Порт 80 является стандартным для web-сайтов
и может иметь много различных проблем безопасности. Эти дыры могут позволить
хакеру получить административный доступ к web-сайту,
или даже к самому web-серверу. В этой статье
рассмотрены некоторые сигнатуры, характерные для таких атак, а также то, что
следует искать в логах.
Порт 80 является стандартным для web-сайтов
и может иметь много различных проблем безопасности. Эти дыры могут позволить
хакеру получить административный доступ к web-сайту,
или даже к самому web-серверу. В этой статье
рассмотрены некоторые сигнатуры, характерные для таких атак, а также то, что
следует искать в логах.
В этом разделе вы найдете стандартные следы взлома
web-серверов и web-приложений.
Вы не увидите здесь все возможные варианты атак, но узнаете, как они обычно
выглядят. Эти сигнатуры охватят большинство известных и неизвестных дыр, которые
хакеры могут использовать против вас. Также здесь описано, для чего используется
каждая из сигнатур, или как может быть использована при атаке.
Это наиболее часто встречающиеся сигнатуры атак как в
web-приложениях, так и в web-серверах.
Они используются хакером или червем для смены директорий на сервере, чтобы
получить доступ к непубличным разделам. Большинство CGI-дыр
содержат запросы “..”.
Данная команда показывает хакеру “Message of the Day”. Если
хакер имеет возможность просматривать на вашем web-сервере
директории вне web-корневой, он может собрать
достаточно информации для получения нужных привилегий.
Это шестнадцатеричное значение символа пробела. Его наличие
еще не означает, что вас атаковали, так как некоторые web-приложения
используют его при правомерных запросах. Однако, этот запрос также может
использоваться при запуске команд. Так что будьте внимательны при проверке
логов.
В этом примере показывается, как хакер запускает команду
ls под UNIX с передачей ей
аргумента. Этот аргумент дает хакеру полный листинг директории, что может помочь
хакеру получить доступ к важным файлам в вашей системе или подсказать, как
получить дополнительные привилегии.
Это шестнадцатеричный код нулевого байта. Может
использоваться, чтобы обмануть web-приложение, будто
был запрошен другой файл.
Показанный пример может быть разрешенным запросом на
сервере. Если хакер обнаружит это, он наверняка использует запрос для поиска дыр
на нем.
Web-приложение может запретить
этот запрос, если проверяет, чтобы имена файлов заканчивались на .htm, .html, .shtml,
или другие разрешенные расширения. Многие приложения посчитают запрошенный тип
файла недопустимым. И зачастую дадут ответ хакеру, что файл должен иметь
разрешенный тип. Таким образом хакер может получить имена директорий, файлов, и
затем, возможно, собрать больше информации о вашей системе.
При таком запросе приложение считает, что имя файла
относится к разрешенному типу. Некоторые web-приложения
плохо проводят проверку на правильность запроса файла, поэтому это частый метод,
используемый хакером.
Вертикальная черта (pipe), часто
используется в UNIX для запуска нескольких команд
одновременно в одном запросе
(Этот пример показывает проверку лога на присутствие
запросов ”..”, которые часто используются хакерами и червями.)
Web-приложения часто используют этот символ, поэтому
его наличие в логах может оказаться ложной тревогой. Чтобы понизить частоту
ложных тревог, необходим тщательный анализ вашего программного обеспечения и его
работы.
Несколько примеров:
Этот запрос является обычным вызовом “ls”.
Ниже приведены другие варианты этого запроса.
Этот запрос выдает полный листинг директории “etc”.
Данный запрос запускает команду “cat”, а затем “grep”
с аргументом “-i”.
Этот символ позволяет запускать несколько команд в одной
строке в UNIX-системе.
Web-приложения часто используют
этот символ, поэтому возможны ложные тревоги. Повторю, тщательное изучение
вашего программного обеспечения и его работы понизит уровень ложных тревог.
Эти символы следует проверять в логах по многим причинам,
первая из которых в том, что они используются для вывода данных в файл.
(Это пример записи информации в файл.) Хакер может
использовать такой запрос например для дефейса вашего web-сайта.
Знаменитый эксплоит RDS от rain.forest.puppy часто
использовался хакерами для ввода информации в главную страницу
web-сайтов. Примеры взломанных web-сайтов
с белыми страницами, без форматирования, ищите на attrition.org.
