يركز مختبرنا التمهيدي على تحديد حادثة تتعلق بالوصول إلى لوحة الإدارة لخادم الويب.
قضية
خلال عطلة ISA ، تم التعاقد مع مطورين من جهات خارجية لإنشاء تطبيق ويب تم التخطيط لاستضافته على خادم الويب Tomcat. للراحة ، جعل المطورون وحدة تحكم الويب لإدارة تطبيقات الخادم متاحة للعالم الخارجي بأكمله وأنشأوا حساب مشرف "غير تافه": حساب مشرف.
التهديد
يأتي المهاجم ، أثناء فحص المضيفين الخارجيين للمؤسسة ، عبر المنفذ 8080 لخادم الويب المعني ، ويتأكد من توفر وحدة التحكم الإدارية ، وبعد عدة محاولات ، ينجح في تحطيم كلمة المرور لحساب المسؤول.
مهمة
من الضروري تحديد كيفية قيام مسؤول أمن المعلومات بإعداد SIEM قبل إجازته من أجل تسجيل حادثة متعلقة بالتهديد المعني في الوقت المناسب. بعد ذلك ، تحتاج إلى تنفيذ سيناريو الهجوم هذا والتأكد من أن توجيهات الارتباط تعمل بشكل صحيح.
البنية التحتية الافتراضية
يتطور الوضع في البنية التحتية لتكنولوجيا المعلومات التالية المنتشرة في VirtualBox:
- جهاز المهاجم (Kali Linux ، IP: 8.8.8.10 ، 4GB RAM ، kali: kali) ؛
- جدار حماية مع نظام كشف التسلل (pfSense ، IP خارجي: 8.8.8.1 ، IP للشبكة الداخلية: 192.168.1.1 ، DMZ IP: 192.168.2.1 ، ذاكرة وصول عشوائي 1 جيجابايت ، المسؤول: pfsense) ؛
- خادم الويب (Ubuntu Server 18.04 مع Tomcat ، IP 192.168.2.15 ، ذاكرة وصول عشوائي 2 جيجابايت ، المستخدم: المستخدم) ؛
- نظام خادم SIEM "KOMRAD" (Ubuntu 20.04 ، IP 192.168.1.99 ، ذاكرة وصول عشوائي سعتها 4 جيجابايت ، المستخدم: المستخدم).
إذا كنت مهتمًا بنشر هذه البنية التحتية بنفسك ، فيمكنك استخدام التعليمات ، ولكن إذا كنت تريد توفير الوقت ، فقد نشرنا الأجهزة الافتراضية التي تم تكوينها بتنسيق OVA . يجب الحصول على نظام SIEM بشكل إضافي ، ولكن سيتم وصف ذلك أدناه.
الحل: إنشاء نظام SIEM
لحل المشكلة ، سنقوم بتنفيذ إجراءات المهاجم بالتسلسل ، وتحليل كيفية انعكاسها في جدار الحماية وسجلات خادم الويب ، وتكوين تجميع الأحداث وتحليلها وتصفية الأحداث ، وكذلك إنشاء توجيهات الارتباط الضرورية في نظام SIEM.
يوفر دليل مختبرنا خطوات مفصلة لحل هذه المشكلة ، في المقالة ، سنركز فقط على النقاط الرئيسية.
1. إرسال الأحداث من جدار الحماية
يسمح لك جدار الحماية pfSense بإرسال سجلاتك عبر بروتوكول Syslog إلى خادم بعيد ، لذلك تحتاج فقط إلى تعيين عنوان IP ومنفذ مُجمع سجل النظام SIEM "KOMRAD" ، وكذلك إضافة قاعدة تسمح بإرسال السجلات من شبكة 192.168.2.0/24 إلى الشبكة الداخلية 192.168 .1.0 / 24.
