محمد نصیری
بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات

5 اقدام بعد از انجام تست نفوذ موفق و دسترسی پیدا کردن به هدف نفوذ

مراحل تست نفوذ بعد از هک کردن چیست؟ چه اقداماتی بعد از نفوذ باید انجام شود؟ همانطور که بارها قبلا در سری مقالاتی که در توسینسو منتشر کرده ام و باز هم اعلام می کنم ، مهمترین و زمانگیرترین قسمت یک تست نفوذ مرحله شناسایی و برنامه ریزی برای حمله است ، همیشه گفته و می گویم که این قسمت از هک قانونمند بیشتر از 90 درصد ماجرا را تشکیل می دهد و کاملا مثل اطلاعاتی است که قبل از انجام یک جنگ توسط تیم شناسایی جمع آوری می شود تا بر اساس آن حمله را انجام بدهیم ، هر چقدر اطلاعاتمان بیشتر باشد حمله دقیقتر و موفقیت آمیزتر می شود ، اما فرض می کنیم که به بهترین شکل شناسایی هدف انجام شده است و ما آسیب پذیری ها در سازمان هدف را شناسایی کرده ایم و حالا نوبت به مراحل حمله و بعد از آن است که در اینجا این مراحل را برای شما تشریح می کنیم :

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

I.انجام حملات و پیدا کردن دسترسی به سیستم

انجام حملات و پیدا کردن دسترسی به سیستم در واقع نتیجه نهایی پروژه تست نفوذ سنجی خواهد بود. در این فاز اعضای تیم تست نفوذ سنجی می بایست با توجه به نتایج بدست آمده در خصوص نقاط ضعف شناسایی شده در مرحله قبل به سیستم حمله کرده و به سیستم عامل یا منابع شبکه دسترسی پیدا کنند. در این فاز تیم تست نفوذ می تواند از روشهای متعددی برای حمله استفاده نماید که از آن جمله می توان به حملات از نوع خارج کردن از سرویس ( Denial Of Service ) , حملات از نوع سر ریز بافر (Buffer Overflow ) و یا حملات از نوع حمله به نرم افزارهای کاربردی اشاره کرد.

در این مرحله اعضای تیم تست نفوذ سنجی می توانند با وارد کردن کد های مخرب بصورت ویروس یا اسب های تروجان عملیات تخریبی متناسب با درخواست کارفرما را انجام دهند. نوع دیگری از مهمترین نوع حملات در این فاز حملات از نوع بالا بردن سطح دسترسی خواهد بود که تیم تست نفوذ سنجی با در اختیار داشتن کاربری با سطح دسترسی پایین و انجام عملیات Privilege Escalation دسترسی این کاربر را به منابع سیستم فراهم کرده و این امکان را با کاربر می دهد که بتواند فرمانهای خود را به خورد سیستم عامل هدف دهد. حملات بصورت کلی در این فاز به صورت زیر طبقه بندی می شوند :

  • حملات فعال : این نوع حمله شامل تحت تاثیر قرار دادن سیستم های حفاظتی و قرار دادن کد های مخرب در سیستم هدف و یا دزدی و دستکاری اطلاعات می باشد.اینگونه حملات ممکن است با استفاده از بیرونی ترین و اصلی ترین نقطه ارتباطی با شبکه داخلی انجام شده و اطلاعات در حال انتقال را تحت تاثیر خود قرار دهد. به عنوان مثال دریافت دسترسی به داخل سیستم از طریق قطع ارتباط بین کاربری که از بیرون قصد برقراری ارتباط با داخل شبکه را دارد و جایگزین کردن خود بجای آن یکی از انواع اینگونه حملات است . اینگونه حملات در بسیاری از موارد باعث افشای فایل های حاوی اطلاعات و یا حملات خارج از سرویس کردن و دستکاری اطلاعات می شود.
  • حملات غیر فعال : حملات غیر فعال شامل پایش ترافیک رمز نگاری نشده , تجزیه و تحلیل ترافیک و شکستن الگوریتم و رمز های ضعیف و یا ضبط اطلاعات احراز هویت می باشد.حملات غیر فعال نیز میتوانند باعث افشای اطلاعات بشوند با این تفاوت که این امر ممکن است از دید کاربر بصورت نامحسوس انجام شود.
  • حملات Close-In : اینگونه حملات معمولا از جانب افراد خاصی صورت می گیرد که به شبکه و سیستم ها و تجهیزات دسترسی نزدیکی داشته و با استفاده از این امکان می توانند اطلاعات را دستکاری , دریافت و یا از دسترسی به آنها جلوگیری کنند. اینگونه حملات می توانند از طریق فیزیکی توسط افراد غیر مجاز در اثر عدم وجود کنترل های فیزیکی دسترسی مناسب صورت پذیرند.
  • حملات کارمند های خودی : اینگونه حملات معمولا به دو صورت مخرب و بدون تخریب انجام می شوند . در انواع مخرب افراد اطلاعات را استراق سمع نموده و یا آنها را ربوده و یا تخریب می کنند. یکی از مهمترین اهداف اینگونه افراد سوء استفاده از اطلاعات موجود می باشد. عملیات بدون تخریب در اکثر موارد به دلیل بی توجهی افراد یا عدم داشتن دانش مناسب انجام می شود .
  • حملات توزیع شده :اینگونه حملات معمولا از طریف سازندگان نرم افزارها یا سخت افزارها انجام شده و به این روش می باشد که در کد نرم افزار یا شخت افزار خریداری شده توسط مشتری کد های مخربی قرار میدهند تا بتوانند از این طریق با اطلاعات سیستم هدف دسترسی مستمر داشته باشند.
  • شیوه های اثرگذاری محسوس(Deface) : برای ارائه گزارش از شیوه و صحت انجام موفقیت آمیز تست نفوذ سنجی نیاز به وجود دلایل مستند مبنی بر حمله شدن به سیستم می باشد . این دلایل می بایست بصورت مشهود قابل ملاحظه باشند که بتوان آنها را در قالب مستند به کارفرما تحویل داد. از مهمترین شیوه های اثر گذاری بر روی سیستم در این موارد می توان به روشهای معمول زیر اشاره نمود :
  1. اعمال تغییرات در صفحات زمینه یا صفحات وب
  2. ایجاد فایلهایی با محتوای خاص بر روی کامپیوتر های هدف
  3. گرفتن عکس از صفحه کاربر
  4. تصویر برداری از کلیه عملیات نفوذ
  5. اضافه نمودن توضیحات در پيكره بندي تجهيزات
  6. كپي فايل‌هاي سيستمی هدف
  7. این عملیات منحصر بفرد نبوده و با توجه به نیاز و درخواست کارفرما نوع اثر گذاری میتواند متفاوت باشد.