Это пример cross-site скриптовой атаки.
HTML тэги используют символы “<” и “>”. Хотя такая атака не дает хакеру
доступ к системе, она может использоваться для введения людей в заблуждение
относительно адекватности информации на сайте. (Конечно, им нужно посетить
нужную хакеру ссылку. Этот запрос может быть замаскирован кодированием символов
в шестнадцатеричном виде, чтобы не быть столь очевидным.)
Этот символ часто используется в SSI (Server Side Include)
атаках. Эта атака может дать хакеру результаты, аналогичные предыдущей атаке,
когда обманутый пользователь нажимает на ссылку.
В этом примере присоединяется файл с host2, при этом
создается впечатление, будто он находится на host1. Как и в прошлый раз, для
выполнения атаки пользователь должен посетить нужную хакеру ссылку.
Кроме того, это позволяет хакеру запускать команды на вашей
системе с правами пользователя web-сервер.
Запускает команду “id” на удаленной системе. Она должна
показать пользовательский id web-сервера, который
обычно называется “nobody” или “www”.
Также это может позволить присоединение скрытых файлов.
Эта команда присоединяет файл .htpasswd. Этот файл не
должен быть доступен каждому, и в Apache даже встроено
правило, запрещающее доступ к .ht.
SSI тэг обходит это, что может вызвать проблемы с безопасностью.
Часто используются при попытке вставить
PHP в удаленное web-приложение. Делает
возможным запуск команд в зависимости от установок сервера и других факторов.
При плохо написанном PHP-приложении
может запустить команду на удаленном компьютере с привилегиями пользователя
web-сервер.
Кроме того, хакер может записать этот запрос в
шестнадцатеричном виде. Обращайте внимание на все нестандартное и анализируйте
все подозрительное.
Символ обратного штриха часто используется в
Perl для запуска команд. Он не используется в
нормальных web-приложениях, так что если увидите его в
логах – воспримите это серьезно.
На плохо написанном Perl web-приложении,
эта команда запустит команду “id”.
В этом разделе описаны запускаемые хакерами команды и
запрашиваемые файлы, а также как обнаружить, что вы уязвимы к удаленному запуску
команд. Хотя это не полный список команд и файлов, запрашиваемых хакерами, это
поможет вам понять, что предпринимается против вашей системы.
Это исполняемый модуль команды “ls”.
Он часто запрашивается с полным путем во многих дырах web-приложений.
Если вы увидите этот запрос в ваших логах, высока вероятность того, что ваша
система подвержена удаленному запуску команд. Однако, это не всегда является
проблемой и может оказаться ложным сигналом. Повторю вновь, важно изучить работу
вашего web-приложения. Если это возможно, попробуйте
сделать запрос, найденный в логах и посмотрите на результат.
Это Windows shell. Хакер, имеющий
доступ на запуск этого скрипта, наверняка сможет сделать что-нибудь на вашей
машине, в зависимости от установленных разрешений. Большинство
Internet-червей, работающих через 80 порт, используют
cmd.exe для распространения
на другие удаленные системы.
Это исполняемый модуль команды “id”.
Он часто запрашивается с полным путем во многих дырах web-приложений.
Если вы увидите этот запрос в ваших логах, высока вероятность того, что ваша
система подвержена удаленному запуску команд. Однако, это не всегда является
проблемой и может оказаться ложным сигналом. Повторю вновь, важно изучить работу
вашего web-приложения. Если это возможно, попробуйте
сделать запрос, найденный в логах и посмотрите на результат.
Эти команды часто используются хакерами и червями для
загрузки дополнительных файлов, которые могут использоваться для получения
дополнительных системных привилегий. wget – это
команда UNIX, может использоваться для загрузки
backdoor. tftp – это
UNIX и NT команда,
предназначенная для передачи файлов. Некоторые IIS
черви используют tftp для загрузки своей копии на
зараженный компьютер, и продолжают распространяться.
Часто используется для просмотра содержимого файлов. Может
использоваться для чтения важной информации, такой как конфигурационные файлы,
файлы паролей, и др.
Эта команда часто используется для присоединения данных к
файлу, например к index.html.
