482 подписчика

Хакеры идут в автоматизацию процессов, а вы нет?

Технологии
Больше по теме

Автоматические системы

Взлом ВСЕХ сайтов

Автоматические системы Взлом ВСЕХ сайтов Все мы привыкли к CRM / ERP, дашбордам, таскменеджерам и прочим прелестям современных технологий, позволяющим автоматизировать, практически, всё на свете!

Все мы привыкли к CRM / ERP, дашбордам, таскменеджерам и прочим прелестям современных технологий, позволяющим автоматизировать, практически, всё на свете!

Если мне не изменяет память, в 2010 году на одном из хакерских форумов появилась информация о том, что некая группа лиц просканировала все домены в интернете. Также они определили какие системы управления сайтами и плагины установлены на каждом из доменов, а ещё выяснили кучу другой полезной информации. Эти же ребята проводили регулярные обновления баз и продавали информацию всем желающим. Цену припомнить, увы, не смогу.

Это была первая веха автоматизация взлома на уровне сервисов. В то время Metasploit Framework (система для атаки по целям) ещё не была ограничена в количестве целей, а только в уровне интернет-канала, сервера и носков (прокси).

В те годы брутфорс (метод взлома перебором пароля по списку) серверов давно считался сервисом, где каждый желающий мог заниматься взломом или покупать доступы на дедики (сервера), которые с брутфорсили. Цены разнились от 10 центов до 2 баксов и зависели от объема (количества серверов). Множество серверов находились под паролями 12345 и password, и сейчас ничего толком не изменилось. 

С топом паролей за 2022 год можете ознакомиться тут: https://dlbi.ru/five-billion-password-2022/

Вернемся к сервису, который просканировал все домены. Что это дало атакующим? Возможность. Теперь достаточно было купить новую уязвимость, поставить метасплоит, загрузить в неё купленную базу доменов с нужной системой, запустить и забыть на время. Что на выходе? Очень много денег при минимальных затратах (не считая стоимости уязвимости, которая могла достигать десятка тысяч долларов).

Сканировать интернет целиком можно было и в далеком 2010 году. Для этого не нужно было быть гуглом. На дворе 2023 год, и прогресс не стоит на месте. В конце концов, создали же WormGPT.

Что же это такое? Чат-бот WormGPT создан на основе бесплатной языковой модели GPT-J, но, в отличие от собратьев по искусственному разуму, например, ChatGPT и Google Bard, не имеет никаких этических ограничений и может запросто написать для пользователя вредоносную программу или дать рекомендации к осуществлению хакерской атаки.

Рынок автоматических систем сегодняшнего дня

Когда я задумывал эту статью, то планировал сделать полный обзор рынка, но на середине пути остановился и понял, что это не имеет смысла. В наше время существуют целые поисковые системы, которые просто сканируют интернет на предмет нужных им данных.

Далее я расскажу вам, что видит администратор любого сайта каждый день. Стоит уточнить, что не все знают о существовании логов, которые нужно подвергать регулярной проверке, что ресурсы нужно защищать. Но мы с вами, пожалуй, заглянем в тёмные дебри кибербезопасности и взглянем на скриншот ниже.

Автоматические системы Взлом ВСЕХ сайтов Все мы привыкли к CRM / ERP, дашбордам, таскменеджерам и прочим прелестям современных технологий, позволяющим автоматизировать, практически, всё на свете!-2

Обратите внимание на время. Сайты и серверы каждый день бомбардируют сотни и тысячи всевозможных запросов от систем, которые пытаются получить информацию или просто вслепую поэксплуатировать уязвимость. Это аналог брутфорса, суть которого состоит в том, чтобы получить информацию о системе: процессорное время, интернет-трафик и прокси. Зачем проводить анализ, если можно сразу атаковать? Но при условии, что у меня нет базы данных, в которой уже есть нужные мне данные о всех системах в целевом регионе. 

В данной ситуации, атакующие ищут возможность получить доступ к базе данных и увести её. Если взлом произошёл подобным образом, значит, защиты у вашей компании не было. Прямой взлом базы данных, возможен, только если база данных видна из за периметра, что кстати, на скрине и проверяют, а можно ли получить доступ к БД.

Вот пример, как ломают и ищут БД. Оставил БД "смотреть в мир", а возможность получить доступ к ней найдут!

РОКОВАЯ СИМФОНИЯ
telegra.ph

Техническая информация для общего понимания

Существует системы эксплуатации эксплойтов, которые используются для поиска и использования уязвимостей. Приведу примеры некоторых из них.

