Популярное
Свежее
Моя лента
Сообщения
Рейтинг
Курсы
Темы
Маркетинг
Деньги
Сервисы
Личный опыт
AI
Право
Крипто
Телеграм
Карьера
Образование
Показать все
vc.ru
О проекте
Правила
Реклама
Приложения
Абак-2000

Как бесфайловые нагрузки помогают в ИБ

Как бесфайловые нагрузки помогают в ИБ

Ведущий инженер отдела информационной безопасности системного интегратора «Абак-2000» Сергей Антонов рассказал о плюсах таких тестирований и о том, какие системы защиты помогут предотвратить кибератаки.

Использование бесфайловых полезных нагрузок (payload) для тестов на проникновение позволяет исследователям кибербезопасности не только эффективно моделировать угрозы и оценивать уровень защиты информационных систем, но и уровень подготовленности команды защиты заказчика к противодействию реальным угрозам. Бесфайловые полезные нагрузки обладают высокой дискретностью, что позволяет им скрывать свои действия от традиционных систем защиты.

Как создать shell-код

Создание shell-кода может быть выполнено несколькими способами, в том числе с использованием программирования или специализированных инструментов, таких как Metasploit или Cobalt Strike.

  • Программирование. Для создания собственных shell-кодов, следует знать API тестируемой системы, понимать что такое ран-тайм в приложениях и как от него избавиться, знать как минимум язык С/С++, основы работы с отладчиком и язык ассемблера для наиболее распространенных архитектур, таких как x86 и x64.
  • Использование Metasploit или CobaltStrike. С помощью Metasploit можно легко создавать и настраивать полезные нагрузки в пару консольных команд, т.к. этот инструмент имеет в себе набор полезных нагрузок для наиболее распространенных задач и набор средств обхода динамического и статического анализа файлов антивирусными средствами. CobaltStrike также имеет набор предустановленных полезных нагрузок и отличную визуализацию с модулем генерации отчетов обо всем процессе тестирования, но в начальной своей конфигурации не имеет средств для обхода антивирусного ПО. Оба эти инструмента могут сильно облегчить работу специалисту по тестированию безопасности, имеют возможность расширения функционала с помощью внешних модулей и поддержку скриптовых языков для автоматизации, но все же для 100%-ного обхода антивирусного ПО придется переписать имеющиеся шаблоны генерации полезных нагрузок и сами выходные файлы.

Плюсы использования бесфайловых полезных нагрузок

Использование бесфайловых полезных нагрузок при тестах на проникновение имеет ряд преимуществ:

1. Скрытность. Бесфайловые полезные нагрузки трудно обнаружить антивирусами и другими системами защиты, что делает их идеальными для эмуляции реальных атак.

2. Адаптивность. Их можно модифицировать в зависимости от целей тестирования, что позволяет управлять поведением полезной нагрузки и адаптировать ее к конкретной среде.

3. Эффективная проверка синих-команд. Они помогают эмулировать более сложные цепочки в пути компрометации инфраструктуры, там самым лучше подготовить команду защиты к реальным угрозам.

Как заметить и предотвратить атаку с использованием shell-кодов?

  • Защита от бесфайловых полезных нагрузок требует применения многоуровневого подхода:
  • Системы мониторинга и управления безопасностью (SIEM): SIEM-системы объединяют информации о событиях безопасности из различных источников, включая журналы серверов, сетевые устройства и системы безопасности. Они способны анализировать эти данные на предмет подозрительной активности, выявляя паттерны, которые могут сигнализировать о наличии бесфайловых полезных нагрузок. Применение таких систем позволяет быстро реагировать на инциденты и проводить расследования инцидентов безопасности.
  • Системы обнаружения аномалий (NAD): NAD-системы могут анализировать проходящий в сети трафик, выявлять аномалии, используя методы машинного обучения, путем зеркалирования трафика с портов маршрутизатора на систему класса NAD. Они способны распознавать отклонение от нормального поведения, что помогает обнаруживать потенциальную угрозу, связанную с использованием бесфайловых полезных нагрузок.
  • Песочницы (sandboxes): Использование песочниц позволяет безопасно изолировать и анализировать подозрительное ПО. Даже если бесфайловая полезная нагрузка попадает в систему, песочница позволит исследовать ее поведение в защищенном окружении, минимизируя риск нанесения вреда основной системе. Это дает возможность оценить, как вредоносное ПО взаимодействует с системами, что позволяет лучше понять и создать защитные меры.
  • Обнаружение и реагирование на угрозы для конечных точек (EDR): Использование EDR-средств позволяет осуществлять постоянный мониторинг активности на конечных устройствах и быстро реагировать на инциденты. EDR-системы позволяют отслеживать выполнения процессов, параметры сетевой активности и поведение файлов. Это помогает выявлять аномальные действия, такие как запуск shell-кода или установку нежелательного программного обеспечения. EDR также предоставляет более полную видимость угроз и позволяет автоматизировать реагирование на инциденты.
  • Обучение и осведомленность сотрудников: Обучение сотрудников основам кибербезопасности является ключевым элементом защиты. Регулярные тренинги, семинары и разборы результатов тестов на проникновение помогает повысить уровень осведомленности о потенциальных атаках, и укрепляет общую защитную культуру в организации.

Телефон: 8-800-301-2000

e-mail: office@abak2000.ru

Начать дискуссию