Geekly articles weekly

Utiliser des méthodes offensives pour enrichir Threat Intelligence


Aujourd'hui, Threat Intelligence, ou la collecte active d'informations sur les menaces à la sécurité de l'information, est un outil essentiel dans le processus d'identification des incidents de sécurité de l'information. Les sources typiques de TI comprennent des abonnements gratuits avec des indicateurs malveillants, des bulletins de fabricants de matériel et de logiciels décrivant les vulnérabilités, des rapports de chercheurs en sécurité avec des descriptions détaillées des menaces, ainsi que des abonnements commerciaux de fournisseurs TI. De plus, souvent, les informations obtenues à l'aide des sources ci-dessus ne sont pas suffisamment complètes et pertinentes. L'utilisation d'OSINT (open source intelligence) et de méthodes offensives (c'est-à-dire des méthodes qui ne sont pas caractéristiques du défenseur mais de l'attaquant) dans la sécurité de l'information, qui seront discutées dans cet article, peut contribuer à améliorer l'efficacité et la qualité de TI.

AVIS DE NON-RESPONSABILITÉ


Cet article est à titre informatif uniquement. L'auteur n'est pas responsable des éventuels dommages et / ou perturbations des réseaux et / ou services de tiers liés à l'exécution de certaines actions décrites dans l'article. L'auteur encourage également les lecteurs à se conformer à la loi.

Pas Ă  la place, mais ensemble


Je voudrais tout de suite faire une réserve sur le fait qu'il ne s'agira pas de refuser ou de remplacer Threat Intelligence par des informations reçues de sources traditionnelles payantes et gratuites, mais de les compléter et de les enrichir.

Ainsi, l'utilisation de méthodes TI supplémentaires peut augmenter son efficacité et aider à résoudre un certain nombre de problèmes. Par exemple, avec la prochaine épidémie IoT affectant certaines versions vulnérables du firmware, combien de temps puis-je obtenir un flux avec les adresses IP des appareils potentiellement vulnérables afin de détecter rapidement leur activité sur le périmètre? Ou lorsque les règles du système de surveillance sont déclenchées par un indicateur (adresse IP ou nom de domaine) qui a été marqué comme malveillant il y a un an ou plus, comment comprendre s'il reste malveillant, à condition que vous lanciez une vérification supplémentaire de l'indicateur comme «Pour l'instant» est généralement impossible.

Autrement dit, l'ajout et l'enrichissement seront particulièrement utiles pour les indicateurs de mi-vie selon la «pyramide de la douleur» de David Bianco [0] (adresses IP, noms de domaine, artefacts de réseau), cependant, dans certaines circonstances, il est possible d'obtenir de nouveaux indicateurs à longue durée de vie (en haut de la pyramide) les analystes.



Analyse Internet


L'analyse des réseaux est l'une des méthodes utiles pour obtenir Threat Intelligence.

Ce qui est généralement collecté lors de la numérisation
Le plus souvent, lors d'une analyse, les résultats les plus intéressants sont obtenus en collectant ce que l'on appelle des «bannières» - les réponses du logiciel d'application du système numérisé aux demandes du scanner. Les «bannières» contiennent de nombreuses données identifiant le logiciel d'application et ses différents paramètres de «l'autre côté», et une telle vérification se fait assez rapidement.

Lorsque vous résolvez la tâche d'élargir la portée de Threat Intelligence, l'analyse ciblera l'intégralité d'Internet. Lors de l'analyse d'un espace d'adressage public (~ 3,7 milliards d'adresses IPv4, à l'exclusion des adresses réservées), vous pouvez extraire les informations utiles suivantes:

  • Quels nĹ“uds sont vulnĂ©rables Ă  des vulnĂ©rabilitĂ©s largement exploitĂ©es dans le cadre de campagnes malveillantes rĂ©elles et, de ce fait, sont des sources potentielles d'exposition malveillante.
  • Quels nĹ“uds sont les serveurs de contrĂ´le des rĂ©seaux de botnet [1] , dont les accès peuvent ĂŞtre identifiĂ©s par un nĹ“ud compromis dans le pĂ©rimètre protĂ©gĂ©.
  • Quels nĹ“uds appartiennent Ă  la partie non publique des rĂ©seaux anonymes distribuĂ©s, qui peuvent ĂŞtre utilisĂ©s pour sortir discrètement et sans contrĂ´le en dehors du pĂ©rimètre protĂ©gĂ©.
  • Informations plus dĂ©taillĂ©es sur les nĹ“uds «éclairĂ©s» dans le fonctionnement du système de surveillance.