  1. Metasploit Framework. Один из самых популярных и мощных инструментов для эксплуатации уязвимостей. Он предлагает широкий набор модулей и эксплойтов для различных целей, включая удаленное выполнение кода, получение доступа к системе и ещё множество других преимуществ. Ранее имел возможность работать с большим списком целей, но затем разработчики сузили поле до одной цели, чтобы фреймворк не использовался в промышленных масштабах.
  2. Core Impact. Коммерческое решение, которое предлагает широкий набор инструментов для тестирования, связанных с проникновением и эксплуатацией уязвимостей. Также включает в себя специальные эксплойты и модули для различных платформ.
  3. CANVAS. Еще одно коммерческое решение, которое предлагает множество инструментов для эксплуатации уязвимостей. Включает в себя модули для сторонних приложений, операционных систем и протоколов.
  4. OpenVAS. Состоит из двух основных компонентов: OpenVAS Scanner и OpenVAS Manager. Сканер выполняет фактическое сканирование целевой системы на предмет уязвимостей, а менеджер обрабатывает конфигурацию, планирование и создание отчетов о результатах сканирования.
  5. Nessus. Позволяет выявлять возможные проблемы в безопасности сети, обнаруживать слабые места в системе и предлагать рекомендации по их устранению. Предоставляет множество функций, включая сканирование по различным протоколам, анализ на основе базы данных уязвимостей и генерацию подробных отчетов.
  6. Shodan. Поисковая система, которая сфокусирована на поиске устройств, подключенных к интернету. Она сканирует интернет в поисках открытых портов и отображает информацию о найденных устройствах, включая серверы, маршрутизаторы, камеры наблюдения, промышленные системы управления и многое другое. Аналоги Shodan включают такие поисковые системы, как Censys, ZoomEye, BinaryEdge и IoT Inspector, которые также предоставляют информацию о подключенных устройствах и их уязвимостях.
  7. ExploitDB. Обширная база данных, которая содержит несколько тысяч эксплойтов и кодов для различных уязвимостей. Не имеет полного аналога, так как это одна из самых популярных и обширных баз данных эксплойтов и уязвимостей.
  8. National Vulnerability Database (NVD). База данных, поддерживаемая Национальным институтом стандартов и технологий США (NIST), которая содержит информацию о различных уязвимостях и исправлениях безопасности.
  9. Packet Storm Security. Ресурс, предлагающий информацию о безопасности, включая эксплойты, уязвимости и утилиты.
  10. Vulners. Поисковый движок для безопасности, который объединяет данные из различных ресурсов, включая уязвимости, эксплойты, инструменты и статьи.
  11. Exploit Pack. Профессиональный набор инструментов для пентестинга, который содержит базу данных эксплойтов и уязвимостей.

Автоматизация действий в рекламе

В течение последних 6 месяцев Кристин Тынски писала скрипты по автоматизации для SEO, контент-маркетинга, PR и социальных сетей. Я дам ссылки на них.

