Источник: https://github.com/AnaktaCTF/CTF/blob/main — OSINT/Active_Scanning.md

Оглавление

• Введение
• Почему Active Scanning опасен?
• Какие инструменты используются?
• Методы Active Scanning
  • Сканирование портов
  • Сканирование уязвимостей
  • Сканирование веб-приложений
  • Сканирование сетевых устройств
  • Сканирование DNS
  • Сканирование API
  • Сканирование облачных сервисов
• Методы защиты от Active Scanning
  • Настройка межсетевых экранов
  • Использование систем обнаружения вторжений (IDS)
  • Ограничение информации в DNS
  • Мониторинг сетевой активности
  • Обновление и патчинг систем
  • Обучение сотрудников
  • Использование honeypot-систем
• Примеры реальных атак
• Технические особенности эксплуатации
• Заключение
• Ссылки и ресурсы

---

Введение

Active Scanning (активное сканирование) — это процесс активного взаимодействия с целевой системой или сетью для сбора информации о её конфигурации, открытых портах, уязвимостях и других характеристиках. Этот метод используется как злоумышленниками для подготовки атак, так и специалистами по безопасности для проведения тестов на проникновение.

Активное сканирование включает в себя отправку запросов к целевым системам и анализ их ответов. Оно позволяет выявить потенциальные точки входа, такие как открытые порты, устаревшие сервисы или неправильно настроенные приложения. Однако, в отличие от пассивного сканирования, активное сканирование может быть обнаружено средствами мониторинга сети.

---

Почему Active Scanning опасен?

1️⃣ Выявление уязвимостей

Active Scanning позволяет злоумышленникам:

• Определять открытые порты и работающие сервисы.
• Находить устаревшие версии ПО с известными уязвимостями.
• Сканировать веб-приложения на наличие SQL-инъекций, XSS и других уязвимостей.

Опасность: Злоумышленники могут использовать полученную информацию для подготовки целевых атак.

---

2️⃣ Нарушение конфиденциальности

Сканирование может выявить:

• Конфиденциальные данные в открытых сервисах (например, FTP или SMB).
• Неправильно настроенные DNS-записи.
• Информацию о внутренней структуре сети.

Опасность: Утечка информации может привести к компрометации системы.

---

3️⃣ Увеличение нагрузки на сеть

Активное сканирование может:

• Создавать значительную нагрузку на сетевые устройства.
• Приводить к сбоям в работе сервисов из-за большого количества запросов.
• Вызывать ложные срабатывания систем мониторинга.

Опасность: Это может нарушить нормальную работу инфраструктуры.

---

4️⃣ Легкость обнаружения

Active Scanning оставляет следы:

• В логах сетевых устройств и серверов.
• В системах обнаружения вторжений (IDS).
• В отчетах мониторинга сетевой активности.

Опасность: Злоумышленник может быть идентифицирован и заблокирован.

---

5️⃣ Использование в APT-атаках

Группы APT используют Active Scanning для:

• Подготовки к целевым атакам.
• Выявления слабых мест в инфраструктуре.
• Сбора информации для обхода защитных механизмов.

Опасность: Это может привести к долгосрочной компрометации сети.

---

Какие инструменты используются?

1️⃣ Nmap

Описание: Один из самых популярных инструментов для сканирования портов и сервисов.

Примеры команд:

nmap -sS -p 1-65535 192.168.1.1
nmap -A -T4 example.com

✅ Вывод: Список открытых портов, сервисов и их версий.

---

2️⃣ Nessus

Описание: Коммерческий сканер уязвимостей, который позволяет находить слабые места в системах.

Примеры использования:

• Сканирование сети на наличие уязвимостей.
• Генерация отчетов о найденных проблемах.

✅ Вывод: Подробный отчет о найденных уязвимостях.

---

3️⃣ Nikto

Описание: Инструмент для сканирования веб-серверов на наличие уязвимостей.

Пример команды:

nikto -h http://example.com

✅ Вывод: Список уязвимостей веб-сервера.

---

4️⃣ Masscan

Описание: Высокоскоростной сканер портов, способный сканировать миллионы IP-адресов за короткое время.

Пример команды:

masscan -p1-65535 192.168.1.0/24 --rate=10000

✅ Вывод: Список открытых портов.

---

5️⃣ Burp Suite

Описание: Инструмент для тестирования безопасности веб-приложений.

Пример использования:

• Перехват и модификация HTTP-запросов.
• Автоматическое сканирование веб-приложений.

✅ Вывод: Уязвимости, такие как SQL-инъекции и XSS.