سيستقبل نظام SIEM الأحداث من النوع التالي:
<134> 1 2020-10-18T02: 33: 40.684089 + 00: 00 pfSense.localdomain filterlog 9761 - - 4 ،،، 1000000103، em0، match، block ، in، 4، 0x0 ،، 64،25904،0، DF، 6، tcp، 60، 8.8.8.10 ، 8.8.8.1 ، 35818،1721،0، S، 1017288379 ،، 64240 ،، mss؛ sackOK؛ TS؛ nop؛ wscale
كما ترى ، يحتوي هذا الإدخال على معلومات مهمة مثل عنوان IP للمضيف الذي بدأ الاتصال ، وعنوان IP الخاص بالمضيف الذي تتم محاولة الاتصال به ، وإشارة إلى أن محاولة الاتصال قد تم حظرها.
2. إرسال الأحداث من خادم الويب
يقوم خادم الويب Tomcat بتسجيل طلبات http إلى السجلات المحلية التي يمكن إعادة توجيهها عبر rsyslog إلى نظام SIEM. لحل هذه المشكلة ، يمكنك أيضًا استخدام أداة تجميع الملفات ، والتي تعد جزءًا من نظام SIEM "KOMRAD". في السجلات ، يمكنك أن ترى أنه تم تسجيل عنوان IP للمضيف الذي تم استلام الطلب منه ، وكذلك حساب المستخدم في حالة التفويض الناجح:
3. تلقي سلسلة من الأحداث من قبل نظام SIEM "KOMRAD"
يتم تسجيل الأحداث المدروسة تلقائيًا بواسطة نظام SIEM "KOMRAD":
النوعان المذكوران من الأحداث كافيان لاكتشاف المواقف التالية:
- حظر الاتصال - على أساس الكتلة ؛
- فحص المنفذ - في حالة الحظر المتعدد لمحاولات الاتصال التي بدأها نفس المضيف ؛
- الوصول غير المصرح به المشتبه به - فحص المنفذ مع اكتساب حق الوصول الإداري لاحقًا.
يمكن أن تكون جميع المواقف الثلاثة حوادث تتعلق بأمن المعلومات ، ولكن بالطبع بمستويات مختلفة من الخطورة.
قبل تسجيل الحوادث ، نحتاج إلى معرفة كيفية استخراج المعلومات المفيدة أعلاه من الأحداث.
4. تحليل الأحداث بواسطة نظام SIEM "KOMRAD" (تحليل)
لتحليل أحداث المصدر في نظام SIEM ، تحتاج إلى إنشاء مكون إضافي يتضمن مجموعة من التعبيرات العادية. بالنسبة إلى المصادر الأكثر شيوعًا ، يحتوي COMRAD بالفعل على مكونات إضافية جاهزة. في حالة عدم وجود مكون إضافي ، يمكن للمستخدم إنشاء واحد.
يوجد أدناه مثال لتصميم تعبير عادي لاستخراج الحقول من حدث جدار الحماية أعلاه. كأداة لتصحيح الأخطاء ، استخدمنا البوابة https://regex101.com/
بعد إنشاء المكون الإضافي ، يتم استخراج البيانات من الأحداث في حقول منفصلة ، كما يتضح من بطاقة الحدث التالية:
5. تكوين المرشحات لاستخراج أحداث أمن المعلومات ذات الأهمية من الدفق
من أجل تحديد الأحداث التي تهمنا في تدفق الأحداث التي تدخل نظام SIEM ، نحتاج إلى إعداد عوامل تصفية. في نظام SIEM ، يتم تشكيل مرشحات "KOMRAD" باستخدام لغة البرمجة النصية الشهيرة Lua (متخصصو أمن المعلومات على دراية بها بالفعل من Nmap و Suricata).
لتحديد أحداث جدار الحماية المتعلقة بحظر الاتصال ، سننشئ الفلتر التالي:
-- filter
function filter(event)
-- , IP- ,
action = event:getString ('Action')
ip = event:getString ('IpSrc')
-- IP-,
if action == 'block' then
return {IP=ip}
end
endيبدو مرشح حدث Tomcat أكثر تعقيدًا بعض الشيء ، حيث نتحقق مما إذا كان الحساب الذي تم استرداده من الحدث يطابق القيمة "admin". في هذه الحالة ، نعيد أيضًا عنوان IP.
function filter(event)
journal = event:getString ('Journal')
login = event:getString ('Username')
ip = event:getString ('IpSrc')
if journal == 'tomcat-access' and login == 'admin' then
return {IP=ip}
end
endعند استخدامها في بيئة إنتاج ، لتحسين أداء النظام ، قد تحتاج إلى التحقق من معرف مُجمع معين في بداية كل مرشح للحد من نطاق عامل التصفية.
