درخواست های ارتباط
جستجو
    لیست دوستان من
    صندوق پیام
    همه را دیدم
    • در حال دریافت لیست پیام ها
    صندوق پیام
    رویدادها
    همه را دیدم
    • در حال دریافت لیست رویدادها
    همه رویدادهای من
    اطلاعات مطلب
      مدرس/نویسنده
      محمد نصیری
      امتیاز: 802020
      رتبه:1
      364
      1646
      801
      10551
      محمد نصیری ، بنیانگذار TOSINSO ، کارشناس امنیت اطلاعات و ارتباطات و کشف جرائم رایانه ای ، هکر کلاه سفید ، تخصص در حوزه امنیت سیستم عامل و تست های نفوذسنجی ، لینوکس ، مجازی سازی ، سرویس های کاربردی سرور و ... سابقه همکاری در بیش از 40 سازمان دولتی ، خصوصی و نظامی در حوزه پروژه ، مشاوره و آموزش ، بیش از 10 هزار ساعت سابقه آموزشی در طی 12 سال فعالیت حرفه ای ... پروفایل کاربر ارسال پیام

      پنج گام بعد از انجام یک تست نفوذ موفق و ورود به سازمان هدف

      تاریخ 6 ماه قبل
      نظرات 0
      بازدیدها 164
      همانطور که بارها قبلا در سری مقالاتی که در توسینسو منتشر کرده ام و باز هم اعلام می کنم ، مهمترین و زمانگیرترین قسمت یک تست نفوذ مرحله شناسایی و برنامه ریزی برای حمله است ، همیشه گفته و می گویم که این قسمت از هک قانونمند بیشتر از 90 درصد ماجرا را تشکیل می دهد و کاملا مثل اطلاعاتی است که قبل از انجام یک جنگ توسط تیم شناسایی جمع آوری می شود تا بر اساس آن حمله را انجام بدهیم ، هر چقدر اطلاعاتمان بیشتر باشد حمله دقیقتر و موفقیت آمیزتر می شود ، اما فرض می کنیم که به بهترین شکل شناسایی هدف انجام شده است و ما آسیب پذیری ها در سازمان هدف را شناسایی کرده ایم و حالا نوبت به مراحل حمله و بعد از آن است که در اینجا این مراحل را برای شما تشریح می کنیم :

      I.انجام حملات و پیدا کردن دسترسی به سیستم


      انجام حملات و پیدا کردن دسترسی به سیستم در واقع نتیجه نهایی پروژه تست نفوذ سنجی خواهد بود. در این فاز اعضای تیم تست نفوذ سنجی می بایست با توجه به نتایج بدست آمده در خصوص نقاط ضعف شناسایی شده در مرحله قبل به سیستم حمله کرده و به سیستم عامل یا منابع شبکه دسترسی پیدا کنند. در این فاز تیم تست نفوذ می تواند از روشهای متعددی برای حمله استفاده نماید که از آن جمله می توان به حملات از نوع خارج کردن از سرویس ( Denial Of Service ) , حملات از نوع سر ریز بافر (Buffer Overflow ) و یا حملات از نوع حمله به نرم افزارهای کاربردی اشاره کرد. در این مرحله اعضای تیم تست نفوذ سنجی می توانند با وارد کردن کد های مخرب بصورت ویروس یا اسب های تروجان عملیات تخریبی متناسب با درخواست کارفرما را انجام دهند. نوع دیگری از مهمترین نوع حملات در این فاز حملات از نوع بالا بردن سطح دسترسی خواهد بود که تیم تست نفوذ سنجی با در اختیار داشتن کاربری با سطح دسترسی پایین و انجام عملیات Privilege Escalation دسترسی این کاربر را به منابع سیستم فراهم کرده و این امکان را با کاربر می دهد که بتواند فرمانهای خود را به خورد سیستم عامل هدف دهد. حملات بصورت کلی در این فاز به صورت زیر طبقه بندی می شوند :

      • حملات فعال : این نوع حمله شامل تحت تاثیر قرار دادن سیستم های حفاظتی و قرار دادن کد های مخرب در سیستم هدف و یا دزدی و دستکاری اطلاعات می باشد.اینگونه حملات ممکن است با استفاده از بیرونی ترین و اصلی ترین نقطه ارتباطی با شبکه داخلی انجام شده و اطلاعات در حال انتقال را تحت تاثیر خود قرار دهد. به عنوان مثال دریافت دسترسی به داخل سیستم از طریق قطع ارتباط بین کاربری که از بیرون قصد برقراری ارتباط با داخل شبکه را دارد و جایگزین کردن خود بجای آن یکی از انواع اینگونه حملات است . اینگونه حملات در بسیاری از موارد باعث افشای فایل های حاوی اطلاعات و یا حملات خارج از سرویس کردن و دستکاری اطلاعات می شود.

      • حملات غیر فعال : حملات غیر فعال شامل پایش ترافیک رمز نگاری نشده , تجزیه و تحلیل ترافیک و شکستن الگوریتم و رمز های ضعیف و یا ضبط اطلاعات احراز هویت می باشد.حملات غیر فعال نیز میتوانند باعث افشای اطلاعات بشوند با این تفاوت که این امر ممکن است از دید کاربر بصورت نامحسوس انجام شود.

      • حملات Close-In : اینگونه حملات معمولا از جانب افراد خاصی صورت می گیرد که به شبکه و سیستم ها و تجهیزات دسترسی نزدیکی داشته و با استفاده از این امکان می توانند اطلاعات را دستکاری , دریافت و یا از دسترسی به آنها جلوگیری کنند. اینگونه حملات می توانند از طریق فیزیکی توسط افراد غیر مجاز در اثر عدم وجود کنترل های فیزیکی دسترسی مناسب صورت پذیرند.