SĂ©lection d'outils


Au fil des années de développement des réseaux d'information, un grand nombre d'outils de numérisation réseau ont été créés. Parmi les logiciels actuels, on peut distinguer les scanners suivants:


Examinez brièvement les principaux avantages et inconvénients de ces outils pour l'enrichissement des TI dans l'espace Internet.

Nmap


Peut-être le scanner de réseau le plus célèbre, créé il y a 20 ans. En raison de la possibilité d'utiliser des scripts personnalisés (via le moteur de script Nmap), il s'agit d'un outil extrêmement flexible, qui ne se limite pas à la simple collecte de «bannières» appliquées. À l'heure actuelle, un assez grand nombre de scripts NSE ont été écrits, dont beaucoup sont disponibles gratuitement. Étant donné que Nmap surveille chaque connexion, en d'autres termes, elle a un caractère synchrone, cela ne vaut pas la peine de l'utiliser pour de grands réseaux tels qu'Internet en raison de la faible vitesse du scanner. Dans le même temps, il est conseillé d'utiliser cet outil sur de petits échantillons d'adresses obtenus par des outils plus rapides, en raison de la puissance de NSE.

Ă€ propos de Nmap Speed
Malgré la productivité initialement faible, depuis la sortie de ce scanner, ses développeurs ont ajouté de nombreuses fonctionnalités qui augmentent la vitesse de numérisation. Parmi eux, les modes de fonctionnement parallèles et la tâche de débit en paquets par seconde. Cependant, même avec des paramètres tordus, Nmap est en retard sur ses concurrents asynchrones en termes de vitesse. En utilisant l'exemple de la numérisation / 15 sous-réseaux sur un port 443 / tcp à partir d'une machine virtuelle avec 1 CPU Xeon Gold 6140 et un canal gigabit, nous obtenons:

  • 71,08 secondes pour Nmap avec les paramètres -T5 -n -Pn -p 443 --open --min-rate 1000000 --randomize-hosts --defeat-rst-ratelimit –oG nmap.txt
  • 9,15 secondes pour Zmap avec les paramètres -p 443 –o zmap.txt


Zmap


Un scanner de réseau asynchrone assez connu, mais pas le premier du genre, apparu en 2013. Selon un rapport de développeurs publié lors de la 22e conférence USENIX Security Simposium [5] , l'outil est en mesure d'analyser l'intégralité de la plage d'adresses publiques, exécutée sur un ordinateur moyen avec une connexion Internet gigabit, en moins de 45 minutes (via un port). Les avantages de Zmap comprennent:

  • Haute vitesse; en utilisant le cadre PF_RING et une connexion de 10 gigabits, le temps d'analyse thĂ©orique d'un espace d'adressage IPv4 public est de 5 minutes (un port).
  • Prise en charge de l'analyse alĂ©atoire des adresses rĂ©seau.
  • Prise en charge du module pour les analyses TCP SYN, ICMP, les requĂŞtes DNS, UPnP, BACNET [6] , le sondage UDP.
  • PrĂ©sence dans les rĂ©fĂ©rentiels des distributions GNU / Linux courantes (en outre, il existe un support pour Mac OS et BSD).
  • En plus de Zmap, un certain nombre de projets utilitaires associĂ©s ont Ă©tĂ© dĂ©veloppĂ©s pour Ă©tendre les fonctionnalitĂ©s du scanner.

Si nous parlons des inconvénients de Zmap, nous pouvons noter ici la possibilité de scanner des adresses sur un seul port pour le moment.

Parmi les projets liés à Zmap, étendant ses fonctionnalités pour les tâches d'intérêt, on peut distinguer les suivants:

  • ZGrab est un scanner de protocole d'application avec prise en charge des protocoles TTP, HTTPS, SSH, Telnet, FTP, SMTP, POP3, IMAP, Modbus, BACNET, Siemens S7 et Tridium Fox (grabber de bannière avec des fonctionnalitĂ©s avancĂ©es).
  • ZDNS est un utilitaire pour les requĂŞtes DNS rapides.
  • ZTag est un utilitaire de balisage des rĂ©sultats d'analyse fourni par ZGrab.
  • ZBrowse est un utilitaire de distribution sans tĂŞte basĂ© sur Chrome pour suivre les modifications du contenu du site Web.

