logo

TechCodeview

5 faz hakowania

W hakowaniu bezpieczeństwa informacji odnosi się do wykorzystywania luk w zabezpieczeniach systemu i naruszania jego bezpieczeństwa w celu uzyskania nieautoryzowanego dostępu lub kontroli. Organizacje zatrudniają etycznych hakerów, aby odtworzyć skutki cyberataku na ich systemy i sieci.

aktor chiranjeevi
5 faz hakowaniaFazy ​​​​etycznego hakowania

Celem tego symulowanego ataku jest odkrycie słabych punktów organizacji i zasugerowanie sposobów ich wzmocnienia. Oto pięć faz hackowania:

  1. Rekonesans
  2. Łów
  3. Uzyskiwanie dostępu
  4. Utrzymanie dostępu
  5. Usuwanie śladów

1. Rozpoznanie (faza odcisku śladów)

Rozpoznanie to pierwsza faza etycznego hakowania, znana również jako śledzenie śladów lub gromadzenie informacji. Jest to etap przygotowawczy, podczas którego hakerzy starają się zebrać jak najwięcej danych o celu przed rozpoczęciem faktycznego ataku. Podstawowym celem jest zrozumienie infrastruktury środowiska docelowego i potencjalnych słabych punktów, takich jak znalezienie rekordów DNS sieci docelowej w zakresie adresów IP itp.



rekonesans' loading='lazy' title=

Hakerzy zwykle zbierają informacje z trzech kategorii:

  • Sieć
  • Gospodarz
  • Osoby zaangażowane

W 2013 r Docelowa korporacja stała się ofiarą masowego naruszenia danych, które dotknęło ponad 40 milionów klientów. Hakerzy zaczęli od rekonesans zbieranie informacji od zewnętrznych dostawców firmy. Ustalili, że wykonawca instalacji HVAC ma zdalny dostęp do sieci Target. Korzystając ze źródeł publicznych, takich jak LinkedIn, i osób atakujących, które wyciekły z danych uwierzytelniających, stworzyli mapę tego, kto i w jaki sposób miał dostęp.

2. Skanowanie

Po uzyskaniu wstępnych szczegółów atakujący Cel przeszli do działania łów —identyfikacja działających systemów i wrażliwych usług w otwartych portach. Korzystanie z narzędzi takich jak Nmapa lub Nessus, wskazali punkt wejścia poprzez zdalne połączenie dostawcy.

łów' loading='lazy' title=

Zbierają dane techniczne, takie jak adresy IP, otwarte porty, na których działają usługi, hosty na żywo i luki w zabezpieczeniach. Pomaga etycznym hakerom mapować sieć, wykrywać działające maszyny, rozumieć topologię, identyfikować słabe punkty i planować symulowane ataki w celu testowania zabezpieczeń.

3. Uzyskiwanie dostępu

Po zebraniu i przeanalizowaniu danych z etapów rozpoznania i skanowania hakerzy podejmują próbę wykorzystania. W sprawie Target skradzione dane uwierzytelniające dostawcy zapewniły im przyczółek. Wykorzystali złośliwe oprogramowanie, aby dostać się do systemów punktów sprzedaży (POS) i zebrać dane kart.

zdobywanie_dostępu' loading='lazy' title=

Celem jest symulowanie tego, co prawdziwy atakujący może zrobić, korzystając z różnych technik wykorzystania, w tym:

  • Ataki wtryskowe (np. zewnętrzny podmiot XML typu SQL Injection)
  • Przepełnienie bufora do wstrzykiwania złośliwych ładunków
  • Przejmowanie sesji aby przejąć ważne sesje użytkownika
  • Łamanie haseł I odmowa usługi
  • Ataki typu „man-in-the-middle”. do przechwytywania komunikacji

w Włamanie do Sony Pictures (2014) napastnicy uzyskali dostęp poprzez kampanię phishingową skierowaną do pracowników, a następnie eskalowali uprawnienia w celu kontrolowania serwerów i wydobywania wrażliwych danych firmowych.

4. Utrzymywanie dostępu

Gdy hakerzy uzyskają dostęp do docelowego systemu, przedostają się do faza czwarta – Utrzymanie dostępu . Na tym etapie uwaga przesuwa się z włamania do systemu na pozostanie w nim niewykrytym tak długo, jak to możliwe. W przypadku Targetu zainstalowano złośliwe oprogramowanie (BlackPOS), które stale przechwytuje dane dotyczące płatności. Sytuacja ta pozostawała niezauważona przez tygodnie, a dane były przesyłane na serwery zewnętrzne.

utrzymanie_dostępu' loading='lazy' title=

Techniki takie jak instalowanie rootkitów lub backdoorów trojanów umożliwiają ciągłą kontrolę nawet po ponownym uruchomieniu systemu, zmianie hasła lub zastosowaniu innych środków ochronnych. Podczas tej fazy atakujący może również zwiększyć uprawnienia, utworzyć nowe konta administratora lub wykorzystać systemy zombie do przeprowadzenia dalszych włamań.

5. Zakrywanie śladów

Po osiągnięciu celów haker wchodzi w końcową fazę. W ten sposób usuwają oznaki wtargnięcia. W ramach ataku atakującego usunięto złośliwe oprogramowanie z zainfekowanych urządzeń po eksfiltracji danych w nadziei zatarcia śladów.

pokrycie_ścieżek' loading='lazy' title=

Proces obejmuje:

jak wykonać skrypt
  • Usuwanie plików dziennika rejestrujących zdarzenia włamań
  • Modyfikowanie lub uszkadzanie dzienników systemu i aplikacji
  • Odinstalowywanie skryptów lub narzędzi używanych podczas eksploatacji
  • Zmiana wartości rejestru w celu usunięcia zmian
  • Usuwanie folderów lub katalogów utworzonych podczas ataku
  • Usunięcie wszelkich śladów ataku lub obecności atakującego

W przypadku naruszenia Capital One (2019) osoba atakująca próbowała ukryć swoje dzienniki aktywności AWS, ale ostatecznie została wyśledzona za pomocą zapisów usług w chmurze.

Po ukończeniu tego kroku oznacza to, że etyczny haker pomyślnie uzyskał dostęp do wykorzystanych luk w systemie lub sieci i wyszedł bez wykrycia.

Po ukończeniu wszystkich pięciu faz haker etyczny przygotowuje kompleksowy raport zawierający szczegółowe informacje o wszystkich wykrytych lukach i przedstawia zalecenia dotyczące ich usunięcia, pomagając organizacji poprawić ogólny stan bezpieczeństwa.