Показывает список запущенных процессов. Это может
подсказать хакеру, какое программное обеспечение запущено на удаленном
компьютере и какие дыры безопасности он может иметь.
Эти команды используются для закрытия процессов в
UNIX системе. Хакер может использовать их для
остановки системного сервиса или программы. Также хакер может использовать их
для сокрытия следов своего эксплоита, породившего много дочерних процессов, или
некорректно завершившегося.
Часто используется хакерами для определения имени удаленной
машины. Часто вебсайт хостится у ISP, и эта команда
может подсказать, к какому ISP он может получить
доступ. Обычно запрашивается “uname -a”
и в логах это выглядит как “uname%20-a”.
Команды “cc” и “gcc”
позволяют компилировать программы. Хакер может использовать
wget или tftp для закачки файлов, а затем
использовать эти компиляторы для создания эксплоита. С этого момента возможно
все, включая взлом локальной системы.
Если вы увидите запрос к “Perl”
или “python”, возможно, что хакер закачал Perl или
python скрипт, и пытается взломать вашу систему.
Эта команда может использоваться хакером для отправки
файлов на e-mail адрес
хакера. Также может использоваться для рассылки спама.
Xterm часто используется для
получения доступа к shell удаленной системы. Если вы
обнаружите ее в своих логах, отнеситесь к этому очень серьезно, как к возможно
серьезной бреши в безопасности. Ищите в логах запрос, содержащий
“%20-display%20”. Эти следы часто указывают на попытку запустить
xterm или другое X-приложение
на удаленном хосте.
Эти команды позволяют устанавливать доступ в
UNIX системах. Ниже описано, что они делают.
chown позволяет устанавливать
принадлежность файла пользователю
chmod позволяет устанавливать
доступ к файлу
chgrp позволяет устанавливать
принадлежность файла группе
chsh позволяет менять
shell, используемый пользователем.
Это файл системных паролей. Обычно он не содержит
зашифрованных паролей (т.е. “shadowed”). Однако, может
дать хакеру имена пользователей, системные пути и, возможно, хостящиеся сайты.
Если этот файл “shadowed”, хакер будет пытаться
смотреть файл /etc/shadow.
Файл паролей в BSD-системе,
содержащий зашифрованные пароли. Доступен для чтения только эккаунтом
root, но хакер может попытаться его прочитать, в
надежде на удачу. Если web-сервер запущен с правами
root, хакер сможет прочитать этот файл, а системный
администратор может ожидать больших проблем.
Системный UNIX-файл, содержащий
зашифрованные пароли. Доступен для чтения только эккаунтом
root, но хакер может попытаться его прочитать, в надежде на удачу. Если
web-сервер запущен с правами root,
хакер сможет прочитать этот файл, а системный администратор может ожидать
больших проблем.
Системный файл “Message of the Day”
(тема дня) содержит первое сообщение, которое видит пользователь, входящий в
UNIX-систему. Он может содержать важную информацию,
адресованную от администратора пользователям, а также версию операционной
системы. Хакер может регулярно проверять этот файл и знать, какая используется
система. Затем он исследует ее на предмет эксплоитов, дающих дополнительный
доступ к этой системе.
Этот файл дает информацию об IP-адресах
и сетевой информации. Хакер может использовать его для поиска дополнительной
информации о ваших системных/сетевых настройках.
Путь к этому файлу бывает разным, здесь представлен
наиболее часто встречающийся. Это конфигурационный файл web-сервера
Apache. Он может дать хакеру информацию о хостящихся
сайтах и более специфическую, например о доступе к CGI
или SSI.
Это конфигурационных файл сервиса inetd.
Он содержит системные демоны, используемые удаленным компьютером. Также может
подсказать хакеру, использует ли удаленная система wrapper
для каждого демона. Если использует, тогда хакер проверит “/etc/hosts.allow”
и “/etc/hosts.deny”, и возможно изменит их содержимое, если это даст ему
дополнительные привилегии.
Эти файлы используются для аутентификации на
web-сайте. Хакер попытается просмотреть содержимое
этих файлов для получения имен пользователей и паролей. Пароли находятся в файле
htpasswd и зашифрованы. Простой взломщик паролей и некоторое потраченное время
даст хакеру доступ к некоторым защищенным паролями сессиям на вашем
web-сайте, а возможно, и к другим эккаунтам. (Многие
люди используют везде одинаковые имена пользователя и пароли, и зачастую это
дает хакеру доступ к другим эккаунтам, которые может иметь этот пользователь.)
