侵入テスト時のノイズを低減
最近、私はトラフィックを監視するSOC分析チームに付属するキャプチャフラグコンテストに参加しました。
そこでは、多くのツールが非常にうるさいと言われました。たとえば、完全なヘッダーを持つSqlmap。
私たち全員が新しいので、nmap -sSスキャン以外に理解することができませんでした。他に、侵入テストのプロセスで騒がしくないものは何ですか?または、より具体的には、検出可能性を最小限に抑えるというこの目標を達成するために、どのツールとアプローチを推奨するべきか。
ペンテスト中に信号を増やしてノイズを減らしたいですか?
すごい!ここで熟考すべきいくつかの事柄があります:
- あなたが持っている質問への答えのために-彼らはすでにどこか他の場所で答えられていますか?たとえば、以前のペンテストのNmapデータは、今日期待するデータの正確で十分なビューを提供していますか? csrecon または同様のものがそのデータを提供しますか?ローカルネットワーク上にいる場合、ARPはそれを提供しますか? ARPディスカバリー(netdiscover、arp-scan、arpingなど)およびパケットキャプチャー/ MITM(例 bettercap )のテクニックを高速化できますか、それともNmapと組み合わせて- xerosploit ?
- 信頼できるソースまたはサードパーティのソースからスキャンして、独自のインフラストラクチャから独自のスキャンを開始する前に結果を確認できますか? スキャンレス または同様のものはその見方を提供しますか? ipidseq NSE スクリプトを使用して idlescanning に向けてピボットしますか?または、大量のソースから dnmap を使用するのはどうですか?
- Nmapを変更 して、IDSによって取得されたり、IPSによってブロックされたりしないようにできますか? sniffjoke などのツールを準備済みの構成で使用できますか? pbscan のように、より正常でTCPに適した、効率的なスキャンの別の手段を使用するのはどうですか。 metasploitHelper でNmapとMetaSploitの両方を同時に実行できますか?
すでに資格情報をお持ちの場合は、IP/ICMP/TCP/UDPスキャンの前に SPNスキャン を使用してください。次に、 portia 、 autoDANE 、および CrackMapExec などのツールでピボットします。
場合によっては、DCE-RPC over Ethernet(TCP/IP over Ethernetではなく)などの他のプロトコルがネットワークで使用されていることがありますが、 Piper を使用して2つの間にブリッジを構築することができます。 ARPを介してバックチャネル(C2、秘密チャネルなど)を作成しませんか?次に slarpd/slarpc をテストします。
他の場合には、TCP/IPプロトコルホッピングに phcctツール または SSHを介したForkitorメソッド を使用するなどして、既存のプロトコルに隠れチャネルを作成できます。目に見えないところに隠れる!
IPv6はどうですか?ネットワークで有効になっていますが、青いチームはそれを探していませんか? IPv6が有効かどうかを確認するには、ローカルスタックを取得し、ip -6 neighbor show、ndp -anを使用して、これらのネットワークをパッシブに表示するか、ping_を使用してアクティブに表示します(例:ping6 -c 2 ff02::1またはping6 -a ag、ping6 -a al、ping6 -N。 metasploit-frameworkからこのモジュールを実行します-auxiliary/scanner/discovery/ipv6_neighbor_router_advertisement
これらの手法を試してください https://www.ernw.de/download/newsletter/ERNW_Newsletter_45_PenTesting_Tools_that_Support_IPv6_v.1.1_en.pdf --IPv4ツールとターゲットIPv6ネットワークの間にブリッジを構築します。
あなたは選択をしなければなりません:あなたはステルスのために行くのですか、それとも広い範囲と効率のためですか?基本的に、nmap -sSを含むすべてのスキャンツールは、適切な速度で実行すると、有能なSOCによって簡単に検出されます。検出を避けたい場合は、リクエストを少なくするか、リクエストの速度を遅くする必要があります。
ラボで侵入テストを実行中に、Snort、Bro、Security Onionなどのツールを実行してみましたか?どの信号がすぐに発射されますか?これらのツールはどのように機能しますか?検出を避けたい場合は、検出のしくみを知っている必要があります。
ステルスが目的の場合:
- 明白なツール(SQLMapなど)を使用しないか、ユーザーエージェント文字列などを非表示にする設定があることを確認してください。 (例:
sqlmap --user-agent=Benign/1.0) - ゆっくりとできるだけターゲットを絞ってください。それを打とうとする前にあなたの目標を知ってください。静かにする必要がある場合、手術の精度は力ずくよりも優れています。
- 足がかりを得た場合は、トラフィックをそこにピボットして、ソースを不明瞭にします。
- 複数の拠点がある場合は、トラフィックを複数のソースに分散させます。
(テストの状況に非常に依存しているため)仕様をあまり詳しく説明しなくても、このようなことを考えることができます。
SOCはどのようにして攻撃者を見つけますか?いくつかの方法があります。それらは既知の攻撃ツールのシグネチャを探す可能性があります。たとえば、ほとんどのIDSにはnmapスキャン用のシグネチャがあり、nmapを使用してスキャンする場合はそれをオフにします。
青いチームが機能するもう1つの方法は、異常を探すことです。たとえば、ポート23455/TCPを使用しているネットワーク上にサービスがないことを知っていて、突然そのポートでトラフィックが表示されるようになった場合、それをアラート可能なイベントとして使用するのは簡単です。
攻撃者の観点からすると、どうすればそれを回避できますか?
最初の方法としては、よく知られたツールをデフォルトの構成で使用しないでください。 nmapの代わりに、サービスに接続できるオペレーティングシステムツールなどを使用してみてください(たとえば、SSHサーバーを探すループ内のSSHクライアント)
また、受動的である技術を利用してください。パケットスニッフィングにより、システムブロードキャストトラフィックが明らかになり、実行しているサービスが解放されます。したがって、たとえば、Windowsサーバーは、ユーザーが取得できる特定のブロードキャストを行う場合があります。そうすれば、それが何であるかがわかり、一般的なWindowsポートで直接連絡することができます。これは、SOCダッシュボードには表示されない可能性があります。これは通常のトラフィックであるためです。
回避すべきもう1つのことは、攻撃ツールの一般的なデフォルトポートです。ツールがデフォルトで出荷される場合、SSLトラフィックに443/TCPを使用するなど、別の何かを使用し、できればネットワークですでに使用されているものを使用することをお勧めします。
Nmapについては、マニュアルから直接読む価値のあるオプションがいくつかあります。これらは、よりステルスなスキャンを実行するのに役立ちます。 Nmap:Firewall/IDS Evasion and Spoofing