it-swarm-es.com

¿Cómo se acerca a un atacante un sitio web?

¿Qué es una mentalidad típica y un método de enfoque? ¿Qué es probable que lo intenten primero? ¿En qué momento se rinde un novato en comparación con un experto? ¿Cómo se diferiría un ataque automatizado de un manual?

8
VirtuosiMedia

De mi experiencia, la mayoría de los atacantes eligen los sitios web al azar. Descargaron algunas "herramientas de hacker", ingresaron un rango de IP y comenzarlo. Por lo general, un kit de herramientas explota un error específico en un software (como WordPress, Joomla, etc.). Si no ejecuta este tipo de software o ya no es vulnerable, proceden al siguiente sitio.

Sin embargo, si su sitio es el objetivo de algún ataque específico, el atacante explorará su sistema. Puede escanear los puertos abiertos para ver si hay algún software vulnerable o intentará averiguar qué tipo de software de sitio web ejecuta. Después de que lo encuentre, buscará un poco de explotamiento para su sistema y usarlo. Por lo general, el más fácil se intenta primero.

Un principiante probará algunos de su software estándar, mientras que un experto planificará su ataque. Intenta recoger tanta información que pueda obtener. Cada solo de la información puede ayudar a llegar a su objetivo.

6
qbi

De la mayoría de mis clientes (en general, las compañías de Fortune 100) puedo decir que la mayoría de los atacantes que notan (excluyen la amplia gama de escaneos y los ataques de script Kiddie cayendo en el perímetro y DMZ) son muy experimentados, tienen recursos extensos y siguen bastante los La misma metodología que los sombreros blancos.

Un ejemplo:

  1. Descubrimiento - de fuentes públicas
  2. La huella, puede estar bajo el radar de la mayoría de las IDS.
  3. Escaneo de vulnerabilidad: de aplicaciones web, defensas perimetrales, servidor de correo, etc.
  4. Explotación: utilice vulnerabilidades identificadas para llegar a un objetivo o establecerse.
  5. Escalada: se mueva del usuario al acceso administrativo/raíz, o de DMZ a la red interna
  6. Incrustación - rootkit, backgas, etc.
  7. Limpieza: ocultar pistas en archivos de registro, etc.

Por supuesto, esto es solo un ejemplo de nivel muy alto, pero da una idea.

18
Rory Alsop

Ya sea que a través de ataques oportunistas a veces se describen como scriptkiddie hackeando u otros, realmente no importa, de hecho, me he encontrado con un término más de un intento de difamación en lugar de una descripción adecuada del atacante.

Los atacantes no importan los "sombreros" de colores que se proponigan para apoyar ... verán el enfoque fácil antes de cavar más profundo. ¿Por qué un atacante incluso se molestaría en profundizar como algunas de las respuestas anteriores, si dicen que el servidor web estaba alojando a 100 sitios web que eran una mezcla de joomla, Wordpress y versiones desactualizadas de OsCommerce.

En los que lo esperaba sería un tesoro de puntos de entrada para cargar el código de concha/administradores de archivos, e incluso aumentará su camino en el control completo del servidor web.

De hecho, el método más popular en estos días es la explotación múltiple en masa donde los servidores permanentes están dedicados a trolling servicios de búsqueda como Google, encontrar sitios vulnerables, cargar código de concha y agregar código de puerta trasera, luego registrar los sitios para una mayor explotación.

Estos 'ataques automatizados' no difieren tanto de la firma de los ataques individuales, que no sea el hecho de que el sitio de la víctima se usa generalmente más para difundir los virus del navegador o para los ataques proxys en otros sitios web vulnerables, en lugar de la desagemento de piratas informáticos estereotipados. .

Los novicios ... se convierten en expertos, eventualmente, si persisten con el aprendizaje sobre la seguridad web.

Muchos atacantes individuales comienzan con los métodos más fáciles, es decir, las vulnerabilidades de script web conocidas, o los métodos de explotación de servidores no parnados, ya que estos a menudo serán las formas más rápidas y fáciles de obtener acceso a un servidor web y, en general, la mayoría de los atacantes no tendrían que ir mucho más lejos que esto Especialmente en los entornos de servidor web compartidos.

Debido a esto, hay una tendencia a los que se han explotado, al descubrir cómo se explotaron sus servidores (es decir, ser un error de los suyos por no mantener sus cosas al día), para luego señalar el palo en el llamado 'Script- Kiddie 'Cuando, de hecho, este tipo de ataque es el más fácil, por lo tanto, lógicamente, el primer método y el más utilizado.

Donde no se dispone de métodos de entrada fácilmente disponibles, más tenaces comenzarán mucho de lo que Rory Aslop describe anteriormente, el enfoque de 'moler', que es más tiempo que consume mucho, a menudo, a menudo produce muy poco en el camino de los puntos de entrada.

Enfoca que algunos, por ejemplo, los tipos anónimos, se dirigirán a los ataques de estilo DDOS Hammer para eliminar a los servidores web sin conexión o al menos hacer que se lastime (los atacantes impulsados ​​por políticamente).

Incluso hay algunas razas de atacantes que no creen en la explotación del servidor que no sea la denegación del ataque al servicio, y en el otro lado de esa moneda, hay atacantes que creen que la denegación de ataques de servicio es para el bajo IQ ...

Al final, realmente no es un problema directo que puede responderse fácilmente y su mundo, a veces lleno de fanotrismo y fundamentalismo, los que realmente buscan son los tenaz, que originalmente pueden carecer de las habilidades tecnológicas para sacar algo , pero la tenacidad, como se indica, a menudo impulsa al aumento.

0
Taipo