  1. Быстрая цепочка идей: https://colab.research.google.com/drive/1uDzBkt_nbhZAgxwoSZQPAv74STD9wINN#scrollTo=Havir0g_UQyT
  2. Мгновенный контент-план: https://colab.research.google.com/drive/1uSL1mAIfa21EAHBR2LxPYJFoT6OAL75A#scrollTo=Havir0g_UQyT
  3. Кластеризация на основе встраивания и описания кластеров GPT3: https://colab.research.google.com/drive/1lkNajbtajXQVq6I3zHS88AxtmPbGYLyG#scrollTo=o70meP0dUPC5
  4. Автоматические идеи контента, основанные на намерении — огромная сила связанных подсказок + внешние данные (SERPAPI): https://colab.research.google.com/drive/1OlzRj8vPYUEmiVdPKlGFdRWhy26VZD21#scrollTo=OKzhaff2vtn_
  5. Автоматическое исследование потребителей и создание персон: https://colab.research.google.com/drive/1nZ7-wUQ9BT9KdJqzePR4Nqt4AdZgIgMN
  6. Автоматический анализ тенденций Reddit с помощью GPT3: https://colab.research.google.com/drive/1Zq3g5A5ZJwSTPs8gieIZ6EfkxsLTPs-0#scrollTo=Yqy2k5CrOlto
  7. Намерение, персонажи и потребности покупателей по ключевым словам: https://colab.research.google.com/drive/1u5wQIICk-AM975R2rG6AtALZtopkqmfy#scrollTo=A3I-rXte9q82
  8. Автоматическое создание структуры статьи путем анализа текста статьи страниц с самым высоким рейтингом по заданному ключевому слову: https://colab.research.google.com/drive/1Ph8KmQ4zWv5ClnO-i4L9hsQ8-9O56pev#scrollTo=xeH01QSvLl3-
  9. Автоматизированные рекомендации Subreddit и Post Title на основе любой статьи: https://colab.research.google.com/drive/1M4SorGOFqNyiuiDmIESCC-7UOj-Qd95-#scrollTo=-UxP6j4c2de4
  10. Бесплатный скрипт, автоматический расширитель вопросов (Free Alternative to AnswerThePublic Powered by GPT3): https://colab.research.google.com/drive/1k6AUO13urMlLIY2FeKCa0v5PnqN7Owci#scrollTo=PyQcgc3Cq52v
  11. Автоматически генерировать резюме, план статьи, полную статью и цепочку твитов из URL-адреса Youtube: https://colab.research.google.com/drive/1EkJrUkf7Ofxdeg8OLpsnr877e2nenI7_#scrollTo=wJnuKnTvFVMU
  12. Идея контента для автоматизированного ньюсджекинга: https://colab.research.google.com/drive/1k7vOzCp0hjNjRBfIq5Y5LtuFsQqy1QVw#scrollTo=Zf6ABC0EAhhY
  13. Автоматический мониторинг и анализ новостных СМИ бренда или организации: https://colab.research.google.com/drive/1B8aStd1xhIfcOMfOZMYh8u7aY4NiFWQF#scrollTo=4Pvjf3SaPhX9
  14. Бесплатный скрипт — веб-сканирование с анализом контента и рекомендациями по якорному тексту: https://colab.research.google.com/drive/1VLTC2DJQd2JpGIpvt9VB202F_8T02XQZ#scrollTo=fI_P5xQBvEJQ
  15. Автоматический отчет о пробелах в содержании и анализ с кластеризацией и описаниями кластеров (Public): https://colab.research.google.com/drive/1_KSZxDaXKz0d2U9XtGKTi9vWEglSOTcf#scrollTo=0BqpW3sPJU3t
  16. Автоматические улучшения схемы с помощью GPT4 (Public): https://colab.research.google.com/drive/1NeJbtLGCEszwAkaq9KQ_9Ai-52wmAska#scrollTo=rL-UYrcMGNY_
  17. Автоматическое создание длинных статей с семантическими схемами и итерациями, ориентированными на SEO: https://colab.research.google.com/drive/1WXqgN7btVM_Rak05wfa1NUjP97mBeijs#scrollTo=VEYI9ytc_Jgp
  18. Изучение будущего исследований и длинного контента: использование возможностей LLM со сверхбольшим контекстным окном с помощью Python и цепных подсказок: https://colab.research.google.com/drive/1koQgOmoo04GFkPAsWYL7l7QfECwdduRL
  19. Оптимизация поиска модели для больших языков (Public): https://colab.research.google.com/drive/1OnUves5IL9FXxVk37l6rV4stCc2HRsBf#scrollTo=dK07vK-4d4VN
  20. Автоматическое создание длинных статей с семантическими схемами и итерациями на основе SEO — теперь с изображениями: https://colab.research.google.com/drive/1ukB7uIHoIgY4kS_1FFi3Em730Gg32TnH#scrollTo=VEYI9ytc_Jgp
  21. Автоматическая глубокая аналитика TikTok с GPT и Whisper: https://colab.research.google.com/drive/14tL3prBC70kKPl0T8raJJpjc3Cyhff_e#scrollTo=B9OxBhDpn1e-
  22. Автоматический перевод видео с помощью LipSync: https://colab.research.google.com/drive/1WSof1NGSQvfv8-meMjGTZaj9TkmxZ-K7#scrollTo=jtde28qwpDd6

Все что вы видите выше — это автоматизация действий в рекламе, которая разрабатывалась в течение 6 месяцев. В 2023 году мир идёт по пути автоматизация процессов. Кстати, а как поживают сферы бизнеса, связанные с бюрократией? Иногда кажется, что их обошли стороной. Интересно, почему же так происходит?)

Области автоматизации атак

В этой части статьи я расскажу вам про сферы, которые автоматизировали атакующие хакеры.