---

6️⃣ Sublist3r

Описание: Инструмент для сбора поддоменов через DNS-запросы.

Пример команды:

sublist3r -d example.com

✅ Вывод: Список поддоменов.

---

Методы Active Scanning

1. Сканирование портов

Сканирование портов — это процесс отправки запросов на различные порты целевой системы для определения, какие из них открыты и какие сервисы на них работают.

Как работает:

• SYN-сканирование: Отправляется SYN-запрос для проверки состояния порта. Если порт открыт, система отвечает SYN-ACK.
• TCP Connect-сканирование: Выполняется полный цикл соединения с портом, что позволяет определить его состояние.
• FIN, Xmas, Null-сканирование: Используются нестандартные пакеты для обхода защитных механизмов, таких как межсетевые экраны.
• UDP-сканирование: Проверяются порты, работающие по протоколу UDP, путем отправки пустых пакетов.

Пример:

nmap -sS -p 1-65535 192.168.1.1

Применение:

• Выявление открытых портов и работающих сервисов.
• Определение потенциальных точек входа в систему.

---

2. Сканирование уязвимостей

Сканирование уязвимостей позволяет выявить слабые места в программном обеспечении и конфигурации систем.

Как работает:

• Сравнение версий ПО: Анализируются версии установленных приложений и сравниваются с базой известных уязвимостей (например, CVE).
• Тестирование конфигураций: Проверяются настройки систем на наличие ошибок или слабых мест.
• Генерация отчетов: Инструменты, такие как Nessus, предоставляют подробные отчеты с указанием уровня критичности уязвимостей.

Пример:

nessus -scan example.com

Применение:

• Используется для подготовки атак или тестирования безопасности.
• Помогает определить, какие уязвимости требуют немедленного устранения.

---

3. Сканирование веб-приложений

Сканирование веб-приложений направлено на поиск уязвимостей, таких как SQL-инъекции, XSS и другие.

Как работает:

• Анализ HTTP-запросов и ответов: Проверяются параметры запросов на наличие уязвимостей.
• Проверка конфигурации серверов: Анализируются настройки веб-серверов, такие как доступ к файлам конфигурации.
• Автоматизированное тестирование: Инструменты, такие как Burp Suite, проводят автоматическое сканирование веб-приложений.

Пример:

nikto -h http://example.com

Применение:

• Выявление уязвимостей в веб-приложениях.
• Проверка на наличие небезопасных настроек.

---

4. Сканирование сетевых устройств

Сканирование сетевых устройств позволяет выявить маршрутизаторы, коммутаторы и другие устройства в сети.

Как работает:

• SNMP-запросы: Используются для получения информации о конфигурации устройств.
• Анализ открытых портов: Проверяются порты, используемые для управления устройствами.
• Определение топологии сети: Сканирование помогает построить карту сети.

Пример:

nmap -sU -p 161 192.168.1.0/24

Применение:

• Используется для выявления уязвимых устройств в сети.
• Помогает определить слабые места в инфраструктуре.

---

5. Сканирование DNS

Сканирование DNS направлено на сбор информации о доменах и поддоменах.

Как работает:

• Анализ DNS-записей: Проверяются записи типа A, MX, TXT и другие.
• Поиск поддоменов: Используются инструменты, такие как Sublist3r, для выявления скрытых поддоменов.
• Зоны передачи (Zone Transfer): Проверяется возможность получения полной информации о зоне.

Пример:

dnsenum example.com

Применение:

• Сбор информации о структуре домена.
• Выявление конфиденциальных данных в DNS-записях.

---

6. Сканирование API

Сканирование API направлено на выявление уязвимостей в интерфейсах прикладного программирования.

Как работает:

• Анализ запросов и ответов: Проверяются методы API на наличие уязвимостей, таких как недостаточная аутентификация, утечка данных или некорректная обработка ошибок.
• Тестирование безопасности: Проверяются параметры запросов на наличие инъекций (SQL, XML, JSON), недостаточной валидации данных или отсутствия ограничений на запросы.
• Автоматизация: Используются инструменты, такие как Postman, OWASP ZAP, или Burp Suite, для автоматического тестирования API, включая fuzzing и анализ ответов.

Пример:

curl -X POST https://api.example.com/v1/login -d '{"username":"admin","password":"password"}'

Применение:

• Выявление уязвимостей в API, таких как отсутствие токенов аутентификации или некорректная обработка данных.
• Проверка на соответствие стандартам безопасности, включая OWASP API Security Top 10.

---

7. Сканирование облачных сервисов

Сканирование облачных сервисов позволяет выявить уязвимости в конфигурации облачных платформ, таких как AWS, Azure или Google Cloud.

