая система знает, что она без уровня доступа 0 и ведет себя соответствующе. Примеры — XEN, UML. Но для паравиртуализации надо переписывать OS, не все вендоры на это готовы. Windows 8 это поддержало, но у MS есть ресурсы для таких доработок.

Аппаратная виртуализация это отход от концепции костылей на уровне софта на уровень костылей на уровне железа. Мримеры это Intel-VT, AMD-V. Меняется архитектура процессора для прямого доступа из гостевых OS.

Очень популярный формат работы через гипервизоры это автономные гипервизоры, работают на голом железе и не требуют никаких прослоек, гипервизор сам по себе OS. Если вы работали на удаленке, то вероятно сталкивались VDI, так вот это как раз оно самое. Высокая производительность и нельзя скомпрометировать прослойку, ведь ее попросту нету. Из минусов, урезанность OS. Реализация через Hyper-V для windows, VMware ESXI. Как альтернатива, это хостовые гипервизоры, выполняют роль посредника. Гипервизор KVM это отдельный процесс в системе. Как вы уже поняли, в любой крупной компании будет гипервизор с неким кол-вом машин, которые закреплены на вами. Внутри гипервизора живут виртуальные машины.

Виртуалки ≠ контейнеры. Контейнеризация и виртуализация решают разные задачи. Раньше виртуалки выполняли роль контейнеров, но контейнеры решают более ресурсоемкие задачи. Контейнер знает, что он контейнер, и не может получить доступ к другим контейнерам (но их можно подружить). Docker это самое популярное ПО для контейнеризации, он заточен на один контейнер = одно приложение, и соответствущий небольшой вес. Контейнер это обрезанная OS. И помним, что Docker про Linux, настраивать на нем винду можно, но больно. Еще одно отличие: виртуальная машина может работать и сотни дней, контейнеры живут до ближайшего обновления кода. Их легко убить и восстановить, в этом еще одно преимущество для безопасности. И виртуальная машина обычно в формате .iso, .vmdk, .vdi, контейнеры же это готовые образы или собираются по инструкции в конфигурации. Найти готовые образы под Docker можно тут. Когда у вас 1000 контейнеров, то уже нужно идти в оркестрацию (Kubernetes, Docker Swarm, Nomad).

Если же говорить про решения под малые организации и ИП, то вы по прежнему будете работать с сервером (VPS). VPS это выделенная под нас виртуалка. В случае аренды VPS, безопасность обеспечивает хостером, а вы получаете доступ по SSH (ключик и/или пароль). Об арендованном сервере частично заботится провайдер, и на ваш VPS будет установлен агент типа zabbix. Важно заранее уточнить у провайдера про доступ к портам, ведь нам может понадобиться порт под почту, 80-ый порт для получения сертификатов. Возможно арендовать и неуправляемый VPS, где вы сами решаете все проблемы с памятью, производительностью и т.п.

Итак, вы арендовали VPS и хотите его использовать как ловушку для злоумышленника. Для этого мы осознанно делаем наш сервис уязвимым. Злоумышленник попадает на фейковый сервер, радуется, выполняет команды, скачивает «secret documents.txt», а мы ведем аудит. Так мы можем узнать source IP. Предположим, что злоумышленник поставил своё ПО на наш сервер и началась коммуникация с ботнет сервером. Вот адрес ботнет сервера для нас будет IoC.

Скорее всего у вас будет SIEM, где syslog отправляет в SIEM логи с нормализацией и строится корреляция. Если нету денег на дорогой SIEM и мы по прежнему ИП, то нас вполне устроит и fail2ban. Он позволяет настраивать правила корреляции, например, если было 10 попыток входа с определенного адреса, то забанить этот адрес на n-времени. А создание простой ловушки с помощью PentBox выглядит так:

git clone https://github.com/technicaldada/pentbox
cd pentbox
tar -zxvf pentbox.tar.gz
cd pentbox-1.8
./pentbox.rb
2
3

Firewall

Firewall ограничивает сетевые подключения. Тот же cloudflare тоже играет роль Firewall и защищает от DDoS, или может быть в виде программно-аппаратного комплекса. Но его важно правильно настроить, ничто не работает из коробки. в Linux встроен netfilter (iptables). iptables это утилита для управления IP-пакетиками. Либо более новая nftables. Внутри есть несколько этапов фильтрации трафика:

• Prerouting для всех пакетов, которые прилетают на сетевой интерфейс.
• Input — правила применяются пакетом для самого хоста, или для локального процесса. input отвечает за входящий трафик к маршрутизатору, и чтобы запретить некий трафик через ваш маршрутизатор, то именно тут прописываем нежелательные адреса.
• Forward — правила, которые срабатывают, когда наш хост играет роль роутера. Грубо говоря, отвечает за трафик, проходящий через маршрутизатор.
• Output — хост сам сгенерировал пакеты и отправляет пакеты во вне. Это тот трафик, который генерируется маршрутизатором во вне.
• Postrouting — правила применяются к любые пакетам, которые долждны покинуть сетевой интерфейс. Это базовая цепочка.