Это лог-файлы web-сервера
Apache. Хакер может проверять их, чтобы увидеть, как
записались его запросы и запросы других пользователей.
Часто хакеры редактируют эти файлы, чтобы удалить следы
своего присутствия. Тогда становится сложно обнаружить хакера, атаковавшего вашу
систему через 80 порт, если только не создаются резервные копии или не ведется
двойное логгирование.
Это имена файлов паролей Windows NT.
Хакер часто запрашивает эти файлы, если не разрешен удаленный запуск команд.
Далее, он запустит программу типа “l0pht
crack”, чтобы взломать пароли на удаленной windows-системе.
Если он сможет взломать пароль администратора, удаленный компьютер в его руках.
Мы не будем углубляться в переполнения буфера, но покажем
примеры того, как это выглядит. Переполнения буфера часто прячется с помощью
кодирования и других приемов.
В этом примере хакер посылает множество “A”
в приложение и проверяет его на переполнение буфера. Переполнение буфера может
позволить хакеру удаленный запуск команд. Если приложение имеет права
root, это может дать полный доступ к системе.
Вариантов, как может выглядеть переполнение буфера, великое
множество, и мы не будем рассматривать их в этой статье. Регулярно проверяйте
логи. Если вы увидите огромные запросы в то время, как для вашего сайта
характерны короткие, вероятно это была попытка хакера вызвать переполнение
буфера или новая разновидность Интернет-червя атакует вашу машину.
Хакеры знают, что часто IDS
системы проверяют запросы слишком буквально. Поэтому они часто кодируют свои
запросы в шестнадцатеричном формате, и IDS пропускает
их. Хороший пример этого – CGI сканер, известный как
Whisker. Если вы просмотрели логи и увидели огромное
количество шестнадцатеричных или других необычных символов, вероятно, что хакер
пытался каким-то образом взломать вашу систему. Быстрый способ проверить, что
означает этот шестнадцатеричный код – это скопировать его из лога и вставить в
адресную строку броузера. Если вы не получите ошибку 404, тогда
шестнадцатеричный код преобразуется и вы увидите его вместе с результатом
действия. Если вы не хотите так рисковать, смотрите для расшифровки
ASCII коды.
Эта статья не охватывает все эксплоиты 80 порта, но
охватывает наиболее частые типы атак. Она также объясняет вам, что искать в
логах, и что добавить в правила IDS. Надеюсь также,
статья поможет web-разработчикам лучше писать
web-приложения.
В статье мы расскажем о наиболее интересных стартапах в области кибербезопасности, на которые следует обратить внимание.
Хотите узнать, что происходит нового в сфере кибербезопасности, – обращайте внимание на стартапы, относящиеся к данной области. Стартапы начинаются с инновационной идеи и не ограничиваются стандартными решениями и основным подходом. Зачастую стартапы справляются с проблемами, которые больше никто не может решить.
Обратной стороной стартапов, конечно же, нехватка ресурсов и зрелости. Выбор продукта или платформы стартапа – это риск, требующий особых отношений между заказчиком и поставщиком . Однако, в случае успеха компания может получить конкурентное преимущество или снизить нагрузку на ресурсы безопасности.
Ниже приведены наиболее интересные стартапы (компании, основанные или вышедшие из «скрытого режима» за последние два года).
Компания Abnormal Security, основанная в 2019 году, предлагает облачную платформу безопасности электронной почты, которая использует анализ поведенческих данных для выявления и предотвращения атак на электронную почту. Платформа на базе искусственного интеллекта анализирует поведение пользовательских данных, организационную структуру, отношения и бизнес-процессы, чтобы выявить аномальную активность, которая может указывать на кибератаку. Платформа защиты электронной почты Abnormal может предотвратить компрометацию корпоративной электронной почты, атаки на цепочку поставок , мошенничество со счетами, фишинг учетных данных и компрометацию учетной записи электронной почты. Компания также предоставляет инструменты для автоматизации реагирования на инциденты, а платформа дает облачный API для интеграции с корпоративными платформами, такими как Microsoft Office 365, G Suite и Slack.