À propos des fonctionnalités de ZGrab
Le scanner avancé des protocoles d'application ZGrab, pour lequel la version 2.0 a déjà été publiée (il n'y a pas de parité fonctionnelle complète avec la version 1.X, mais elle sera réalisée dans un proche avenir, après quoi il sera possible de parler du remplacement complet de l'ancienne version par une nouvelle), qui vous permet de filtrer les résultats de manière assez flexible numérisation grâce à la prise en charge du format de sortie structuré (JSON). Par exemple, pour collecter uniquement l'émetteur du nom distinctif et le sujet des certificats HTTPS, une simple commande suffit:

 zmap --target-port=443 --output-fields=saddr | ./zgrab2 tls -o - | jq '.ip + "|" + .data.tls.result.handshake_log.server_certificates.certificate.parsed.issuer_dn + "|" + .data.tls.result.handshake_log.server_certificates.certificate.parsed.subject_dn' > zmap-dn-443.txt


Masscan


Le scanner asynchrone, créé la même année que Zmap, est similaire en syntaxe de commande à Nmap.

Le créateur (Robert David Graham) a déclaré une productivité plus élevée que tous les scanners asynchrones qui existaient à l'époque, y compris Zmap, grâce à l'utilisation d'une pile TCP / IP personnalisée.

Avantages du scanner:

  • Haute vitesse avec des performances thĂ©oriques allant jusqu'Ă  10 millions de paquets par seconde, ce qui vous permet de scanner tout l'espace public IPv4 en quelques minutes (sur un port) sur une connexion de 10 gigabits - la mĂŞme chose que dans Zmap en utilisant le cadre PF_RING.
  • Prise en charge des protocoles TCP, SCTP et UDP (via l'envoi de charges utiles UDP depuis Nmap).
  • Prise en charge de l'analyse alĂ©atoire des adresses rĂ©seau.
  • Prise en charge de la sĂ©lection de la plage IP et de la plage de ports lors de la numĂ©risation.
  • Prise en charge de diffĂ©rents formats pour la sortie des rĂ©sultats d'analyse (XML, grepable, JSON, binaire, sous forme de liste).

Dans le même temps, le scanner présente plusieurs inconvénients:

  • Dans le cadre de l'utilisation d'une pile TCP / IP personnalisĂ©e, il est recommandĂ© d'exĂ©cuter une analyse sur une IP dĂ©diĂ©e pour Ă©viter les conflits avec la pile du système d'exploitation.
  • Par rapport Ă  ZGrab, les possibilitĂ©s de capture de bannière sont plutĂ´t limitĂ©es.

Tableau de comparaison du scanner


Le tableau récapitulatif ci-dessous fournit une comparaison des fonctionnalités de ces scanners.

Valeurs dans les lignes du tableau
"++" - très bien implémenté
"+" - implémenté
"±" - implémenté avec restrictions
"-" - non implémenté



Sélection des cibles et de la méthode de scan


Après avoir choisi les outils à utiliser, vous devez décider de l'objet et du but de l'analyse, c'est-à-dire comprendre quoi et pourquoi analyser. Si le premier, en règle générale, aucune question ne se pose (il s'agit d'un espace d'adressage IPv4 public avec un certain nombre d'exceptions), alors avec le second, tout dépend du résultat final souhaité. Par exemple:

  • Pour identifier les nĹ“uds qui sont soumis Ă  une vulnĂ©rabilitĂ© particulière, il est raisonnable de parcourir d'abord la plage analysĂ©e avec un outil rapide (Zmap, Masscan) pour identifier les nĹ“uds avec des ports ouverts de services vulnĂ©rables; après avoir finalisĂ© la liste des adresses, il vaut la peine d'utiliser Nmap avec le script NSE correspondant, s'il en existe un, ou de crĂ©er un script personnalisĂ© basĂ© sur les informations disponibles sur la vulnĂ©rabilitĂ© dans les publications des chercheurs en sĂ©curitĂ©. Parfois, un simple grep suffit pour les bannières d'application collectĂ©es, car de nombreux services affichent des informations sur leur version.
  • Pour identifier les nĹ“uds de l'infrastructure cachĂ©e - Ă  la fois les rĂ©seaux anonymes et les nĹ“uds C2 (c'est-Ă -dire les serveurs de contrĂ´le des rĂ©seaux de botnet) - il sera nĂ©cessaire de compiler des charges utiles / sondes personnalisĂ©es.
  • Pour rĂ©soudre un large Ă©ventail de problèmes dans l'identification des nĹ“uds compromis, des parties de l'infrastructure des rĂ©seaux anonymes et d'autres choses, la collecte et l'analyse des certificats peuvent donner beaucoup lors des prises de contact TLS.

Choix d'infrastructure


Le fait que les scanners rapides modernes puissent afficher des résultats impressionnants sur des ressources plutôt modestes du processeur moyen ne signifie pas que la charge sur l'infrastructure réseau sera insignifiante. En raison des spécificités du trafic généré lors de l'analyse, un taux suffisamment important de paquets par seconde est obtenu. Selon l'expérience, un cœur du processeur moyen (sur un processeur de production de ces dernières années, dans un environnement virtuel, sous n'importe quel système d'exploitation, sans aucun réglage de la pile TCP / IP) est capable de générer un flux de l'ordre de 100 à 150 000 paquets par seconde et par voie de ~ 50 Mb / s , ce qui représente une lourde charge pour les routeurs logiciels. L'équipement réseau matériel peut également rencontrer des problèmes pour atteindre la limite de performances ASIC. Dans le même temps, à une vitesse de numérisation de 100 à 150 Kpps (milliers de paquets par seconde), le contournement de la plage IPv4 publique peut prendre plus de 10 heures, c'est-à-dire un temps assez important. Pour une analyse très rapide, vous devez utiliser un réseau distribué de nœuds d'analyse qui divise le pool analysé en parties. Un ordre de balayage aléatoire est également nécessaire pour que l'utilisation des canaux Internet et le chargement par lots des équipements des fournisseurs au «dernier kilomètre» ne soient pas significatifs.

Difficultés et moments «subtils»




En pratique, lors de la réalisation d'analyses de réseau de masse, on peut rencontrer un certain nombre de difficultés, à la fois de nature technologique et organisationnelle.

Problèmes de performances et de disponibilité


Comme mentionné précédemment, l'analyse de réseau de masse crée un flux de trafic avec une valeur PPS élevée, provoquant une charge importante à la fois sur l'infrastructure locale et sur le réseau fournisseur auquel les nœuds d'analyse sont connectés. Avant d'effectuer des analyses à des fins de recherche, il est impératif de coordonner toutes les actions avec les administrateurs locaux et les représentants du fournisseur. D'un autre côté, des problèmes de performances peuvent survenir sur les nœuds d'analyse finaux lors de la location de serveurs virtuels sur des services d'hébergement Internet.

Tous les VPS ne sont pas Ă©galement utiles.
Sur les VPS loués à des hébergeurs non traditionnels, on peut rencontrer une situation où sur des machines virtuelles productives (plusieurs vCPU et quelques gigaoctets de mémoire), les taux de paquets Zmap et Masscan ne dépassent pas quelques dizaines de Kpp. Le plus souvent, la combinaison de matériel obsolète et d'une combinaison non optimale de logiciels d'environnement virtuel joue un rôle négatif. D'une manière ou d'une autre, selon l'expérience de l'auteur, des garanties de performance plus ou moins substantielles ne peuvent être obtenues que des entreprises - leaders du marché.

De plus, lors de l'identification des nœuds vulnérables, il convient de considérer que certains contrôles NSE peuvent entraîner un déni de service sur les nœuds analysés. Une telle évolution de la situation n'est pas simplement non éthique, mais elle se situe définitivement en dehors du champ juridique et entraîne le déclenchement de conséquences sous la forme d'une responsabilité pénale.

Que recherchons-nous et comment?


Pour trouver quelque chose, vous devez savoir comment chercher quelque chose. Les menaces évoluent constamment et une nouvelle étude analytique est constamment nécessaire pour les identifier. Parfois, les analyses publiées dans les documents de recherche deviennent obsolètes, les incitant à mener leurs propres recherches.

