E

vent Triggered Execution (T1546.005) to technika w ramach MITRE ATT&CK, która opisuje, w jaki sposób atakujący mogą ustanowić mechanizm persystencji w systemie poprzez wykonywanie złośliwego kodu lub poleceń za pomocą przechwyconych przerwań programowych służących do komunikacji między procesami nazywanych w systemach *nix – sygnałami. Przykładem tutaj może być program trap, który pozwala programom i powłokom określać polecenia, które zostaną wykonane po otrzymaniu sygnałów przerwania. Jego typowym zastosowaniem jest tworzenie solidnych i odpornych na różne niestabilności skryptów powłoki zapewniając ich poprawne zakończenie poprzez wykonywanie awaryjnych sekwencji poleceń lub funkcji. Najprostszym przykładem może być tutaj obsługa przerwań wygenerowanych przez klawisze klawiatury, takich jak ctrl+c i ctrl+d. Niestety atakujący może również użyć tego polecenia do wykonywania swojego kodu, gdy powłoka użytkownika / administratora napotka określone przerwania. W ten sposób może wpisać się w taktykę eskalacji uprawnień (uzyskania przywilejów wyższego poziomu) lub trwałego dostępu do systemu (utrzymania swojej obecności podczas restartów i zmiany poświadczeń skompromitowanego konta).
[ czytaj całość… ]

B

rezent (ang. tarpit), czyli płachta na usługę. Jest usługą sieciową, która celowo wprowadza opóźnienia w obsługiwanym protokole spowalniając w ten sposób klientów i zmuszając ich do oczekiwania przez określony czas. Zachowanie to spowalnia lub zatrzymuje sondowanie i atakowanie systemów / usług. Skanery, skrypty i inne narzędzia atakującego są związywane z konkretną usługą / portem i nie mają możliwości ruszyć dalej (zazwyczaj działają synchronicznie wykonując pracę host po hoście / port po porcie). Nakłada to na atakującego większy koszt pod względem czasu i zasobów niż ponosi go obrońca.
[ czytaj całość… ]

W

pierwszej części pokazałem, jak łatwo za pomocą iptables sfałszować nasłuchujące usługi. W tym przykładzie zajmiemy się techniką zwaną banner grabbing. Proces ten powoduje, że skaner przechodzi do warstwy aplikacji i zaczyna zachowywać się, jak klient. Wysyła dopasowane żądanie do usługi i oczekuje odpowiedzi, w której ma nadzieje znaleźć jej nazwę i wersję.
[ czytaj całość… ]