Копания Apiiro вышла из «скрытого режима» в 2020 году. Ее платформа devsecops переводит жизненный цикл безопасной разработки «от ручного и периодического подхода «разработчики в последнюю очередь» к автоматическому подходу, основанному на оценке риска, «разработчики в первую очередь», написал в блоге соучредитель и генеральный директор Идан Плотник . Платформа Apiiro работает, соединяя все локальные и облачные системы управления версиями и билетами через API. Платформа также предоставляет настраиваемые предопределенные правила управления кодом. Со временем платформа создает инвентарь, «изучая» все продукты, проекты и репозитории. Эти данные позволяют лучше идентифицировать рискованные изменения кода.
Axis Security Application Access Cloud – облачное решение для доступа к приложениям , построенное на принципе нулевого доверия. Он не полагается на наличие агентов, установленных на пользовательских устройствах. Поэтому организации могут подключать пользователей – локальных и удаленных – на любом устройстве к частным приложениям, не затрагивая сеть или сами приложения. Axis вышла из «скрытого режима» в 2020 году.
BreachQuest, вышедшая из «скрытого режима» 25 августа 2021 года, предлагает платформу реагирования на инциденты под названием Priori. Платформа обеспечивает большую наглядность за счет постоянного отслеживания вредоносной активности. Компания утверждает, что Priori может предоставить мгновенную информацию об атаке и о том, какие конечные точки скомпрометированы после обнаружения угрозы.
Cloudrise предоставляет услуги управляемой защиты данных и автоматизации безопасности в формате SaaS. Несмотря на свое название, Cloudrise защищает как облачные, так и локальные данные. Компания утверждает, что может интегрировать защиту данных в проекты цифровой трансформации. Cloudrise автоматизирует рабочие процессы с помощью решений для защиты данных и конфиденциальности. Компания Cloudrise была запущена в октябре 2019 года.
Cylentium утверждает, что ее технология кибер-невидимости может «скрыть» корпоративную или домашнюю сеть и любое подключенное к ней устройство от обнаружения злоумышленниками. Компания называет эту концепцию «нулевой идентичностью». Компания продает свою продукцию предприятиям, потребителям и государственному сектору. Cylentium была запущена в 2020 году.
Компания Deduce , основанная в 2019 году, предлагает два продукта для так называемого «интеллектуального анализа личности». Служба оповещений клиентов отправляет клиентам уведомления о потенциальной компрометации учетной записи, а оценка риска идентификации использует агрегированные данные для оценки риска компрометации учетной записи. Компания использует когнитивные алгоритмы для анализа конфиденциальных данных с более чем 150 000 сайтов и приложений для выявления возможного мошенничества. Deduce заявляет, что использование ее продуктов снижает ущерб от захвата аккаунта более чем на 90%.
Автоматизированная платформа безопасности и соответствия Drata ориентирована на готовность к аудиту по таким стандартам, как SOC 2 или ISO 27001. Drata отслеживает и собирает данные о мерах безопасности, чтобы предоставить доказательства их наличия и работы. Платформа также помогает оптимизировать рабочие процессы. Drata была основана в 2020 году.
FYEO – это платформа для мониторинга угроз и управления доступом для потребителей, предприятий и малого и среднего бизнеса. Компания утверждает, что ее решения для управления учетными данными снимают бремя управления цифровой идентификацией. FYEO Domain Intelligence («FYEO DI») предоставляет услуги мониторинга домена, учетных данных и угроз. FYEO Identity будет предоставлять услуги управления паролями и идентификацией, начиная с четвертого квартала 2021 года. FYEO вышла из «скрытого режима» в 2021 году.
Kronos – платформа прогнозирующей аналитики уязвимостей (PVA) от компании Hive Pro , основанная на четырех основных принципах: предотвращение, обнаружение, реагирование и прогнозирование. Hive Pro автоматизирует и координирует устранение уязвимостей с помощью единого представления. Продукт компании Artemis представляет собой платформу и услугу для тестирования на проникновение на основе данных. Компания Hive Pro была основана в 2019 году.