Un exemple célèbre
À titre d'exemple, nous pouvons prendre une étude [5] de 2013 par les auteurs de Zmap, consacrée à l'identification des nœuds d'un réseau TOR. Au moment de la publication du document, en analysant la chaîne de certificats et en identifiant le nom du sujet spécialement généré dans les certificats auto-signés, ~ 67 mille nœuds TOR travaillant sur le port tcp / 443 et ~ 2,9 mille nœuds travaillant sur tcp / 9001 ont été trouvés. Actuellement, la liste des nœuds TOR détectés par cette méthode est beaucoup plus petite (une plus grande variété de ports est utilisée, des transports obfs sont utilisés, la migration vers les certificats Let's Encrypt est effectuée), ce qui force l'utilisation d'autres méthodes analytiques pour résoudre un problème similaire.

Plaintes d'abus


Lors de l'analyse d'Internet, il y a presque 100% de risques de recevoir un flux de plaintes pour abus. L'abus généré automatiquement pour une douzaine de paquets SYN est particulièrement ennuyeux. Et si les analyses sont répétées régulièrement, des réclamations créées manuellement peuvent également circuler.

Qui se plaint le plus souvent
Les principales sources d'abus (principalement automatiques) sont les établissements d'enseignement dans la zone du domaine * .edu. Par expérience, vous devez surtout éviter de scanner les adresses des ASN appartenant à l'Indiana University (USA). Également dans les présentations de Zmap [5] et Masscan [7], on peut trouver quelques exemples intéressants de réponse inadéquate à l'analyse du réseau.

Ne prenez pas cet abus à la légère, car:

  • En cas de rĂ©clamation, l'hĂ©bergeur bloque le plus souvent le trafic vers ou depuis les machines virtuelles louĂ©es ou suspend mĂŞme leur fonctionnement.
  • Un FAI peut dĂ©sactiver la liaison montante afin d'Ă©liminer les risques de blocage du système autonome.

La meilleure pratique pour minimiser les plaintes est de:

  1. Connaissance des conditions d'utilisation de votre fournisseur d'accès Internet / d'hébergement.
  2. Créer une page d'informations sur les adresses des sources de scan expliquant le but du scan; apporter les clarifications appropriées dans les enregistrements DNS TXT.
  3. Clarification des scans lors de la réception de plaintes d'abus.
  4. Tenir à jour une liste d'exclusions de l'analyse, ajouter à l'exclusion des sous-réseaux qui s'appliquent à la première demande, fournir des clarifications sur la procédure pour faire des exclusions sur la page d'informations.
  5. La numérisation n'est plus et pas plus souvent que nécessaire pour résoudre la tâche.
  6. Répartition du trafic de numérisation par source, adresses de destination, ainsi que l'heure à laquelle cela est possible.

Externalisation de l'analyse réseau



La réalisation d'analyses de masse indépendantes nécessite une approche équilibrée (les risques sont décrits ci-dessus), tout en sachant que si le traitement analytique des résultats d'analyse utilisé n'est pas suffisamment approfondi, le résultat final peut être insatisfaisant. Au moins en termes techniques, vous pouvez faciliter la tâche en utilisant des outils commerciaux existants, tels que:


Plus de services
En plus des services mentionnés, il existe un nombre assez important de projets, d'une manière ou d'une autre, liés à l'analyse du réseau mondial. Par exemple:

  • Punk.sh (anciennement moteur de recherche Web PunkSPIDER)
  • Project Sonar (ensemble de donnĂ©es avec les rĂ©sultats des analyses de rĂ©seau de Rapid7)
  • Thingful (un autre moteur de recherche IoT)

Shodan




Le premier et le plus célèbre moteur de recherche de services publiés sur Internet, créé à l'origine comme moteur de recherche IoT et lancé en 2009 par John Materley [11] . Actuellement, le moteur de recherche offre plusieurs niveaux d'accès aux informations en lui-même. Sans inscription, les possibilités sont très basiques, lors de l'inscription et de l'achat d'un abonnement, les fonctionnalités suivantes deviennent disponibles:

  • Recherche par filtres de base.
  • Publication d'informations dĂ©taillĂ©es sur les nĹ“uds («donnĂ©es brutes»).
  • Une API "basique" avec la possibilitĂ© de s'intĂ©grer avec des utilitaires courants tels que Maltego, Metasploit, Nmap et autres.
  • La possibilitĂ© d'exporter les rĂ©sultats de la recherche (moyennant des frais, pour les "CrĂ©dits" - la devise interne du service).
  • La possibilitĂ© de numĂ©riser sur demande des adresses individuelles et des plages (moyennant des frais, pour les «crĂ©dits»).