Есть разные таблицы, таблица NAT перенаправляет пакеты и меняет адреса в поле назначения/отправителя. iptables -t nat -L,

iptables позволяет закрыть / хамаскировать неиспользуемые порты (Port knocking), разграничить доступ по IP, предотвратить утечку трафика или IP-адреса (killswitch).

Для работы iptables требуется root-доступ, повышаемся командой sudo -s. Командой iptables -L, что-то более практичное это команда iptables -A INPUT -p icmp --icmp-type echo-request -j DROP, и создадим вторую команду iptables -A INPUT -p tcp -j DROP. Получаем такие правила:

target     prot opt source               destination         
DROP       icmp --  anywhere             anywhere             icmp echo-request
DROP       tcp  --  anywhere             anywhere           

Очень популярно открыть определенный порт. Предположим, это порт 22. Тогда командой перекрываем трафик sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT.

Правила записаны, теперь когда пакет прилетает по цепочке input, и это icmp или tcp трафик, то пакеты будут дропаться без оповещения отправителя. Для блокировки некого порта, команда iptables -A INPUT -p tcp --dport 80 -j DROP. Послушать активные порты можно командой netstat -tulpn | grep LISTEN

И заблокировать доступ по домену: iptables -A OUTPUT -p tcp -d pfr.ru -j REJECT.

Маппинг Active Directory это процесс извлечения информации из среды Active Directory, включающий перечисление пользователей, разрешений и привилегий, групп, компьютеров и т. д. в качестве предварительного шага для обнаружения уязвимостей и путей атаки.

Разведка

Мы будем использовать Bloodhound для увеличения уровня привилегий. BloodHound это инструмент с открытым исходным кодом, разработанный harmj0y, CptJesus и _wald0, который использует теорию графов для выявления скрытых и часто непреднамеренных связей в среде Active Directory или Azure. В любом пентесте задействован Bloodhound, т.к. Active Directory уже более 25 лет и получение прав это основа любой атаки. Злоумышленники могут использовать BloodHound для легкого выявления очень сложных путей атак, которые иначе невозможно было бы быстро определить. Мы, как защитники, можем использовать BloodHound для выявления и устранения путей атак. Как «синие», так и «красные» команды используют BloodHound для более глубокого понимания отношений привилегий в среде Active Directory или Azure.

Bloodhound собирает данные из инфраструктуры AD с помощью исполняемого файла C# или сценария PowerShell. Пользователю не требуется никаких особых привилегий, кроме прав пользователя домена. Собранные данные помещаются в базу данных Neo4j (система управления базами данных на основе графов, используемая для иллюстрации сложных взаимосвязей в виде графов).

Затем с помощью специальных запросов можно определить возможные пути атаки в относительно удобном для просмотра интерфейсе. Граф помогает пользователю выявить множество взаимосвязей, таких как:

• Пользователи в определенных бизнес-группах с особыми привилегиями, превышающими требуемые для привилегированного объекта (пользователя/компьютера). Например, группа HR с привилегиями RDP на контроллере домена.
• Кратчайший путь к администратору домена с такими же привилегиями.
• Пользователи с повышенными привилегиями (за пределами пользователей в группе администраторов домена).

Исследование своей сети

Мы получили все официальные разрешения на тест инфраструктуры. Упражняться мы будем в Kali VM. Инструкция по установке BloodHound для поиска уязвимостей. Для начала обновление apt-источников:

echo "deb http://httpredir.debian.org/debian stretch-backports main" | sudo tee -a /etc/apt/sources.list.d/stretch-backports.list

Run apt-get update — sudo apt-get update. Теперь neo4j будет автоматически брать информацию из этого репозитория, когда ему потребуется установить Java в рамках процесса установки. И устанавливаем Neo4j.

wget -O - https://debian.neo4j.com/neotechnology.gpg.key | sudo apt-key add - 
 
sudo -i   
echo 'deb https://debian.neo4j.com stable 4.0' > /etc/apt/sources.list.d/neo4j.list
 
sudo apt-get update
sudo apt-get install neo4j -y

Запускаем и устанавливаем bloodhood:

cd /usr/bin
sudo ./neo4j console
sudo apt install bloodhound -y

В браузере переходим по адресу https://localhost:7474/

Доступ

Когда выбрано «слабое звено» в цепи AD, настало время для более точечного теста на проникновение. На этом этапе нужно обзавестись набором словарей. Для генерации словарей есть множество инструментов, например mentalist или bopscrk. Для создания персонального словаря попробуйте команду bopscrk -i. Для работы с ним рекомендуется заранее провести ресерч про человека, его интересны и личные данные. На основе этих данных будут сформирован персонализированный словарь, но помним про закон и не используем никакие личные данные людей.

