Добавил:

galaxy_samurai Опубликованный материал нарушает ваши авторские права? Сообщите нам.

Вуз:

Санкт-Петербургский государственный университет телекоммуникаций им. проф. М.А. Бонч-Бруевича

Предмет:

Защита операционных систем сетевых устройств

Файл:

Отчет по лабораторной №10.docx

Скачиваний:

Добавлен:

25.12.2024

Размер:

4.63 Mб

Скачать

☆

1 / 51 2 3 4 5 > Следующая >>>

МИНИСТЕРСТВО ЦИФРОВОГО РАЗВИТИЯ, СВЯЗИ И МАССОВЫХ КОММУНИКАЦИЙ РОССИЙСКОЙ ФЕДЕРАЦИИ

ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ

УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ

«САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ТЕЛЕКОММУНИКАЦИЙ ИМ. ПРОФ. М.А. БОНЧ-БРУЕВИЧА»

(СПбГУТ)

Факультет Кибербезопасности

Кафедра Информационной безопасности компьютерных сетей

Лабораторная работа №10

Изолировать скомпрометированный Хост с помощью 5-кортежного. Исследование эксплойта вредоносного ПО. Расследование атаки на хост Windows. Расследуйте нападение вместе со Sguil

Направление/специальность подготовки

10.05.02 Информационная безопасность телекоммуникационных систем

(код и наименование направления/специальности)

Студенты:

Бирюкова Е. Д., ИБС-21

(Ф.И.О., № группы) (подпись)

Печковская М. В., ИБС-21

(Ф.И.О., № группы) (подпись)

Марчак Ю. Д., ИБС-21

(Ф.И.О., № группы) (подпись)

Мирошникова О. Н., ИБС-21

(Ф.И.О., № группы) (подпись)

Руководитель практики:

Асс. к. ИБКС, Панков А. В.

(должность, Ф.И.О.) (подпись)

12.4.1.2 Изолированный скомпрометированный узел с использованием 5 элементов

Цель работы:

Просмотреть журналы и изучить атаку

Ход работы:

Шаг 1. Изучение оповещений в Sguil.

Откройте Sguil и выполните вход. Щелкните Select All (Выбрать все) и запустите SGUIL. (рис. 1-2)

Рисунок 1 - Вход в систему

Рисунок 2 - Открыли Sguil

Просмотрим события, перечисленные в столбце

Сообщения о событиях. Одно из этих сообщений — GPL ATTACK_RESPONSE id check returns root. Это сообщение указывает на то, что во время атаки мог быть получен доступ root. Хост по адресу 209.165.200.235 вернул доступ root к 209.165.201.17. Идентификатор оповещения 5.1 используется в качестве примера в этой лабораторной работе.

Рисунок 3 – Интерфейс Sguil

Установите флажки «Показать пакетные данные» и «Показать правило», чтобы просмотреть каждое оповещение более подробно.

Рисунок 4 - Установили флажки

Щелкнули правой кнопкой мыши идентификатор оповещения 5.1 и выберите «Transcript».
Просмотрите Transcript для оповещения. В Transcript отображаются транзакции между источником субъекта угрозы (SRC) и целью (DST) во время атаки. Субъект угрозы выполняет команды Linux на цели.

Рисунок 5 - Transcript

Рисунок 6 – Продолжение Transcript

Переходим к Wireshark

Выбрали оповещение, которое предоставило вам расшифровку из предыдущего шага.

Рисунок 7 – Wireshark

Открыли Follow TCP Stream

Рисунок 8 - Follow TCP Stream

Что вы заметили? Что обозначают красный и синий цвета текста?

Красный текст обычно обозначает данные, отправленные от клиента (или атакующего). Синий текст обозначает данные, полученные от сервера (или целевой системы). Эти цветовые различия помогают быстро идентифицировать направление трафика.

Атакующий выдает команду whoami на целевом компьютере. Что это говорит о роли атакующего на целевом компьютере?

Команда whoami используется для определения текущего пользователя, под которым выполняется сессия на целевом компьютере. Если атакующий успешно выполняет эту команду, это указывает на то, что он имеет доступ к системе и может выполнять команды от имени определенного пользователя. Это означает, что атакующий получил права на выполнение команд на целевом компьютере, что свидетельствовует о наличии у него уровня доступа, достаточного для выполнения дальнейших действий, таких как экстракция данных или установка вредоносного ПО.

Прокрутите поток TCP. Какие данные считывал злоумышленник?

Получил доступ к паролям и файлам.

Выйдите из окна потока TCP. Закройте Wireshark, когда закончите просматривать предоставленную информацию.

Переход к Kibana

Вернулись в Sguil. Щелкнули правой кнопкой мыши исходный или целевой IP для идентификатора оповещения 5.1 и выбрали Kibana IP Lookup > SrcIP.

Рисунок 9 - Вход

Если временной диапазон — последние 24 часа, изменили его на июнь 2020 года, чтобы 11 июня было включено в временной диапазон. Используйте вкладку Absolute, чтобы изменить временной диапазон.

Рисунок 10 - Изменили время

В отображаемых результатах есть список различных типов данных. Вам сказали, что файл confidencial.txt больше не доступен. В Sensors - Sensors and Services (Pie Chart) в списке присутствуют ftp и ftp-data, как показано на рисунке. Мы определим, использовался ли FTP для кражи файла.

Рисунок 11 - Результат

Отфильтруем для bro_ftp..

Рисунок 12 – Файл bro_ftp

Рисунок 13 - Фильтрация

Прокрутите вниз до раздела «Все журналы». Там перечислены две записи.

Рисунок 14 - Записи журнала

Каковы исходные и конечные IP-адреса, а также номера портов для FTP-трафика? 192.168.0.11:52776 209.165.200.235:21

Развернули и просмотрели обе записи журнала. В одной из этих записей ftp_argument имеет запись ftp://209.165.200.235/./confidential.txt. Также просмотрели сообщение в записи журнала, чтобы узнать больше об этом событии.
В той же записи журнала прокрутили страницу вверх до поля alert _id и щелкнули ссылку.

Рисунок 15 – Запись журнала

Просмотрели расшифровку транзакций между атакующим и целью. При желании вы можете загрузить pcap и просмотреть трафик с помощью Wireshark.

Рисунок 16 - Просмотр

едите свои ответы здесь.

Теперь, когда мы убедились, что злоумышленник использовал FTP для копирования содержимого файла confidencial.txt, а затем удалил его с цели. Так что же представляет собой содержимое файла? Помните, что одна из служб, перечисленных в круговой диаграмме, — ftp_data.
Перейдем в верхнюю часть панели управления. Выберите Files под заголовком Zeek Hunting на левой панели, как показано на рисунке. Это позволит вам просмотреть типы файлов, которые были зарегистрированы.