1. Фазы атаки на корпоративную сеть: — Получение первоначального доступа (Initial Access); — Выполнение кода (Execution); — Закрепление в атакуемой системе (Persistence); — Повышение привилегий (Privilege Escalation); — Обход защиты (Defense Evasion); — Получение учетных данных (Credential Access); — Обзор (Discovery); — Горизонтальное продвижение (Lateral Movement); — Сбор данных (Collection); — Утечка (Exfiltration); — Управление и контроль (Command and Control).
2. Активное сканирование (Сканирование может варьироваться от простых пингов (ICMP-запросов и ответов) до более тонких сканирований, которые могут выявить программное обеспечение/версии хоста через баннеры сервера или другие сетевые артефакты)
2.1. Сбор информации об инфраструктуре компании из открытых источников (OSINT): публичные IP-адреса, домены, публичные службы.
2.2. Использование таких инструментов, как WHOIS, DNS-разведка (например, с помощью dnsrecon или nslookup) для получения информации о сетевой архитектуре компании.
2.2.1. Подготовка сканеров сети и уязвимостей, таких как Nmap, Masscan, Zmap, Nessus, OpenVAS или Nikto, для активного взаимодействия с целевой инфраструктурой.
2.2.1.1. Сканирование портов
2.2.1.2. Сканирование уязвимостей
2.2.1.3. Сканирование веб-приложений
2.2.1.3.1. После активного сканирования злоумышленник анализирует полученные результаты и использует эксплойты
2.2.1.4. Обход защитных механизмов
2.2.2. Настройка скриптов и сканеров для обхода защитных механизмов (например, через стелс-сканирование или замедленные атаки для минимизации обнаружения).
2.3. Поиск сетевых диапазонов через ресурсы типа Shodan или Censys.
3. Изучение корпорации, её сотрудников и инфраструктуры через открытые источники, социальные сети (например, LinkedIn), с целью определения точек входа, графиков работы, имен сотрудников, моделей поведения. Визуальное наблюдение за входами и выходами здания, охранной инфраструктурой (например, камеры, системы контроля доступа, турникеты).
3.1. Приобретение поддельных пропусков, униформы или разработка легенды для проникновения.
3.2. Подготовка USB-накопителей с вредоносным ПО (Rubber Ducky или Bash Bunny), которые могут быть незаметно подключены к корпоративным компьютерам.
3.2.1. Использование социальной инженерии для входа в здание (например, "Piggybacking" — проход за сотрудником через турникет или дверь).
3.2.2. Подброс USB-накопителей с вредоносным кодом в местах, где их могут подобрать сотрудники (например, в комнате для переговоров, в лифте или на столах в офисе).
3.2.2.1. Windows Management Instrumentation (WMI) атаки: WMI можно использовать для удалённого выполнения команд и сбора информации о системе, обходя стандартные антивирусные и защитные механизмы.
3.2.2.2. CMSTP (AppLocker Bypass): Атака может использовать Windows CMSTP.exe, легитимный системный компонент, для обхода AppLocker или других механизмов контроля приложений.
3.2.2.3. DLL Hijacking: Атакующий может воспользоваться уязвимостью динамической загрузки библиотек (DLL). Подменяя легитимные библиотеки поддельными, он может заставить систему загрузить и выполнить вредоносный код.
3.2.2.3.1. Persistence Techniques (Техники сохранения устойчивого доступа): Использование реестра Windows для запуска вредоносного ПО при каждой перезагрузке системы. Изменение задач планировщика (Task Scheduler) для выполнения вредоносных скриптов через регулярные интервалы. Внедрение в легитимные процессы системы для сокрытия присутствия (например, через DLL Injection).
3.2.2.3.2. Установка бэкдоров, троянов или удалённых шеллов через вредоносное ПО, загруженное с USB-устройства или скачанное из сети.
3.2.2.4. PowerShell exploitation: С помощью скрытых команд PowerShell атакующий может загрузить вредоносные скрипты прямо в память устройства, избегая обнаружения антивирусом. Например:
3.2.2.5. Pass-the-Hash (PtH): Если атакующий получает доступ к хэшу учетных данных администратора, он может использовать его для доступа к другим системам внутри сети, без необходимости восстановления исходного пароля.
3.2.3. Личное подключение вредоносных устройств к корпоративным системам.
3.3. Подготовка скриптов и эксплойтов для дальнейшего обхода защиты операционной системы (например, AppLocker Bypass через CMSTP).
4. 1) Сбор информации об организации, её контрактах, подрядчиках и внешних партнёрах через открытые источники (OSINT), социальные сети, платформы для публичных тендеров и отчеты. 2) Поиск поставщиков, которые имеют доступ к критическим системам или передают программное обеспечение целевой компании. 3) Использование инструментов для анализа цепочки поставок, например Shodan, для поиска открытых сервисов и сетевых устройств, принадлежащих поставщикам.
4.1. Поиск уязвимостей в программных продуктах: Исследование программных решений, которые поставляются целевой организации, на наличие известных уязвимостей (CVE) или недавних багов (например, через Exploit-DB, CVE Details).
4.2. Разработка вредоносных обновлений: Подготовка вредоносного обновления или патча, который будет внедрен через механизм обновления программного обеспечения поставщика.
4.2.1. Вредоносное обновление через систему поставщика.
4.2.2. Внедрение через уязвимые API, используемые поставщиком для взаимодействия с целевой компанией.
4.2.2.1. После успешной доставки вредоносного обновления через ПО поставщика, оно автоматически распространяется на устройства конечной компании.
4.2.2.2. Если поставщик предоставляет API для доступа к своим услугам (например, для интеграции с CRM или ERP системами), уязвимости в API могут позволить злоумышленнику получить доступ к системам клиента.
4.2.2.3. Если злоумышленник получил доступ к учетным данным сотрудников поставщика, он может использовать их для входа в систему поставщика или целевой организации (например, через удалённый доступ VPN или RDP).
4.2.3. Фишинговая атака с целью кражи учетных данных или установки малвари на компьютеры сотрудников поставщика, которые имеют доступ к корпоративной сети клиента.
4.3. Целевая атака на сотрудников поставщика: Подготовка фишинговой кампании для сотрудников поставщика с целью кражи учетных данных или установки вредоносного ПО на их устройства.
5. Проводится исследование открытых источников (социальные сети, публичные базы данных, корпоративные сайты), чтобы собрать сведения о компании или конкретных лицах (их должности, контактные данные, предпочтения и т.д.).
5.1. Разработка поддельных писем от имени реальных компаний или лиц (например, коллег, партнёров, руководителей).
5.2. Вложение вредоносного кода в документ (Excel, Word) или ссылку на фальшивый сайт, который имитирует легитимный ресурс (например, страницу входа в систему).
5.2.1. Отправка фишинговых писем на корпоративные или личные почты жертвы, через социальные сети или мессенджеры. (Использование спам-ботов для массовой отправки писем или целевая рассылка с помощью специально созданных почтовых аккаунтов.)
5.2.1.1. Жертва открывает вложение или переходит по ссылке на фишинговый сайт, где ей предлагают ввести свои учетные данные или загрузить файл.
5.2.1.2. Вложение содержит эксплойт, который использует уязвимости системы для выполнения вредоносного кода.
5.2.1.2.1. После открытия вредоносного вложения или активации макросов в документе, на устройство жертвы устанавливается зловредный софт (кейлоггер, троян, бэкдор и т.д.), который предоставляет атакующему удалённый доступ или собирает данные.
5.2.1.3. Фальшивый сайт собирает учетные данные для дальнейшего использования.