Область получения трафика с поисковых систем

  1. Помните пример из начала статьи, про автоматический взлом множества сайтов? Это один из вариантов получения трафика: взламываем сайт и каждому зашедшему на сайт пользователю, делаем полезную нагрузку в виде своего подарка.
  2. Сами взломанные сайты можно использовать и по-другому, загрузив им дорвей (автоматически сгенерированный сайт под поисковые системы, с целью получения трафика) адрессайта.net / раздел сайта / дорвей и довольно долго можно получать так трафик (на сленге — пирожок)
  3. Взломанные сайты также используют для расстановки капканов в виде скрытых ссылок для влияния на факторы ранжирования поисковых систем (когда-то ссылки, были самым важным фактором ранжирования в поисковиках: чем больше ссылок, тем выше позиции нужного тебе сайта в поисковых системах).
  4. Создание комбайнов, которые автоматизировали создание дорвеев, регистрацию доменов, простановку ссылок и так далее. Всё с той же целью — получение трафика.
  5. Комбайны, цель которых было создать ссылочную массу для сайта с целью повлиять на факторы ранжирования в поисковиках. Обычно ссылки проставлялись спамом.

Область сбора данных об информационных ресурсах

Сейчас написать такую систему, уже не представляет каких-либо сложностей, ведь вся информация есть в публичном доступе, а масштабирование можно совершить с помощью денег. Такая система — поисковый паук в купе с грамотно настроенной инфраструктурой.

Область атаки на цели в автоматическом режиме

По вполне понятным причинам.

Область компьютерных игр

Да, их то же атакуют, создавая ботов для фарма (сбора) ресурсов и игровой валюты с целью их последующей продажи за реальные деньги.

Область PR (фермы ботов / троллей, фермы отзывов и т.п.)

Думаю, данная сфера также не нуждается в подробных пояснениях. В нынешней ситуации, все мы страдаем от этого.

Автоматизация атак и безопасность бизнеса

Если задачу можно выгодно автоматизировать, то её сразу автоматизируют. Повторение рутинных действий специалиста стоит дорого, машина в этом плане всегда дешевле. Бывают ситуации, когда разработка машины стоит месячную зарплату НЕ специалиста и полностью выполняет всю его работу. Один компьютер может заменить и десять человек.

На данный момент, автоматические системы не способны сравниться с таргетированной атакой, но мы не знаем, что случится завтра. Например, до появления в общем пользовании скриптовых чат-ботов, целью которых была продажа без участия человека, они занимались продажами через спам в социальных сетях. Люди тогда даже не понимали, что общаются с машиной, потому что это было что-то новое.

Сколько пройдет времени до того, как дипфейки с GPT начинкой смогут продавать сами? Видеозвонок от машины… К такому люди ещё не готовы! Они просто не поймут, что общаются с машиной, потому что не могут представить подобное в обычной жизни.

В одной из статей я упомянул, что автоматизированные системы для атаки — это настоящая боль для ИБ. Они постоянно долбятся во все дыры и создают настоящий шум в логах, который может скрыть таргетированную атаку. Там не должно быть ничего подозрительного, например, посторонних поисковых ботов.

Почему появляется возможность проникновения? Один из разработчиков мог выкатить на прод (боевой сервер) конфигурацию с базовыми настройками безопасности и не сменить пару логин/пароль со стандартных… И тут пришла автоматическая система, которая смогла пройти периметр… Такое бывало у многих.

Автоматические системы требуют от ИБ следить за новыми уязвимостями, чтобы в их системах происходило своевременное обновление. В этом, конечно, заключается их большой плюс.

Главный же минус в том, что многие в ИБ считают, что, установив крутую систему периметра, система сделаем всё сама. Это большая ошибка. ИБ должна настроить периметр под конечную систему, прописать для неё целые списки правил, понять, как она работает и так далее. Подобное заблуждение погубило не одно ИБешника. Вся защита уникальна

Атакующим жить проще, потому что автоматизации атак унифицированы. Разумеется, атакующие системы требуют ювелирной настройки, но, если сделать всё по стандарту, просто ухудшится результат. В защите всё ровным счётом наоборот. Несправедливо, но факт!

P.S. Автор - Алексей Меркулов https://t.me/fobscraft специально для канала - sbprobiz.

#fobscraft #меркулов #безопасностьбизнеса #корпоративнаябезопасность #хакинг #шифровальщики #sbprobiz #ICSA