شیوه ارائه گزارش

پس از اتمام عملیات انجام حمله و اثرگذاری بر روی سیستم , مستدی مبنی بر مستند انجام حمله و دسترسی به سیستم می بایست توسط مجری تدوین و به کارفرما ارائه شود که سامل موارد زیر می باشد :

  1. گزارش حاصل از نتایج حملات فعال و روشهای انجام آن
  2. گزارش حاصل از نتایج حملات غیر فعال و روشهای انجام آن
  3. گزارش حاصل از نتایج حملات Close-In و روشهای انجام آن
  4. گزارش حاصل از نتایج حملات توزیع شده و روشهای انجام آن
  5. گزارش حاصل از اثر گذاری های انجام شده بر روی سیستم به همراه مدار و مستندات موجود
  6. گزارش ها می تواند بر اساس درخواست کارفرما تغییر یابند.

II.استمرار و مدیریت در دسترسی

هنگامی که هکر ( اعضای تیم تست نفوذ سنجی ) به شبکه و کامپیوترهای مورد نظر دسترسی پیدا کردند بدون شک به دنبال راهی می باشند که بتوانند مجددا به منابع سیستم در مراحل بعدی دسترسی داشته باشند. بنابراین به دنبال راهکارهایی برای مدیریت دسترسی و استمرار در آن می باشند . این امر به چندین روش امکان پذیر می باشد که بصورت پیش فرض ایجاد Root Kit ها و Backdoor ها از مهمترین آنها می باشد. تمامی این فاز می بایست بصورت مکتوب و در صورت درخواست کارفرما صورت پذیرد و در قالب مستند مدیریت دسترسی به کارفرما ارائه شود.

III.حذف شواهد و مدارک

یکی از مهمترین عوامل پی بردن به کیفیت و کارایی عملیات تست نفوذ سنجی از بین بردن آثار و مدارک و شواهد باقی مانده از انجام عملیات هک توسط تیم تست نفوذ سنجی می باشد که به این وسیله امکان تشخیص فعالیت های تخریبی انجام شده بر روی سیستم هدف را از بازرسین و مسولین فناوری اطلاعات سیستم هدف می گیرد. تمامی مدارک و شواهد موجود بر روی سیستم ابتدا می بایست بصورت مکتوب در اختیار کارفرا قرار گرفته و پس از تایید کارفرما عملیات حذف شواهد و مدارک انجام شود.

IV.تجزیه و تحلیل نهایی و تهیه مستندات توصیه ها و گزارش ها

در این فاز که فاز نهایی انجام عملیات تست نفوذ سنجی می باشد کلیه مستنداتی که تا کنون توسط تیم انجام تیت نفوذ سنجی تدوین شده است می بایت در قالب مستندی یکپارچه به کارفرما تحویل شود که شامل موارد زیر می باشد :

  1. مستند SOW
  2. مستند شناسایی سیستم ( System Reconnaissance )
  3. مستند پویش سیستم (System Scanning )
  4. مستند انجام حملات و دسترسی به سیستم ( Acquiring Access and Attack )
  5. مستند مدیریت و استمرار در دسترسی ( Maintaining Access )
  6. مستند حذف شواهد و مدارک
  7. مستند ارائه راهکار های تدافعی و پیشگیرانه متقابل در برابر کلیه حملات انجام شده

نویسنده : محمد نصیری

منبع : security.tosinso.com

هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد


محمد نصیری
محمد نصیری

بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات

محمد نصیری هستم ، هکر قانونمند و کارشناس امنیت سایبری ، سابقه همکاری با بیش از 50 سازمان دولتی ، خصوصی ، نظامی و انتظامی در قالب مشاور ، مدرس و مدیر پروژه ، مدرس دوره های تخصص شبکه ، امنیت ، هک و نفوذ ، در حال حاضر در ایران دیگه رسما فعالیتی غیر از مشاوره انجام نمیدم و مقیم کشور ترکیه هستم ، عاشق آموزش و تدریس هستم و به همین دلیل دوره های آموزشی که ضبط می کنم در دنیا بی نظیر هستند.

نظرات