      • حملات کارمند های خودی : اینگونه حملات معمولا به دو صورت مخرب و بدون تخریب انجام می شوند . در انواع مخرب افراد اطلاعات را استراق سمع نموده و یا آنها را ربوده و یا تخریب می کنند. یکی از مهمترین اهداف اینگونه افراد سوء استفاده از اطلاعات موجود می باشد. عملیات بدون تخریب در اکثر موارد به دلیل بی توجهی افراد یا عدم داشتن دانش مناسب انجام می شود .

      • حملات توزیع شده :اینگونه حملات معمولا از طریف سازندگان نرم افزارها یا سخت افزارها انجام شده و به این روش می باشد که در کد نرم افزار یا شخت افزار خریداری شده توسط مشتری کد های مخربی قرار میدهند تا بتوانند از این طریق با اطلاعات سیستم هدف دسترسی مستمر داشته باشند.

      • شیوه های اثرگذاری محسوس(Deface) : برای ارائه گزارش از شیوه و صحت انجام موفقیت آمیز تست نفوذ سنجی نیاز به وجود دلایل مستند مبنی بر حمله شدن به سیستم می باشد . این دلایل می بایست بصورت مشهود قابل ملاحظه باشند که بتوان آنها را در قالب مستند به کارفرما تحویل داد. از مهمترین شیوه های اثر گذاری بر روی سیستم در این موارد می توان به روشهای معمول زیر اشاره نمود :

      1. اعمال تغییرات در صفحات زمینه یا صفحات وب
      2. ایجاد فایلهایی با محتوای خاص بر روی کامپیوتر های هدف
      3. گرفتن عکس از صفحه کاربر
      4. تصویر برداری از کلیه عملیات نفوذ
      5. اضافه نمودن توضیحات در پيكره بندي تجهيزات
      6. كپي فايل‌هاي سيستمی هدف
      7. این عملیات منحصر بفرد نبوده و با توجه به نیاز و درخواست کارفرما نوع اثر گذاری میتواند متفاوت باشد.

      شیوه ارائه گزارش


      پس از اتمام عملیات انجام حمله و اثرگذاری بر روی سیستم , مستدی مبنی بر مستند انجام حمله و دسترسی به سیستم می بایست توسط مجری تدوین و به کارفرما ارائه شود که سامل موارد زیر می باشد :

      1. گزارش حاصل از نتایج حملات فعال و روشهای انجام آن
      2. گزارش حاصل از نتایج حملات غیر فعال و روشهای انجام آن
      3. گزارش حاصل از نتایج حملات Close-In و روشهای انجام آن
      4. گزارش حاصل از نتایج حملات توزیع شده و روشهای انجام آن
      5. گزارش حاصل از اثر گذاری های انجام شده بر روی سیستم به همراه مدار و مستندات موجود
      6. گزارش ها می تواند بر اساس درخواست کارفرما تغییر یابند.

      II.استمرار و مدیریت در دسترسی


      هنگامی که هکر ( اعضای تیم تست نفوذ سنجی ) به شبکه و کامپیوترهای مورد نظر دسترسی پیدا کردند بدون شک به دنبال راهی می باشند که بتوانند مجددا به منابع سیستم در مراحل بعدی دسترسی داشته باشند. بنابراین به دنبال راهکارهایی برای مدیریت دسترسی و استمرار در آن می باشند . این امر به چندین روش امکان پذیر می باشد که بصورت پیش فرض ایجاد Root Kit ها و Backdoor ها از مهمترین آنها می باشد. تمامی این فاز می بایست بصورت مکتوب و در صورت درخواست کارفرما صورت پذیرد و در قالب مستند مدیریت دسترسی به کارفرما ارائه شود.

      III.حذف شواهد و مدارک


      یکی از مهمترین عوامل پی بردن به کیفیت و کارایی عملیات تست نفوذ سنجی از بین بردن آثار و مدارک و شواهد باقی مانده از انجام عملیات هک توسط تیم تست نفوذ سنجی می باشد که به این وسیله امکان تشخیص فعالیت های تخریبی انجام شده بر روی سیستم هدف را از بازرسین و مسولین فناوری اطلاعات سیستم هدف می گیرد. تمامی مدارک و شواهد موجود بر روی سیستم ابتدا می بایست بصورت مکتوب در اختیار کارفرا قرار گرفته و پس از تایید کارفرما عملیات حذف شواهد و مدارک انجام شود.

      IV.تجزیه و تحلیل نهایی و تهیه مستندات توصیه ها و گزارش ها


      در این فاز که فاز نهایی انجام عملیات تست نفوذ سنجی می باشد کلیه مستنداتی که تا کنون توسط تیم انجام تیت نفوذ سنجی تدوین شده است می بایت در قالب مستندی یکپارچه به کارفرما تحویل شود که شامل موارد زیر می باشد :

      1. مستند SOW
      2. مستند شناسایی سیستم ( System Reconnaissance )
      3. مستند پویش سیستم (System Scanning )
      4. مستند انجام حملات و دسترسی به سیستم ( Acquiring Access and Attack )
      5. مستند مدیریت و استمرار در دسترسی ( Maintaining Access )
      6. مستند حذف شواهد و مدارک
      7. مستند ارائه راهکار های تدافعی و پیشگیرانه متقابل در برابر کلیه حملات انجام شده

      نویسنده : محمد نصیری
      منبع : security.tosinso.com
      هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد

      برچسب ها
      مطالب مرتبط

      در حال دریافت اطلاعات

      نظرات
      هیچ نظری ارسال نشده است

        برای ارسال نظر ابتدا به سایت وارد شوید

        arrow