前回のサイバーバトルTheStandoffで、SOCチームの作業(前回の記事で詳しく説明します)を引き続き取り上げます。本日は、PositiveTechnologiesが開発したPTNetwork Attack Discovery(PT NAD)NTAシステムを使用した監視の結果と、境界およびネットワーク内の攻撃の検出について説明します。
6日間で、PT NADは800万を超える攻撃を記録し、そのうち778がユニークでした。検出された攻撃のほとんどは、さまざまなネットワークスキャナーと自動化された脆弱性スキャナーのアクティビティの結果です。私たちの場合、攻撃とは、悪意のあるネットワークトラフィックに対して検出ルールをトリガーすることを意味します。
内部ネットワークの浸透
. : 29 , . .
2020 FF , , , , , , . , / .
. 340 000 , 313. , , , .
-15 , . HTTP- , Emerging Threats.
№ |
|
1 |
NERVE |
2 |
gobuster |
3 |
Fuzz Faster U Fool |
4 |
DirBuster |
5 |
Nmap |
6 |
SQLmap |
7 |
OpenVAS-VT |
8 |
Nuclei (github.com/projectdiscovery/nuclei) |
9 |
Hydra |
10 |
Nessus |
11 |
MEDUSA1.0 |
12 |
Brutus/AET2 |
13 |
Nikto |
14 |
Ruby WinRM Client |
15 |
Burp Suite |
-15 ,
L7 PT NAD . , , , Nuft. , . , 445- . . NTLM- Nuft.
OS Credential Dumping: DCSync . . nuft\scanmaste, . .
GitLab- Bank of FF SSH. SSH .
.
. , .
, RDP RDG-. , . , , , . HTTP. IP-, . URL - . POST, , - .
, -.
. , standoff356[.]com. , -. .
- . , DMZ Nuft, RAW TCP -.
- . . , : . SOCKS5. - olololo. DCERPC- nuft\Administrator. Impacket WMIExec. , -. WSUS.
, Exchange- , 172.20.62.6.
. , PT Sandbox -.
. — . . , , . , , , . PT NAD . — MaxPatrol SIEM, PT Application Firewall PT Sandbox — , .
: , Positive Technologies (PT Expert Security Center)