Dodatkowe zasoby wymagane do wykorzystania techniki ataku mogą obejmować dowolne elementy zasobów przechowywane w obiekcie zasobów osoby atakującej, takie jak poziom dostępu początkowego. Wszystkie techniki ataku wymagają przynajmniej kilku dodatkowych zasobów. Na przykład zawsze wymagany jest początkowy poziom dostępu. Niezależnie od tego, czy początkowym poziomem dostępu jest dostęp do serwera WWW przez Internet, czy fizyczny dostęp do urządzenia w centrum danych, zasób ten zawsze ma znaczenie.
Poziom dystrybucji techniki ataku
Poziom dystrybucji techniki ataku jest wskaźnikiem tego, jak dobrze znana jest technika ataku. Ocena poziomów dystrybucji techniki ataku ma często kluczowe znaczenie dla odpowiedzi na inne pytania związane z możliwościami, takie jak umieszczenie przeciwnika w „piramidzie ujawnienia” lub „łańcuchu pokarmowym przeciwnika”. W przypadku wielu ataków, w których używana jest znana technika, ocena poziomu dystrybucji tej techniki często nie jest trudniejsza niż wyszukiwanie w Internecie, ale pomiar poziomów dystrybucji wielu innych technik ataku często nie jest tak prosty. Ta zwiększona złożoność jest często spowodowana tym, że te techniki ataku są czymś w rodzaju czarnej sztuki – informacje o nich istnieją tylko w umysłach członków niepublicznych (lub „podziemnych”) społeczności. W takich przypadkach zwykła wiedza, że wykorzystana technika ataku nie jest publicznie znana, wystarczy, aby wspomnieć o umiejscowieniu przeciwnika w piramidzie ujawniania i przewidywanych możliwościach.
Wszelkie inhibitory ataku zredukowane poprzez użycie techniki ataku
Przeciwnik może użyć pewnych technik ataku z zamiarem zredukowania pewnych niekorzystnych parametrów, które często są związane z atakiem. Takie niekorzystne parametry często obejmują prawdopodobieństwo wykrycia, przypisania, a bardziej oczywiste – prawdopodobieństwo, że przeciwnik może nie osiągnąć celu. Przykładem wykorzystania techniki ataku w celu zmniejszenia prawdopodobieństwa atrybucji jest użycie przez przeciwnika tzw. Skanowania „odbijającego” podczas próby wyliczenia podatnych na ataki usług na hoście. Krótko mówiąc, skanowanie po odbiciu „wykorzysta” źle skonfigurowany system w Internecie, aby przeprowadzić skanowanie portów „za”, a tym samym zamaskować prawdziwy adres IP przeciwnika przed wszystkimi administratorami systemów, którzy mogli obserwować działania przeciwnika. Przykładem techniki, której adwersarze mogą użyć w celu zmniejszenia prawdopodobieństwa wykrycia danej próby (P (d) / A), jest użycie „zakodowanego” ładunku ataku lub kodu powłoki. opis działania exploita po pomyślnym przejęciu kontroli nad oprogramowaniem poprzez wykorzystanie luki w zabezpieczeniach. Ze względu na wariantowy charakter exploitów oprogramowania w ogóle, wykrycie ataku za pomocą semantyki samej luki jest często nietrywialne; dlatego często jest to ładunek exploita (lub sam kod powłoki), na którym IDS będzie polegał przy wykrywaniu takiego ataku. Poprzez zakodowanie kodu powłoki za pomocą techniki takiej jak XOR (bitowe wyłączne lub), atakujący jest w stanie zmniejszyć prawdopodobieństwo, że przynajmniej ładunek (a tym samym atak) spowodował wykrycie ataku przez IDS lub inną sieć artefakt bezpieczeństwa, zmniejszając w ten sposób postrzegane prawdopodobieństwo wykrycia danej próby.
Łatwość, z jaką technika ataku jest wdrażana
Łatwość, z jaką technika ataku jest wdrażana, należy brać pod uwagę tylko w przypadkach, w których poziom dystrybucji techniki ataku nie obejmuje domeny publicznej. Nie jest to miara tego, jak łatwo narzędzie ataku jest używane; raczej próbujemy zmierzyć, jak łatwo było atakującemu zaimplementować określoną technikę – czy to w formie własnego narzędzia, czy też poprzez użycie konwencjonalnych narzędzi ataku w kreatywny sposób. Sytuacja, w której byłoby to brane pod uwagę, miałaby miejsce, gdyby przeciwnik zaatakował komponent oprogramowania, wykorzystując znaną lukę w tym komponencie, ale wykorzystując nieznaną wcześniej technikę do ominięcia zapory ogniowej chroniącej wspomniany podatny składnik oprogramowania. Chociaż jest oczywiste, że oczekiwanie, że będziemy w stanie określić dokładny sposób, w jaki przeciwnik zaimplementował technikę ataku, nie jest praktyczne, dzięki dokładnej analizie wszystkich dostępnych danych dotyczących ataku możemy postulować sposoby, w jakie atak mógł zostać osiągnięty.
