Проблемы эксфильтрации. Как поймать воров или не попасться при пентесте - «Новости» » Самоучитель CSS
Меню
Наши новости
Учебник CSS

Невозможно отучить людей изучать самые ненужные предметы.

Введение в CSS
Преимущества стилей
Добавления стилей
Типы носителей
Базовый синтаксис
Значения стилевых свойств
Селекторы тегов
Классы
CSS3

Надо знать обо всем понемножку, но все о немногом.

Идентификаторы
Контекстные селекторы
Соседние селекторы
Дочерние селекторы
Селекторы атрибутов
Универсальный селектор
Псевдоклассы
Псевдоэлементы

Кто умеет, тот делает. Кто не умеет, тот учит. Кто не умеет учить - становится деканом. (Т. Мартин)

Группирование
Наследование
Каскадирование
Валидация
Идентификаторы и классы
Написание эффективного кода

Самоучитель CSS

Вёрстка
Изображения
Текст
Цвет
Линии и рамки
Углы
Списки
Ссылки
Дизайны сайтов
Формы
Таблицы
CSS3
HTML5

Новости

Блог для вебмастеров
Новости мира Интернет
Сайтостроение
Ремонт и советы
Все новости

Справочник CSS

Справочник от А до Я
HTML, CSS, JavaScript

Афоризмы

Афоризмы о учёбе
Статьи об афоризмах
Все Афоризмы

Видео Уроки


Видео уроки
Популярные статьи
Наш опрос



РЕКЛАМА


ВАША РЕКЛАМА
1-01-2022, 00:02
Проблемы эксфильтрации. Как поймать воров или не попасться при пентесте - «Новости»
Рейтинг:
Категория: Новости

PoC на Python, пред­став­ляющий собой шелл, который исполь­зует каналы Zoom как сре­ду переда­чи. Управлять ПК, на котором запущен скрипт, воз­можно как через API, так и непос­редс­твен­но из кли­ента.
Ка­налы в Zoom

За­меть, этот PoC соз­дан в пер­вую оче­редь для демонс­тра­ции и не учи­тыва­ет задава­емые Zoom огра­ниче­ния на количес­тво сооб­щений и дли­ну одно­го сооб­щения.


Важ­ная осо­бен­ность здесь в том, что API-зап­росы при­нима­ют все сер­веры Zoom. В том чис­ле даже если зап­рос идет по IP, без име­ни хос­та. Таким обра­зом, если в про­цес­сах ком­пании плот­но исполь­зует­ся Zoom, про­тиво­дей­ство­вать такому методу слож­но, не бло­кируя дос­туп к сер­верам Zoom пол­ностью. Это спра­вед­ливо и если говорить о выг­рузке через дру­гие мес­сен­дже­ры. Если не знать вызыва­емый метод API, невоз­можно отфиль­тро­вать выг­рузку дан­ных от легитим­ного тра­фика мес­сен­дже­ра.


 

DNS-туннелирование


Ин­капсу­ляция дан­ных в тело прик­ладных про­токо­лов — один из самых рас­простра­нен­ных методов эксфиль­тра­ции дан­ных и пос­тро­ения тун­нелей. Так как исхо­дящий DNS-тра­фик раз­решен в боль­шинс­тве кор­поратив­ных сетей, его мож­но исполь­зовать как канал свя­зи меж­ду сер­вером ата­кующе­го и ском­про­мети­рован­ным хос­том.


В нас­тоящее вре­мя сущес­тву­ет мно­жес­тво ути­лит для соз­дания DNS-тун­нелей: NSTX, DNSCat2, Iodine, TUNS, Dns2TCP, DeNiSe, DNScapy, Heyoka, OzymanDNS, psudp, squeeza, tcp-over-dns. В 2017 году на кон­ферен­ции ZeroNights санкт‑петер­бург­ская груп­па DC 7812 пред­ста­вила рас­ширение Meterpreter, реали­зующее тран­спортный канал для кон­тро­ля над аген­том Meterpreter при помощи DNS-тун­неля.


Рас­ширение Meterpreter 

Как ловить?


Есть раз­ные методы обна­руже­ния DNS-тун­нелиро­вания в сети. Все они осно­ваны на ана­лизе содер­жимого пакетов DNS, а так­же количес­тва и час­тоты DNS-зап­росов. При эксфиль­тра­ции дан­ные кодиру­ются и переда­ются в виде под­доменов треть­его уров­ня. Дли­на под­домена, как пра­вило, не пре­выша­ет 30 сим­волов, соот­ветс­твен­но, мож­но уста­новить пра­вила для бло­киров­ки зап­росов, пре­выша­ющих этот порог.


Еще один спо­соб — ана­лиз энтро­пии домен­ных имен. Как пра­вило, легитим­ные URL содер­жат осмыслен­ные час­ти, в то вре­мя как закоди­рован­ные в Base64 дан­ные име­ют более высокую энтро­пию.


Как вари­ант, мож­но искать в пакетах записи DNS, которые нехарак­терны для легитим­ного тра­фика, нап­ример CNAME или TXT. Если полити­ка безопас­ности тре­бует, что­бы все зап­росы про­ходи­ли через внут­ренний сер­вер DNS, то по наруше­ниям мож­но отсле­дить нелеги­тим­ный тра­фик. Одна­ко боль­шинс­тво ути­лит пред­назна­чены для работы даже при пересыл­ке зап­росов через внут­ренний DNS. Мно­гие ути­литы исполь­зуют собс­твен­ные алго­рит­мы генера­ции домен­ных имен, что поз­воля­ет обна­ружи­вать тун­нели по сиг­натурам.


Один из основных и наибо­лее прос­тых методов обна­руже­ния — ана­лиз объ­ема DNS-тра­фика для кон­крет­ного кли­ент­ско­го IP-адре­са. Если зап­росов вдруг замет­но боль­ше, чем от дру­гих хос­тов, зна­чит, есть подоз­рение на эксфиль­тра­цию.


 

Как обойти?


Для скры­тия DNS-тун­нелиро­вания от средств защиты луч­ше все­го исполь­зовать самопис­ные инс­тру­мен­ты, так как сиг­натуры уже соз­данных ути­лит есть у вен­доров. Кро­ме того, луч­ше все­го исполь­зовать рас­простра­нен­ные типы DNS-записей, такие как A и AAAA. Так­же мож­но исполь­зовать уни­каль­ные алго­рит­мы генера­ции домен­ного име­ни для переда­чи закоди­рован­ной информа­ции, что­бы они не пре­выша­ли опре­делен­ной дли­ны и име­ли неболь­шую энтро­пию.


Теги: CSS

Просмотров: 79
Комментариев: 0:   1-01-2022, 00:02
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

 
Еще новости по теме:



Другие новости по теме:
Комментарии для сайта Cackle