6. تكوين توجيهات الارتباط
لنقم بإنشاء توجيهات ارتباط للمواقف المدروسة بمستويات الخطورة التالية:
- حظر الاتصال - "غير مهم" ؛
- مسح المنفذ - منخفض ؛
- إرسال طلبات http باستخدام حساب المسؤول "مرتفع".
لإنشاء حادث إذا تم حظر الاتصال ، يكفي الإشارة في توجيه الارتباط إلى عامل التصفية المطبق الوحيد:
filter 5التوجيه الثاني ، الذي يجب أن يُنشئ حادثة في حالة حظر الاتصال ثلاث مرات بدأه نفس المضيف ، سيبدو كما يلي:
/* ip, , .*/
var ip
filter 5 export ip = ep.IP
/* IP.
notforking, .*/
filter 5 +1m where ep.IP==ip notforking
// .
filter 5 +1m where ep.IP==ip notforkingفي التوجيه الثالث ، أضفنا سطرًا آخر ، نستخدم فيه عامل التصفية بالمعرف 6 ، الذي تم إنشاؤه لتحديد الطلبات إلى خادم الويب باستخدام حساب المسؤول.
var ip
filter 5 export ip = ep.IP
filter 5 +1m where ep.IP==ip notforking
filter 5 +1m where ep.IP==ip notforking
filter 6 +1m where ep.IP==ip notforking
في مثال البرنامج التعليمي ، تُركت نافذة الوقت تساوي دقيقة واحدة ؛ في الحياة الواقعية ، من المنطقي زيادتها إلى عدة دقائق.
الحل: تنفيذ هجوم وتحديده
بعد تكوين مصادر الأحداث ونظام SIEM ، حان الوقت لإجراء هجوم وهمي. أولاً ، دعنا نفحص المنافذ:
ثم ننتقل إلى المنفذ 8080 وننتقل إلى التفويض مع المسؤول: حساب المسؤول:
يتم تسجيل هذه الإجراءات بواسطة نظام SIEM "KOMRAD": يتم تشغيل جميع توجيهات الارتباط الثلاثة:
خاتمة
وبالتالي ، في هذا العمل المخبري ، رأينا تسلسل الإجراءات لجمع وتحليل أحداث أمن المعلومات في حالة الوصول الإداري إلى خادم الويب. في المختبر التالي ، سيقوم المهاجم بتطوير الهجوم واستخدام الوصول الإداري المكتسب لجمع معلومات حول البنية التحتية المستهدفة.
كيفية الحصول على نسخة تجريبية من نظام SIEM "كومراد"
نقوم حاليًا باختبار تجريبي لمنتجنا ، حيث يمكن لأي شخص المشاركة فيه. للقيام بذلك ، نقدم الإصدار الحالي من نظام SIEM في شكل حاوية Docker. لا يوجد سوى نوعين من القيود في الإصدار التجريبي: يتم تخفيض معدل معالجة الأحداث إلى 1000 EPS ولا يوجد نظام ترخيص والتحكم في الوصول.
لتلقي أرشيف بنسخة تجريبية ، اكتب إلينا على عنوان البريد الإلكتروني getkomrad@npo-echelon.ru من صندوق بريد مؤسستك (نحن مهتمون بمن سيشارك). ندعوك أيضًا إلى مجموعة Telegram الخاصة بنا ، حيث يمكنك الحصول على المساعدة في حالة وجود أي صعوبات: https://t.me/komrad4
الروابط
- الآلات الافتراضية لتنظيم البنية التحتية للتدريب في VirtualBox: https://yadi.sk/d/GQ4BFn_soDJj0A
- , : https://yadi.sk/i/tD8nxckjYwr_6Q
- №1: https://yadi.sk/i/ffztj2XQMPD-xw