Wskaźniki oceny technik
Problemy związane z punktacją narzędzi ataku są dwojakie:
* W pierwszej kolejności należy umieć określić narzędzie, które jest używane.
* Należy być w stanie zdobyć to narzędzie, aby spełnić wymagania większości wskaźników oceny narzędzi.
W wielu przypadkach po incydentach wypełnienie tych dwóch warunków często nie jest łatwym zadaniem, w tym celu musimy przyjrzeć się posiadanym przez nas informacjom, takim jak dzienniki IDS, zrzuty pakietów z ataku i dane kryminalistyczne z zainfekowanych systemów. . Stawiamy hipotezę, że dzięki tym i innym danym ataków jesteśmy w stanie stworzyć ogólny interfejs oceniający ataki, oceniający nie narzędzia ataku używane do generowania danych ataków, które posiadamy, ale same technologie i metodologie zaimplementowane przez te narzędzia. Ze względu na zależność wyłącznie od dostępnych danych dotyczących ataku, nie musimy mieć żadnej wiedzy ani dostępu do narzędzi ataku wykorzystywanych w ataku. Zanim przyjrzymy się samym metrykom, zastanówmy się nad kilkoma różnicami między metodologiami ataku, które pozwalają nam w pierwszej kolejności stworzyć wspomniane metryki.
Powszechne rodzaje technik ataku
Aby lepiej zrozumieć niektóre sposoby identyfikowania różnicujących technik, przyjrzyjmy się niektórym z bardziej powszechnych technik ataku, identyfikując wspólne elementy wyróżniające ataki, które istnieją dla każdego z nich. Należy zauważyć, że celem podsumowania technik ataku nie jest dostarczenie rozstrzygającego spisu technik ataku używanych przez przeciwników, ale zamiast tego zilustrowanie różnic, które mogą istnieć między sposobami wykorzystania odpowiednich technik.
Techniki wyliczania usług sieciowych i luk w zabezpieczeniach
Techniki wyliczania usług sieciowych i luk w zabezpieczeniach są wykorzystywane przez cyberprzestępców we wczesnych fazach ataku, aby umożliwić im zidentyfikowanie słabych punktów systemu, które mogą wykorzystać w późniejszych fazach ataku. Narzędzia do skanowania portów omówione wcześniej w W tym rozdziale przedstawiono kilka technik ataku, z których niektóre stanowią część tej kategorii technik ataku. Ze względu na fakt, że wiele narzędzi do wyliczania usług sieciowych implementuje wiele technik, z których niektóre są bardziej efektywne niż inne, jesteśmy w stanie rozróżnić te techniki. Poniżej omówiono szczegółowo niektóre z bardziej powszechnych technik wyliczania usług sieciowych i luk w zabezpieczeniach.
Typowe czynniki różnicujące techniki
Gdy atak jest przeprowadzany w lekkomyślny sposób, faza wyliczania usług sieciowych i wyliczania podatności może być niezwykle hałaśliwym zdarzeniem – czymś, czego technicznie bystry przeciwnik będzie chciał uniknąć za wszelką cenę, biorąc pod uwagę, że może to oznaczać, że jego atak zostanie wykryty bardzo wczesny etap. W innych przypadkach, jeśli zaimplementowano nieprawidłowo, usługi sieciowe i techniki wyliczania podatności
może okazać się całkowicie nieskuteczne – rzucając wiele fałszywych alarmów i zmuszając oko nierozsądnego przeciwnika do uwierzenia w coś, co po prostu nie jest prawdą. Poniżej podsumowano niektóre semantyki przypisane do przeciwnika wykonującego wyliczenie usług sieciowych hosta docelowego lub wielu hostów.
Puk, puk
Wiele technik wyliczania usług sieciowych rozpoczyna się od wysłania „Czy tam jesteś?” komunikat, znany jako żądanie ping, do hosta docelowego w celu ustalenia, czy system jest dostępny pod określonym adresem. Chociaż takie wiadomości są często ignorowane przez zapory ogniowe chroniące cele lub same cele i są łatwo wykrywane przez systemy IDS, wielu mniej bystrych przeciwników nie zdaje sobie sprawy z tych faktów i nie podejmuje żadnych środków, aby zapobiec wysyłaniu wspomnianych żądań ping do celów. Rysunki 4.6–4.8 przedstawiają przykład prostego skanowania portów. Na rysunku 4.6, specjalnie zaprojektowane „Czy jesteś tam?” pakiet został wysłany, uruchamiając IDS z uruchomionym Snortem (patrz Rysunek 4.7) i nie udało się pobrać danych, których oczekiwał przeciwnik. czas pomyślnego odzyskania oczekiwanych danych i niepowodzenia w uruchomieniu IDS.