Если мы в сети, то в консоли можно запустить nethogs, он читает трафик через libpcap и мапит на /proc. Если задача посмотреть, сколько трафика кушается в данный момент, то nethogs легкий и быстрый вариант. Как это выглядит:

sudo apt install nethogs
sudo nethogs eth0

Второй полезный инструмент iftop, который позволит посмотреть, какое приложение куда лезет. И понять, какие приложения являются нелегитимными.

sudo apt install iftop
sudo iftop -i eth0

Напомню, что всегда можно посмотреть репозиторий таких инструментов командой apt policy iftop. А если нам стало важно логировать сетевую активность для отчета по безопасности, то это можно с помощью Netstat, Burp, Wireshark. Firejail с флагом --trace, --tracelog, --debug. Из того-же Wireshark удобно сохранить .pcap, и закинуть его в zeek. Помним, что вся ваша работа бесполезна, если вы не донесли до бизнеса через отчеты/коммуникацию реальную ситуацию и опасность непринятия важных решений.

Для наблюдения в реальном времени можно использовать prometheus. Чтобы установить prometheus, в Docker кидаемся командой sudo docker run -d -p 9090:9090 prom/prometheus , и зайти на http://localhost:9090. Prometeus работает на :9090. Создайте любую джобу, например на мониторинг самого prometheus. Метрики будут крутиться по адресу http://localhost:9090/metrics

Увидели, что есть подозрительные активности на корпоративно сервере? Данные должны быть в бекапе. Самое главное, это хранить резервные копии всего. brbackup наше все. А важные файлы лучше удалить, пока их не забрал злоумышленник с скомпрометированного сервера. Linux может безопасно удалить файл, многие использую rm filename.txt, но команда shred -u -n 20 более надежная. Или быстрое решение для всей файловой системы это srm -v. Или shred -v -z -n 3 /dev/sda для полной перезаписи диска. Это полностью убивает OS. Из более экстремальных способов можно назвать ShredOS. Если вам нужно избавиться от списанного корпоративного оборудования безопасно, то ShredOS хороший выбор.

Кейс про работу с ИП: к вам в работу поступил публичный веб-сайт, надо его проанализировать. Можно посмотреть на DNS. Выяснить DNS легко командой dig +short mx example.site, ответ может выглядеть как 50 fb.mail.test.net. 50 в начале это приоритет, если бы был сервер с 10.fb.mail.test.net, то он был бы важнее. Далее, инструментом swaks --to target@example.com --from test@domain.com --server fb.mail.test.net --port 25 «пробуем» почту. Ответ будет типа в формате Service unavailable; Client host [x.x.x.x] blocked using pbl.spamhaus.org; Listed by PBL. Это означает, что IPшник находится в черном списке. Узнайте свой IP-адрес, на маке это делается командой ipconfig getifaddr en0. И прогоните по сервисам ниже в списке. Так вы узнаете, находится ли ваш IP в черном списке и если да, то это проблема для организации.

• virustotal.com
• ipvoid.com
• talosintelligence.com
• otx.alienvault.com
• projecthoneypot.org
• spamhaus.org
• ipqualityscore.com
• shodan.io
• greynoise.io
• fraudguard.io
• threatminer.org

Цепочки по соц. сетям можно строить инструментом SpiderFoot, его запускаете командой spiderfoot -l 127.0.0.1:5001, и далее вам откроется веб-интерфейс для сканирования. Это такой швейцарский нож. Вместе с CyberChef, это достаточно мощная связка для анализа.

Альтернатива это ZAProxy, сканер веб-приложений. Делаете скан, и далее Report > Generate report, и можно начинать исправления.