Израильская компания Infinipoint была основана в 2019 году. Свой основной облачный продукт она называет «идентификация устройства как услуга» или DIaaS , который представляет собой решение для идентификации и определения положения устройства. Продукт интегрируется с аутентификацией SSO и действует как единая точка принуждения для всех корпоративных сервисов. DIaaS использует анализ рисков для обеспечения соблюдения политик, предоставляет статус безопасности устройства как утверждается, устраняет уязвимости «одним щелчком».
Компания Kameleon , занимающаяся производством полупроводников, не имеет собственных фабрик и занимает особое место среди поставщиков средств кибербезопасности. Компания разработала «Блок обработки проактивной безопасности» (ProSPU). Он предназначен для защиты систем при загрузке и для использования в центрах обработки данных, управляемых компьютерах, серверах и системах облачных вычислений. Компания Kameleon была основана в 2019 году.
Облачная платформа безопасности данных Open Raven предназначена для обеспечения большей прозрачности облачных ресурсов. Платформа отображает все облачные хранилища данных, включая теневые облачные учетные записи, и идентифицирует данные, которые они хранят. Затем Open Raven в режиме реального времени отслеживает утечки данных и нарушения политик и предупреждает команды о необходимости исправлений. Open Raven также может отслеживать файлы журналов на предмет конфиденциальной информации, которую следует удалить. Компания вышла из «скрытого режима» в 2020 году.
Компания Satori, основанная в 2019 году, называет свой сервис доступа к данным “DataSecOps”. Целью сервиса является отделение элементов управления безопасностью и конфиденциальностью от архитектуры. Сервис отслеживает, классифицирует и контролирует доступ к конфиденциальным данным. Имеется возможность настроить политики на основе таких критериев, как группы, пользователи, типы данных или схема, чтобы предотвратить несанкционированный доступ, замаскировать конфиденциальные данные или запустить рабочий процесс. Сервис предлагает предварительно настроенные политики для общих правил, таких как GDPR , CCPA и HIPAA .
Компания Scope Security недавно вышла из «скрытого режима», будучи основана в 2019 году. Ее продукт Scope OmniSight нацелен на отрасль здравоохранения и обнаруживает атаки на ИТ-инфраструктуру, клинические системы и системы электронных медицинских записей . Компонент анализа угроз может собирать индикаторы угроз из множества внутренних и сторонних источников, представляя данные через единый портал.
Основным продуктом Strata является платформа Maverics Identity Orchestration Platform . Это распределенная мультиоблачная платформа управления идентификацией. Заявленная цель Strata – обеспечить согласованность в распределенных облачных средах для идентификации пользователей для приложений, развернутых в нескольких облаках и локально. Функции включают в себя решение безопасного гибридного доступа для расширения доступа с нулевым доверием к локальным приложениям для облачных пользователей, уровень абстракции идентификации для лучшего управления идентификацией в мультиоблачной среде и каталог коннекторов для интеграции систем идентификации из популярных облачных систем и систем управления идентификацией. Strata была основана в 2019 году.
SynSaber , запущенная 22 июля 2021 года, предлагает решение для мониторинга промышленных активов и сети. Компания обещает обеспечить «постоянное понимание и осведомленность о состоянии, уязвимостях и угрозах во всех точках промышленной экосистемы, включая IIoT, облако и локальную среду». SynSaber была основана бывшими лидерами Dragos и Crowdstrike.
Traceable называет свой основной продукт на основе искусственного интеллекта чем-то средним между брандмауэром веб-приложений и самозащитой приложений во время выполнения. Компания утверждает, что предлагает точное обнаружение и блокирование угроз путем мониторинга активности приложений и непрерывного обучения, чтобы отличать обычную активность от вредоносной. Продукт интегрируется со шлюзами API. Traceable была основана в июле 2020 года.
Компания Wiz, основанная командой облачной безопасности Microsoft, предлагает решение для обеспечения безопасности в нескольких облаках, рассчитанное на масштабную работу. Компания утверждает, что ее продукт может анализировать все уровни облачного стека для выявления векторов атак с высоким риском и обеспечивать понимание, позволяющее лучше расставлять приоритеты. Wiz использует безагентный подход и может сканировать все виртуальные машины и контейнеры. Wiz вышла из «скрытого режима» в 2020 году.
Работает на CMS “1С-Битрикс: Управление сайтом”
centralshopml shopdumps101com
Categories