Как работает:

• Анализ конфигурации: Проверяются настройки IAM (управление доступом), разрешения на ресурсы, настройки сетевых политик и шифрования данных.
• Поиск открытых ресурсов: Выявляются публично доступные хранилища (например, S3-бакеты), базы данных или виртуальные машины.
• Сравнение с лучшими практиками: Инструменты, такие как ScoutSuite, CloudSploit, или Prowler, сравнивают конфигурацию с рекомендациями по безопасности.

Пример:

scoutsuite aws --report-dir ./reports

Применение:

• Аудит безопасности облачных сервисов для выявления избыточных разрешений, открытых ресурсов или устаревших конфигураций.
• Проверка соответствия стандартам, таким как CIS Benchmarks или ISO 27001.

---

Методы защиты от Active Scanning

1. Настройка межсетевых экранов

Как защитить:

• Ограничьте доступ к неиспользуемым портам.
• Настройте правила для блокировки подозрительных IP-адресов.
• Используйте географическую фильтрацию для ограничения доступа из определенных регионов.

Пример:

• Настройка правил в iptables или firewalld для блокировки нежелательного трафика.

---

2. Использование систем обнаружения вторжений (IDS)

Как защитить:

• Мониторинг сетевой активности: IDS, такие как Snort, Suricata или Zeek, анализируют входящий и исходящий трафик на наличие подозрительных паттернов.
• Настройка правил: Создайте правила для обнаружения типичных признаков сканирования, таких как большое количество запросов на разные порты за короткий промежуток времени.
• Интеграция с SIEM: Интегрируйте IDS с системами управления событиями безопасности (например, Splunk, ELK Stack) для централизованного анализа и корреляции событий.

Пример:

• Настройка Snort для обнаружения SYN-сканирования:

alert tcp any any -> any any (flags:S; msg:"SYN scan detected"; sid:1000001;)

---

3. Ограничение информации в DNS

Как защитить:

• Убедитесь, что DNS-записи не содержат лишней информации.
• Используйте приватные зоны DNS для внутренних ресурсов.
• Настройте DNSSEC для защиты от подделки записей.

Пример:

• Настройка приватных зон в BIND или Microsoft DNS Server.

---

4. Мониторинг сетевой активности

Как защитить:

• Анализ логов: Регулярно анализируйте логи сетевых устройств, таких как маршрутизаторы, межсетевые экраны и серверы, на наличие аномалий.
• Использование специализированных инструментов: Инструменты, такие как Wireshark, NetFlow, или SolarWinds, позволяют визуализировать и анализировать сетевой трафик.
• Настройка уведомлений: Настройте автоматические уведомления о подозрительных действиях, таких как большое количество запросов с одного IP-адреса.

Пример:

• Использование Wireshark для анализа подозрительного трафика:

tcp.port == 80 && ip.src == 192.168.1.100

---

5. Обновление и патчинг систем

Как защитить:

• Регулярно обновляйте операционные системы и приложения.
• Устанавливайте патчи для устранения известных уязвимостей.
• Используйте системы управления обновлениями для автоматизации процесса.

Пример:

• Настройка автоматического обновления в Ubuntu с помощью unattended-upgrades.

---

6. Обучение сотрудников

Как защитить:

• Проводите регулярные тренинги по кибербезопасности.
• Обучайте сотрудников распознавать подозрительную активность.
• Разрабатывайте инструкции по реагированию на инциденты.

Пример:

• Проведение тренингов с использованием платформы KnowBe4.

---

7. Использование honeypot-систем

Как защитить:

• Разворачивание honeypot-систем: Используйте инструменты, такие как Cowrie, Dionaea, или Kippo, для создания ловушек, имитирующих уязвимые системы.
• Сбор данных о злоумышленниках: Honeypot-системы позволяют собирать информацию о методах атак, IP-адресах и инструментах, используемых злоумышленниками.
• Интеграция с SIEM: Интегрируйте данные honeypot-систем с SIEM для анализа и корреляции событий.

Пример:

• Развертывание honeypot с помощью Cowrie:

docker run -d -p 2222:2222 cowrie/cowrie

---

Примеры реальных атак

1️⃣ Атака на Equifax (2017)

Описание: Злоумышленники использовали сканирование уязвимостей для выявления уязвимости в Apache Struts. Эта уязвимость позволила выполнить удаленный код на серверах компании.

Последствия: Утечка данных 147 миллионов пользователей, включая номера социального страхования, даты рождения и адреса.