Les fonctionnalités mentionnées sont déjà suffisantes pour l'OSINT de base [12] , cependant, le moteur de recherche révèle pleinement ses capacités avec un abonnement Entreprise, à savoir:

  • Analyse Ă  la demande de l'ensemble de la plage IPv4 publique d'Internet, y compris la vĂ©rification de la plage de ports spĂ©cifiĂ©e et la spĂ©cification de collecteurs de bannières spĂ©cifiques au protocole.
  • Notifications en temps rĂ©el basĂ©es sur les rĂ©sultats des analyses en cours.
  • La possibilitĂ© de tĂ©lĂ©charger des rĂ©sultats d'analyse bruts pour une analyse plus approfondie (aucune restriction, la base de donnĂ©es entière est disponible).
  • La possibilitĂ© de dĂ©velopper des collecteurs personnalisĂ©s pour des tâches spĂ©cifiques (protocoles non standard, etc.).
  • Accès aux rĂ©sultats de l'analyse historique (jusqu'en octobre 2015).

Le projet Shodan a créé un certain nombre de projets connexes, tels que la recherche de logiciels malveillants, l'analyse des pots de miel, les exploits, l'enrichissement des résultats de l'analyse.

Censys




Moteur de recherche sur l'IoT et pas seulement, créé par l'auteur de Zmap Zakir Durumerik et présenté publiquement en 2015. Le moteur de recherche utilise la technologie Zmap et un certain nombre de projets connexes (ZGrab et ZTag). Sans inscription, contrairement à Shodan, le moteur de recherche est limité à 5 requêtes par jour à partir d'une IP. Après l'enregistrement, les possibilités d'utilisation sont élargies: une API apparaît, les résultats de recherche de demandes sont augmentés (jusqu'à 1000 résultats), cependant, l'accès le plus complet, y compris le téléchargement de données historiques, n'est disponible que sur le plan Entreprise.

Les avantages du moteur de recherche par rapport à Shodan incluent les fonctionnalités suivantes:

  • Il n'y a aucune restriction sur les filtres de recherche sur les plans tarifaires de base.
  • Grande vitesse de mise Ă  jour des rĂ©sultats de la numĂ©risation automatique (quotidiennement, selon les auteurs; la vitesse de Shodan est beaucoup plus faible).

Les inconvénients comprennent:

  • Moins de ports scannĂ©s par rapport Ă  Shodan.
  • ImpossibilitĂ© de numĂ©riser «à la demande» (Ă  la fois par plages IP et par ports).
  • Moins d'enrichissement des rĂ©sultats avec des outils prĂŞts Ă  l'emploi (ce qui est Ă©vident Ă©tant donnĂ© le plus grand nombre d'outils Shodan mis en Ĺ“uvre dans le cadre de projets connexes).

Si les résultats collectés sur la gamme de ports prise en charge par Censys sont suffisants pour atteindre cet objectif, le manque de capacité à analyser à la demande ne devrait pas être un obstacle sérieux en raison de la vitesse élevée de mise à jour des résultats d'analyse.

Zoomeye




Un moteur de recherche IoT créé par la société chinoise de sécurité de l'information Knowsec Inc en 2013. Aujourd'hui, le moteur de recherche utilise ses propres développements - Xmap (scanner hôte) et Wmap (scanner web). Le moteur de recherche recueille des informations sur une gamme assez large de ports, lors de la recherche, il est possible de classer selon un grand nombre de critères (ports, services, OS, applications) avec des détails pour chaque hôte (le contenu des bannières d'application). Les résultats de la recherche répertorient les vulnérabilités possibles pour le logiciel d'application identifié du projet SeeBug associé (sans vérifier l'applicabilité). Pour les comptes enregistrés, une API et une recherche Web sont également disponibles avec un ensemble complet de filtres, mais avec une limitation du nombre de résultats affichés. Pour supprimer les restrictions, il est proposé d'acheter un plan d'entreprise. Parmi les avantages d'un moteur de recherche, on peut noter:

  • Un grand nombre de ports scannĂ©s (approximativement similaires Ă  Shodan).
  • Prise en charge Web Ă©tendue.
  • Identifiant de l'application et du système d'exploitation.

