pentest

Лабораторная работа №6. Моделирование Kill-chain процедур

Небольшая оговорочка

UPD. К сожалению, видео обрезалось немного некорректно, поэтому тайминг в некоторых этапах может не совпадать.

Среда testing

Уязвимость: CVE-2023-26154 (WiFi Mouse RCE) Атакующая система: Kali Linux (IP: 172.16.250.1) Целевая система: Windows 10 (IP: 172.16.250.128) Уязвимое ПО: WiFi Mouse Server 1.7.8.5 C2-фреймворк: Adaptix Framework

В качестве фреймворка С2 мой выбор пал на Adaptix. Вот инструкция для установки https://adaptix-framework.gitbook.io/adaptix-framework/adaptix-c2/getting-starting/installation

В случае необходимости пошаговых инструкций мне помогло следующее видео: https://www.youtube.com/watch?v=1dinvGrCaIg

В качестве уязвимости я выбрал CVE-2022-3218 WiFi Mouse 1.7.8.5 - Это приложение для использования смартфона или планшета в качестве беспроводной мыши, клавиатуры и трекпада для компьютера по локальной сети. Уязвимость в приложении позволяет злоумышленнику удалённо выполнять произвольные команды в целевой системе. https://www.exploit-db.com/exploits/50972

Модель Kill Chain

Kill Chain (Цепочка уничтожения) — это модель, описывающая этапы целевой кибератаки от начальной разведки до достижения финальных целей. Модель помогает структурировать атаку и, что более важно, выстроить эффективную оборону, разрывая цепочку на любом из этапов.

7 этапов классической Cyber Kill Chain (Lockheed Martin):

• Reconnaissance - Разведка

• Weaponization - Создание инструмента атаки

• Delivery - Доставка

• Exploitation - Эксплуатация уязвимости

• Installation - Установка постоянного доступа

• Command & Control (C2) - Установка канала управления

• Actions on Objectives - Действия по достижению целей

Подготовка стенда

В качестве атакуемой машины - Windows 10. Чтоб среда была изолирована в настройках vmware выбираю режим сетевого адаптера - кастомный влан. Также пришлось попотеть, чтоб выключить весь арсенал антивирусной защиты виндовс.

На машине жертвы устанавливаю уязвимое приложение и запускаю его.

Прикреплю свои сетевые настройки кали

Этап 1: Разведка (Reconnaissance)

Стандартный этап, с которого начинается любой пентест.

Т.к. это наша тестовая среда мы не будем использовать подход черного ящика, достаточно убедиться, что порт на машине жертвы открыт.

Контрмеры: Маскировка сетевой информации Мониторинг сканирующего трафика

Я сразу буду на каждом этапе добавлять контрмеры

Этап 2: Создание оружия (Weaponization)

Изобретать велосипед не надо - нужно просто уметь правильно искать информацию. Нынче это один из самых ценных навыков. Обратимся к https://www.exploit-db.com/exploits/50972 и возьмем данный скрипт для нашего пентеста. Его я модифицировал. Очень часто приходится переделывать код под свои задачи, так что знание языка - будет огромным плюсом. Не всегда чатгпт тебе сможет помочь

Создадим наш payload:

part2.split-video.com.1.mp4

Подготовим наш фреймворк:

part3.split-video.com.mp4

Запустим слушатель и создадим нагрузку:

part4.split-video.com.mp4

Этап 3: Доставка (Delivery)

На кали поднимем питон сервер на порту 8080. Запустим эксплойт. Заставим жертву обратится к нашему веб серверу и скачать win123.exe

Контрмеры: Антиспам-фильтры Обучение пользователей Веб-фильтры

Этап 4: Эксплуатация (Exploitation)

Цель: Использование уязвимости для выполнения кода

part5.split-video.com.mp4

Контрмеры: Своевременное обновление ПО Защита от эксплойтов (EMET)

Этап 5: Установка (Installation)

Контрмеры: EDR-системы, whitelisting приложений

Этап 6: Командование и управление (C2)

Получение обратного соединения от winshell.exe с помощью какого-то бекона. Нет, не мясо. Возможно появятся вопросы насчет терминологии. Beacon - это наш цифровой шпион внутри вражеской системы.

Что делает этот "шпион":

• Прячется - старается быть незаметным для антивирусов
• Слушает - ждёт ваших команд из штаб-квартиры
• Выполняет - делает то, что вы приказываете
• Докладывает - отправляет вам результаты
• Живёт - поддерживает связь, чтобы вы знали, что он ещё активен

Почему он называется "Beacon" (Маяк)?

• Потому что он как маяк в тумане:
• Периодически "мигает" - отправляет сигнал "я здесь!"
• Показывает нам путь к цели
• Помогает не потерять связь с захваченной системой

Контрмеры: Межсетевые экраны с фильтрацией исходящего трафика Анализ DNS-запросов Системы обнаружения аномалий

Этап 7: Действия по достижению цели - выполнение финальной задачи атаки

Цель: Выполнение финальной задачи атаки

part6.split-video.com.mp4

Получение доступа к командной строке цели. Посмотрим, что хранится на рабочем столе Олега. Хм... Как видим, здесь файл с паролем.

Контрмеры: DLP системы, строгое разграничение доступа

PWND!

Ответы на контрольные вопросы

1. Определение модели Kill Chain Модель Kill Chain — это концепция, описывающая последовательные этапы кибератаки от начальной разведки до достижения конечных целей.

2. Разработчик классической модели Lockheed Martin разработала Cyber Kill Chain для описания и противодействия сложным целевым атакам.

3. 7 этапов классической модели Разведка

Создание оружия

Доставка

Эксплуатация

Установка

Командование и управление

Действия по достижению целей

4. Оборонительная идея модели Основная идея — "разрыв цепочки" атаки на любом этапе, что делает атаку невозможной или экономически невыгодной.

5. Этап отправки фишинга Отправка фишингового письма происходит на этапе Доставка (Delivery).

6. Этап C2 и его важность C2 критически важен, так как позволяет злоумышленнику удаленно управлять компрометированной системой и координировать дальнейшие действия.

7. Контрмера на этапе Доставка Обучение пользователей, антиспам-фильтры, веб-фильтрация, блокировка опасных вложений.

8. Сценарий ransomware атаки Разведка: поиск уязвимых систем

Создание оружия: генерация шифровальщика

Доставка: фишинг или эксплуатация уязвимостей

Эксплуатация: выполнение кода

Установка: закрепление в системе

C2: получение ключей шифрования

Действия: шифрование файлов и требование выкупа

9. Эффективность обороны на этапах Доставка и Эксплуатация Эти этапы наиболее эффективны для обороны, так как атакующий должен взаимодействовать с защитными механизмами, оставляя следы.

10. Ограничения классической модели Линейность, ориентация на внешние угрозы, слабое освещение латерального движения.

11. Использование при расследовании инцидентов Kill Chain помогает реконструировать атаку, определить точки компрометации и разработать план реагирования.

12. Разница между Эксплуатацией и Установкой Эксплуатация — использование уязвимости для выполнения кода. Установка — закрепление доступа в системе.

13. Сравнение Разведки в Kill Chain и MITRE ATT&CK Общее: сбор информации о цели. Различие: В ATT&CK тактика "Reconnaissance" детализирована конкретными техниками.

14. Связь Defense in Depth с Kill Chain Каждый эшелон защиты в Defense in Depth соответствует определенным этапам Kill Chain, создавая многоуровневую оборону.

15. Проблема инсайдерских угроз Инсайдер может пропустить этапы Доставки и Эксплуатации, имея легальный доступ, что нарушает линейность классической модели.