Quali misure di sicurezza possono impedire a un utente malintenzionato di ottenere la shell inversa anche se una vittima fa clic e scarica un file exe dannoso?

Naviga le tue risposte
1

Sto facendo un allenamento pratico con Kali linux e uno degli esercizi che ho incontrato è stato quello di creare un file exe contenente un carico utile malevolo (per esempio per ottenere il reverse shell), inviarlo a una vittima e sperare che la vittima scarica il file exe. Se lo scarica, è abbastanza facile dopo.

Questo non è affatto complicato, presupponendo il fatto che molti utenti non siano a conoscenza della sicurezza. Ma nel mondo reale, per realizzare questo attacco, ci devono essere più ostacoli che un aggressore deve attraversare per lo sfruttamento?

Quali sono quelle misure di sicurezza che smettono di tentare di sfruttare gli utenti? Ad esempio, posso pensare al firewall che cerca di rilevare richieste dall'aspetto malevolo.

Rispondi alla domanda per gli attacchi interni ed esterni.

    
posta one 19.07.2016 - 18:35
fonte

3 risposte

2

Ci sono diversi modi in cui le persone tentano di mitigare questi attacchi.

esterno

  • Impedisci al filtro antispam di consentire i tipi MIME associati frequentemente al malware (è altamente improbabile che esista un motivo aziendale rilevante per inviare file .exe o .bat, per esempio)
  • Usa Anti-Virus come .exe può essere rilevato anche dopo diversi cicli di codifica. Preferibilmente si desidera un antivirus "comportamentale" che blocchi le applicazioni in base alle azioni che tentano di eseguire.
  • Istruisci il tuo staff su come individuare le minacce e cosa fare se le incontrano.
  • Se il reparto IT è abbastanza grande e desideri estrapolarlo, è possibile implementare i criteri di restrizione software per consentire solo agli .exe noti di essere in esecuzione
  • Disattiva la possibilità per gli eseguibili di essere eseguiti dalla directory / directory temp
  • Implementare il filtro di uscita del firewall. Configura un proxy con ispezione deep packet che intercetta le connessioni SSL / TLS e blocca il traffico in uscita che sembra sospetto.

interno

  • Non concedere l'accesso amministratore locale agli utenti finali. Non farlo. Se hanno bisogno di aumentare i privilegi assegnare loro un account speciale che devono utilizzare la funzionalità "Esegui come ..." da utilizzare, ma gli utenti finali non dovrebbero avere privilegi amministrativi sulle loro workstation.
  • Le restrizioni software / filtraggio in uscita / AV / istruzione / disabilitazione degli eseguibili dalla directory temporanea continuano a essere applicate per interni
  • Segrega la tua rete per impedire spostamenti laterali nell'istanza in cui è presente un compromesso
risposta data 19.07.2016 - 18:50
fonte
2

Sareste sorpresi di quanto successo possa avere qualcosa del genere, specialmente per un utente tipico che potrebbe non avere alcun controllo di sicurezza in atto. Inoltre, direi che se sei in grado di convincere un utente a eseguire il codice che hai fornito, probabilmente un exploit dannoso non è nemmeno necessario (ad esempio "chiamate di supporto tecnico Microsoft" che ottengono l'accesso remoto ai sistemi che utilizzano strumenti legittimi). / p>

In un ambiente aziendale, ci sarebbe una varietà di misure di sicurezza che dovrebbero aiutare a prevenire (impedire che accada) e controllare (limitare il successo) di tale attacco. La maggior parte delle aziende adotta un approccio di sicurezza a più livelli con misure multiple in atto.

Passando attraverso il modo in cui un tale attacco si sarebbe verificato, ecco alcuni dei controlli che potrebbero essere implementati per un attacco del genere:

  1. Fornisci un file dannoso all'utente tramite email o altri mezzi

    • Filtro e-mail (antispam, AV, whitelisting), criteri e-mail (restrizioni di allegati come dimensioni o tipo di file)
  2. L'utente salva il file e lo avvia
    • Formazione per la consapevolezza degli utenti, restrizioni dei criteri di gruppo (impedire l'avvio dei file), whitelisting delle applicazioni (impedisce l'esecuzione di file sconosciuti), Endpoint AV (esegue la scansione / elimina / blocca i file dannosi conosciuti).
  3. Il file si avvia e stabilisce la connessione all'autore dell'attacco (forse tramite un exploit o tramite un software legittimo
    • Filtro e proxy di endpoint e / o di rete (uscita) (blocco sconosciuto / connessioni non fidate), patch di sistema (blocco exploit noti)
  4. L'attaccante ottiene il controllo del sistema, exfiltrata i dati, mantiene l'accesso e si diffonde lateralmente
    • Permessi utente con restrizioni (ad esempio non amministratore), strumenti di monitoraggio (per registrare attività forense per revisioni successive)

Sono sicuro che ce ne sono altri, ma questo è stato brevemente estratto dalla mia testa - ma puoi sempre prendere un attacco, percorrere i passaggi appropriati, quindi pensare a potenziali attenuazioni per quei passaggi - e ovviamente puoi quindi risciacquare, ripetere con più attacchi contro tali mitigazioni.

    
risposta data 19.07.2016 - 19:24
fonte
1

Innanzitutto è possibile adottare una politica firewall di "consentire ciò che è necessario, bloccare il resto". Questo andrà così lontano perché il tuo link in uscita potrebbe trarre vantaggio da un buco che hai individuato nel firewall.

I prodotti di livello enterprise "agganciano" determinate funzioni come connect (). Agganciare la funzione un motore di analisi determina se la connessione è legittima o errata. Questa decisione prende in considerazione molti punti dati come dove sta andando la connessione, cosa ha richiesto la connessione, ecc ...

Se sei OSX e vuoi vederlo in azione prendi una copia di uno strumento chiamato Little Snitch. Questo programma aggancia le connessioni in uscita e ti consente di decidere se dovrebbe essere consentito o meno.

    
risposta data 21.07.2016 - 05:59
fonte

Leggi altre domande sui tag

Che cosa offre ModSecurity al mio account di hosting? Lo spegnimento dell'output fa sì che aircrack-ng funzioni più velocemente?