Parmi les inconvénients:

  • Intervalle de mise Ă  jour lent pour les rĂ©sultats de l'analyse.
  • ImpossibilitĂ© de numĂ©riser Ă  la demande.
  • L'enrichissement des rĂ©sultats de l'analyse se limite Ă  l'identification des services, des logiciels d'application, du système d'exploitation et des vulnĂ©rabilitĂ©s potentielles.

Tableau de comparaison des services


Le tableau récapitulatif ci-dessous fournit une comparaison des fonctionnalités des services considérés.

Valeurs dans les lignes du tableau
"++" - très bien implémenté
"+" - implémenté
"±" - implémenté avec restrictions
"-" - non implémenté



Scannez-vous


Votre propre infrastructure peut également être une source utile de TI, vous pouvez donc comprendre quels nouveaux hôtes et services sont apparus sur le réseau, sont-ils vulnérables ou même malveillants? Si des services externes peuvent être utilisés pour analyser le périmètre (par exemple, un tel cas d'utilisation est officiellement pris en charge par le cas d'utilisateur Shodan), alors toutes les actions à l'intérieur du périmètre ne peuvent être effectuées que de manière indépendante. Dans ce cas, la gamme d'outils pour l'analyse de réseau peut être assez étendue: il s'agit à la fois d'analyseurs passifs, tels que Bro [13] , Argus [14] , Nfdump [15] , p0f [16] et des scanners actifs - Nmap, Zmap, Masscan et leurs concurrents commerciaux. Le cadre IVRE [17] , qui vous permet d'obtenir votre propre outil de type Shodan / Censys, peut aider à interpréter les résultats.



Le cadre a été développé par un groupe de chercheurs en sécurité de l'information, l'un des auteurs est un développeur actif de l'utilitaire scapy [18] Pierre Lalet [19] . Parmi les caractéristiques du cadre, citons:

  • L'utilisation de l'analyse visuelle pour identifier les modèles et les anomalies anormales.
  • Moteur de recherche avancĂ© avec analyse dĂ©taillĂ©e des rĂ©sultats de l'analyse.
  • IntĂ©gration avec des utilitaires tiers via l'API avec prise en charge Python.

IVRE est également bien adapté pour analyser de grandes analyses d'Internet.

Conclusions


La numérisation et l'intelligence active des réseaux sont d'excellents outils qui ont longtemps été utilisés par divers chercheurs dans le domaine de la sécurité de l'information. Cependant, pour les agents de sécurité "classiques", ces méthodes de travail sont encore nouvelles. L'utilisation d'OSINT et de méthodes offensives en combinaison avec les moyens défensifs classiques renforcera considérablement la protection et assurera sa proactivité.

Les références
[0] https://detect-respond.blogspot.com/2013/03/the-pyramid-of-pain.html
[1] https://malware-hunter.shodan.io/
[2] https://nmap.org
[3] https://zmap.io
[4] https://github.com/robertdavidgraham/masscan
[5] https://zmap.io/paper.pdf
[6] https://en.wikipedia.org/wiki/BACnet
[7] https://www.defcon.org/images/defcon-22/dc-22-presentations/Graham-McMillan-Tentler/DEFCON-22-Graham-McMillan-Tentler-Masscaning-the-Internet.pdf
[8] https://shodan.io
[9] https://censys.io
[10] https://www.zoomeye.org
[11] https://twitter.com/achillean
[12] https://en.wikipedia.org/wiki/Open-source_intelligence
[13] https://www.bro.org/
[14] http://qosient.com/argus/
[15] http://nfdump.sourceforge.net/
[16] http://lcamtuf.coredump.cx/p0f/
[17] https://github.com/cea-sec/ivre
[18] https://scapy.net/
[19] https://github.com/pl-

Mikhail Larin, expert au Center for Monitoring and Response to Information Security Incidents Jet CSIRT, Jet Infosystems.

Source: https://habr.com/ru/post/fr426025/

More articles:


All Articles