Jakkolwiek prosty może być ten przykład, wystarczy wykazać, że informacja jest tak subtelna, jak przeciwnik, który nie zastosuje technik tak prostych, jak niewysłanie „Czy jesteś tam?” żądania ping do ich hosta docelowego mogą służyć do oceny:
* Czy przeciwnik rozumie, że wiele docelowych hostów ignoruje żądania ping i że wybrane przez niego narzędzie nie będzie nawet próbowało wyliczyć usług sieciowych tych celów, które nie odpowiadają na żądania ping.
* Czy przeciwnik to rozumie, wysyłając pytanie „Czy tam jesteś?” żądanie ping zwiększa hałas generowany przez atak, a tym samym prawdopodobieństwo wykrycia danej próby
Wybierz port, dowolny port
„Szum” generowany przez techniki wyliczania usług sieciowych często wynika z procesu próby wielu połączeń z hostem docelowym w bardzo krótkim czasie – jest to coś, czego na ogół nie oczekuje się podczas codziennej pracy serwera i jest endemiczne dla próba wyliczenia usług sieciowych, dzięki czemu zdarzenie jest łatwe do zidentyfikowania przez urządzenie do wykrywania włamań. Przeciwnik zaznajomiony z tą zasadą może zmniejszyć „szum” generowany przez próbę wyliczenia usług sieciowych na dwa sposoby:
* Zapewniając, że próby połączenia są wykonywane przez dłuższy czas
* Próbując wyliczyć usługi na portach hostów, którymi przeciwnik jest „zainteresowany”
Techniki wyliczania systemu operacyjnego
Wcześniej w tym rozdziale zbadaliśmy niektóre właściwości narzędzi do wyliczania systemów operacyjnych. Podobnie jak w przypadku narzędzi do wyliczania usług sieciowych, takich jak skanery portów, narzędzia do wyliczania systemów operacyjnych mogą implementować różne techniki wykonywania podobnej pracy. Wiele takich technik ma przewagę nad innymi, jeśli chodzi o dokładność techniki i jej odpowiedni poziom tajności. Przedstawiamy dwie szerokie kategorie technik wyliczania OS, jak szczegółowo opisano w kolejnych sekcjach.
Wyliczanie systemu operacyjnego z naturalnym pokryciem
Techniki wyliczania OS z naturalną osłoną przyjmują pasywne, nieinwazyjne podejście do wykrywania systemu operacyjnego docelowego systemu. Działają w oparciu o to, że nie ma potrzeby żądania danych wymaganych do próby wyliczenia OS od hosta docelowego, a raczej po prostu „czeka ”, Aby wystarczająca ilość takich danych została wysłana drogą atakującego z hosta docelowego. W wielu sytuacjach nie jest to w pełni możliwe, ponieważ w normalnych okolicznościach hosty docelowe po prostu nie mają powodu, aby komunikować się z systemem komputerowym atakującego, dlatego przeciwnik musi znaleźć sposób, aby dać systemowi docelowemu powód do wysłania danych z powrotem do jego lub jej system. Jest to sposób, w jaki osoba atakująca wybiera pobranie wymaganych danych, które możemy wykryć i ocenić. Przykładem sposobu, w jaki przeciwnik może spowodować wysłanie wymaganych danych z powrotem do swojego systemu, jest sytuacja, w której docelowym hostem byłby publiczny serwer WWW obsługujący dużą komercyjną witrynę sieci Web. Proste żądanie sieci Web za pomocą zwykłej przeglądarki, takiej jak Internet Explorer lub Netscape spowodowałby wysłanie więcej niż wystarczającej ilości danych z powrotem do systemu przeciwnika, pozwalając przeciwnikowi na określenie systemu operacyjnego jego celu.
Niepasywna enumeracja OS
Mniej ukrytym sposobem na odzyskanie tych samych danych jest nawiązanie przez przeciwnika nieautoryzowanego połączenia z usługą FTP (File Transfer Protocol) w systemie docelowym. Chociaż rzeczywiście spowodowałoby to odesłanie wymaganych danych do systemu przeciwnika, ponieważ nie ma powodu, aby przeciwnik łączył się z usługą FTP w miejscu docelowym, jest znacznie bardziej prawdopodobne, że próba zostanie wykryta.
Technika różnicująca
Kluczem do oceny wykrytych prób wyliczenia systemu operacyjnego jest zbadanie sposobów, w jakie przeciwnik odzyskał dane wymagane do wykonania wyliczenia. W przypadkach, gdy podjęto hałaśliwą próbę – na przykład wiele połączeń z usługami sieciowymi na hoście docelowym – możemy dokonać jednej z dwóch dedukcji:
* Przeciwnik zaniedbał techniki wdrożone przez narzędzie systemu operacyjnego, z którego korzystał, co może wskazywać na przeciwnika z niewielką wiedzą techniczną.
* Chociaż rozumiał, że próba podniesie jego prawdopodobieństwo wykrycia, preferencja przeciwnika względem domniemanego prawdopodobieństwa wykrycia jest taka, że nie wierzy, że próba zakończy się jakąkolwiek atrybucją