Либо SkipFish для быстрого сканирования. Whatweb также хорош, команда whatweb --user-agent "Mozilla/5.0" --max-threads 1 https://www.camn.ids/, и как результат мы увидим что-то вроде:

Дальнейшие шаги

Первые команды после получения доступа к серверу нужны для проверки роли/диска командами типа whoami или lsblk для информации о дисках, разделах, размерах и точке монтирования. Дополнительно, команды df -h для просмотра занятого дискового пространства,
fdisk -l для детальной информации по каждому диску/разделу. Это все команды Linux, без них никуда. В сети всегда есть Linux. Вот вы со своей Windows сидите в интернете, а роутер, который является и маршрутизатором, работает на Linux. Linux везде, почти все веб-сервера, маршрутизаторы, CI/CD процессы в Linux, виртуализация тоже на Linux. Потому что Linux бесплатен.

По файловой системе Linux (FHS), точка входа в файловую систему это /. Команда
ls -lah / выводит список файлов в каталоге в удобном и информативном формате. Регулярно заходим в мониторинг процессов Linux. Аналог диспетчера задач, открывается командой top. Особое внимание на systemd, он задает отношения между компонентами системы, назначает процессам всякие возможности и злоумышленники его ой как любят. И libcap.

Очень примитивный инструмент для ARP (Address Resolution Protocol) в сети netdiscover, позволяет найти активных хостов в локальной сети. При запуске, может быть сообщение, что сканирование завершено, но на самом деле оно в процессе. Могут быть найдены веб-сервера с портом 80 (HTTP) или 443 (HTTPS), или просто получим IP-адреса целей. Их можно просканировать на открытые порты через nmap. Нашли открытые порты — закрываем. Или делаем там ловушки по инструкции выше. Для сканирования больших подсетей, на которые уйдут месяцы, используем Masscan и RustScan. Искать 2000 порт, который обычно открыт. И тогда masscan -p 2000 —banners хорошо помогает.

А теперь отправим что-нибудь в мир. hping3 позволит вам нагенерировать много пакетов. Им можно тестировать сервер на защиту от DDoS. Базовая команда sudo hping3 -1 google.com, либо уже опасная команда sudo hping3 --flood -S -p 80 sitefor.test для тестирования на DDoS. Хотите узнать наличие фаервола? Команда sudo hping3 -A -p 80 8.8.8.8, выдаст вам тако поток digital-сознания:

len=46 ip=8.8.8.8 ttl=255 id=8333 sport=80 flags=R seq=0 win=0 rtt=7.6 ms
len=46 ip=8.8.8.8 ttl=255 id=8334 sport=80 flags=R seq=1 win=0 rtt=7.1 ms
len=46 ip=8.8.8.8 ttl=255 id=8335 sport=80 flags=R seq=2 win=0 rtt=7.0 ms

Тут важно flags=R, что говорит о том, что порт фильтруется.

Для тестов форм, недобросовестные умы используют sqlmap -u "http://example.com/wp-login.php" --forms --batch, позволит проверить формы на SQl-инъекции. Либо он ничего не найдет, либо предложит несколько точек для инъекции.

А теперь прокси. Mitmproxy, в котором есть режим работы через WG (wireguard). Вы поднимаете vpn-тунель, куда лезет весь трафик от всех приложений, и mitmproxy его слушает. Прокси как раз служит прослойкой между вами и запрашиваемым ресурсом, пряча IP-адрес. И не надо думать, что с помощью VPN вы дурачите провайдеров. У всех VPN есть определённый протокол, который можно выявить. Трафик идёт в пакетах, состав которых можно анализировать технологией DPI (Deep Package Inspection). Проверяется, какая информация в пакете, если состав пакета похож на пакет протокола OpenVPN или Wireguard, то дальнейшую его передачу можно заблокировать. Просто VPN это не инструмент для посещения запрещенных ресурсов, а для создания туннелей для удаленных офисов, корпоративных сетей.

Собрать статистику по использованию ресурсов можно командой mpstat -P ALL 1, а если надо унести с собой копию диска внутреннего злоумышленника для анализа, то guymager прекрасно справится.

И собрав всю информацию, приступаем к написанию Yara-правил. Для начала проверьте версию yara --version, создайте новое правило nano my_first_rule.yar и вставьте туда любое из правил, которые щедро публикуют вендоры. Например, тут, еще. Не все правила идеальны, слишком общие правила генерируют множество ложных срабатываний. После того, как правило скопировано в гитхаба, вы можете натравить его на файлик командой yara my_first_rule.yar '/home/kali/fakebat_test.ps1'. Если правило сработало, то вы получите следующий ответ:

Также, правила можно найти в отчетах, например, еще пример. Правила можно писать самостоятельно, есть документация. Помимо YARA-правил, существуют правила Sigma, Suricata. А далее автоматизация процесса с тысячами таких правил через velociraptor. Так мы организовываем защиту.