---

2️⃣ Атака на SolarWinds (2020)

Описание: Использовалось сканирование DNS для сбора информации о внутренней инфраструктуре жертв. Злоумышленники также внедрили вредоносный код в обновления программного обеспечения SolarWinds.

Последствия: Компрометация государственных и частных организаций, включая агентства США и крупные корпорации.

---

3️⃣ Атака на Target (2013)

Описание: Злоумышленники использовали сканирование сетевых устройств для проникновения в сеть через уязвимый сервер HVAC (система управления климатом). После этого они получили доступ к POS-терминалам.

Последствия: Утечка данных 40 миллионов кредитных карт и 70 миллионов записей о клиентах.

---

4️⃣ Атака на Marriott (2018)

Описание: Сканирование уязвимостей позволило злоумышленникам получить доступ к базе данных клиентов через уязвимый сервер. Атака оставалась незамеченной в течение нескольких лет.

Последствия: Утечка данных 500 миллионов пользователей, включая номера паспортов и контактную информацию.

---

5️⃣ Атака на Colonial Pipeline (2021)

Описание: Использовалось сканирование API для выявления недостатков в системе аутентификации. Злоумышленники внедрили ransomware, что привело к остановке работы трубопровода.

Последствия: Остановка работы крупнейшего трубопровода в США, перебои с поставками топлива и выплата выкупа в размере 4,4 миллиона долларов.

---

Технические особенности эксплуатации

Active Scanning может быть выполнен с использованием различных методов и инструментов, которые позволяют злоумышленникам эффективно собирать информацию о целевой системе. Вот некоторые из ключевых особенностей:

• Использование высокоскоростных сканеров: Инструменты, такие как Masscan, позволяют сканировать миллионы IP-адресов за считанные минуты, что делает их идеальными для массового сбора данных.
• Маскировка активности: Злоумышленники могут использовать прокси-серверы, VPN или ботнеты для сокрытия своего реального местоположения. Это усложняет их обнаружение и блокировку.
• Автоматизация сканирования: С помощью скриптов и инструментов, таких как Python или Bash, можно автоматизировать процесс сканирования, включая обработку результатов и выполнение последующих действий.
• Обход защитных механизмов: Использование методов, таких как фрагментация пакетов или изменение временных меток, помогает избежать обнаружения системами IDS/IPS.
• Сканирование в нестандартное время: Для минимизации риска обнаружения злоумышленники часто проводят сканирование в ночное время или в периоды низкой активности сети.
• Анализ ответов системы: Злоумышленники могут использовать данные, полученные в результате сканирования, для построения карты сети, выявления слабых мест и подготовки целевых атак.
• Использование легитимных инструментов: Некоторые злоумышленники используют общедоступные инструменты, такие как Nmap или Burp Suite, чтобы их действия выглядели как легитимная активность.

---

Заключение

Active Scanning — это мощный инструмент, который может быть использован как для защиты, так и для атак. Его эффективность обусловлена возможностью получения детальной информации о целевой системе, включая открытые порты, уязвимости и конфигурацию сети. Однако, несмотря на его полезность для специалистов по безопасности, активное сканирование также представляет значительную угрозу, если используется злоумышленниками.

Для минимизации рисков, связанных с Active Scanning, необходимо внедрять следующие меры:

1. Комплексный подход к безопасности: Использование межсетевых экранов, систем обнаружения вторжений (IDS) и других защитных механизмов.
2. Регулярное обновление систем: Установка патчей и обновлений для устранения известных уязвимостей.
3. Обучение сотрудников: Повышение осведомленности о киберугрозах и обучение методам их предотвращения.
4. Мониторинг и анализ: Постоянный мониторинг сетевой активности и анализ логов для выявления подозрительных действий.
5. Использование honeypot-систем: Разворачивание ловушек для злоумышленников с целью сбора информации об их методах.

Важно понимать, что Active Scanning — это лишь один из этапов атаки. Злоумышленники могут использовать полученные данные для проведения более сложных и целевых атак, таких как эксплуатация уязвимостей, фишинг или внедрение вредоносного ПО.

---

Ссылки и ресурсы

• MITRE ATT&CK Framework – описание техники T1595.
• Nmap – инструмент для сканирования портов.
• Nessus – сканер уязвимостей.
• Burp Suite – инструмент для тестирования веб-приложений.
• Masscan – высокоскоростной сканер портов.
• Wireshark – анализатор сетевого трафика.
• OWASP ZAP – инструмент для тестирования веб-приложений.
• ScoutSuite – инструмент для анализа облачных конфигураций.
• CloudSploit – инструмент для мониторинга безопасности облачных сервисов.