Continuamos a cobrir o trabalho da equipe SOC (mais sobre isso em nosso artigo anterior ) na última batalha cibernética The Standoff . Hoje iremos falar sobre os resultados da monitorização utilizando o sistema PT Network Attack Discovery (PT NAD) NTA , desenvolvido pela Positive Technologies e na detecção de ataques no perímetro e dentro da rede.
Em seis dias, o PT NAD registrou mais de 8 milhões de ataques, dos quais 778 foram únicos. A maioria dos ataques detectados é resultado da atividade de vários scanners de rede e scanners de vulnerabilidade automatizados. Em nosso caso, um ataque significa acionar uma regra de detecção em tráfego de rede malicioso.
Penetração da rede interna
. : 29 , . .
2020 FF , , , , , , . , / .
. 340 000 , 313. , , , .
-15 , . HTTP- , Emerging Threats.
№ |
|
1 |
NERVE |
2 |
gobuster |
3 |
Fuzz Faster U Fool |
4 |
DirBuster |
5 |
Nmap |
6 |
SQLmap |
7 |
OpenVAS-VT |
8 |
Nuclei (github.com/projectdiscovery/nuclei) |
9 |
Hydra |
10 |
Nessus |
11 |
MEDUSA1.0 |
12 |
Brutus/AET2 |
13 |
Nikto |
14 |
Ruby WinRM Client |
15 |
Burp Suite |
-15 ,
L7 PT NAD . , , , Nuft. , . , 445- . . NTLM- Nuft.
OS Credential Dumping: DCSync . . nuft\scanmaste, . .
GitLab- Bank of FF SSH. SSH .
.
. , .
, RDP RDG-. , . , , , . HTTP. IP-, . URL - . POST, , - .
, -.
. , standoff356[.]com. , -. .
- . , DMZ Nuft, RAW TCP -.
- . . , : . SOCKS5. - olololo. DCERPC- nuft\Administrator. Impacket WMIExec. , -. WSUS.
, Exchange- , 172.20.62.6.
. , PT Sandbox -.
. — . . , , . , , , . PT NAD . — MaxPatrol SIEM, PT Application Firewall PT Sandbox — , .
: , Positive Technologies (PT Expert Security Center)