Binwalk позволяет достать из файла много информации, такой как узнать архитектуру, под какой контроллер написана прошивка, или узнать энтропию с помощью binwalk -E. В простом исполнении команда будет выглядеть так: binwalk '/home/kali/Punktracker-ModRep-2.5.6-XM.bin', но полноценный анализ требует вычитки документации.

Про мобайл. MASVS от OWASP про то, что тестировать, MASTG это одна из основных доков по анализу мобилок, описывает как тестировать. И банально проверка кода СМС должна проходить не на клиенте, контролируйте ваших разработчиков. Всегда можно обогатить отчет информацией из npm audit, хотя он выдает много false positive. Если у вас веб-разработка, то в папке node_modules всегда много уязвимостей. Команда npm audit fix --force помогает, но порой ломает костыли разработчиков и поэтому они не хотят фиксить уязвимости. Но еще лучше — dependabot. Детали по уязвимостям можно также подсмотреть на ossindex.sonatype.

Более современно это auditjs, и сверху Nexus как прослойка между NPM и проектом.

Настройка туннелирования

Есть много способов настроить корпоративный VPN и дать удобное юзабилити сотрудникам для их мобильного устройства, Wireguard один из них. Wireguard позволит настроить шифрованные туннели. Предположим, у вас уже арендован/настроен свой сервер у того же Касперского. Открываем консоль, в ней достаточно прописать команду ssh root@xxx.10.11.xxx , у вас должен быть либо пароль, либо приватный ключ для авторизации. Смотрим описания выше про VPS. Далее переходим к настройке.

Убеждаемся, что у вас установлен wireguard командой wg --version. Для wireguard, порт по умолчанию будет UDP 51820, потому что мы не хотим нарушать никакие законы и все делаем в рамках законодательства РФ.

Понадобятся публичный и приватный ключи для сервера и для устройств, т.к. используется симметричное шифрование. И также нужно создать файл конфигурации под именем wg0.conf. По шагам:

1. Перемещаемся в нужную папку командой cd /etc/wireguard
2. umask 077 для увеличения безопасности
3. wg genkey | tee /etc/wireguard/privatekey | wg pubkey | tee /etc/wireguard/publickey для генерации ключей, после выполнения команды появятся файлы privatekey и publickey.
4. Ручками сохраняем значение после команды cat /etc/wireguard/privatekey для вставки в wg0.conf.

Далее создаем и заполняем файлик wg0.conf. nano /etc/wireguard/wg0.conf. Файл создан, в свежесозданный wg0.conf вставляем следующий шаблон:

[Interface]
PrivateKey = <contents_of_privatekey>
Address = 10.8.0.1/24  # VPN subnet
ListenPort = 51820
PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

• wg-quick up wg0 для запуска интерфейса
• systemctl enable wg-quick@wg0 для запуска сервиса
• systemctl status wg-quick@wg0 для проверки
• понадобится делать перезапуск регулярно, поэтому вот две команды wg-quick down wg0 и systemctl start wg-quick@wg0 должны вбиваться в терминал на регулярной основе

Настройки для конечных устройств:

1. генерируем новые ключи для определенного устройства на Android wg genkey | tee /etc/wireguard/android_privatekey | wg pubkey | tee /etc/wireguard/android_publickey
2. возвращаемся к файлу конфигурации wg0.conf командой nano /etc/wireguard/wg0.conf, и добавляем
   

[Peer]
PublicKey = <ANDROID-СLIENT-PUBLIC-KEY>
AllowedIPs = 10.0.0.3/32

Создаем второй файлик командой nano /etc/wireguard/ios.conf, заполняем:

[Interface]
PrivateKey = <ANDROID_PRIVATE_KEY>
Address = 10.0.0.3/32
DNS = 8.8.8.8

[Peer]
PublicKey = <SERVER-PUBLICKEY>
Endpoint = <SERVER-IP>:51820
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 20

И создаем QR-код qrencode -t ansiutf8 < /etc/wireguard/ios.conf. Сканируем с телефона и готово, корпоративная сеть для вашей компании на минималках создана, по аналогии можно создать сеть на любом российском сервере.

Отчет

Если есть время использовать SysReptor, то хорошо. У них даже есть примеры отчетов. Иначе и Word пойдет.

Очень наглядно для CTO это нарисовать упрощенную схему сети. Для этого можно программно связать CMDB с Vsio, Netbox или другим инструментом. И число активов должно соответствовать с числом активов от сканеров, SIEM, NTA.