Referring subnets что это
Продвинутое туннелирование: атакуем внутренние узлы корпоративной сети
В этой статье будут рассмотрены сценарии атаки защищенных сегментов корпоративной сети с помощью pivoting-техник, metasploit framework и proxychains.
Многослойная сетевая архитектура создается для защиты важных корпоративных сервисов согласно концепции Defense-in-Depth, которая занимает важное место в сфере информационной безопасности. Другими словами, критичные для компании системы не могут располагаться в той же сети, что и все остальные. В данной статье я покажу на примерах, как атакующий может получить доступ к «скрытой» сети, не имея к ней прямого доступа на первых этапах тестирования на проникновение, используя методы pivoting’а или продвинутого туннелирования.
Маршрутизация
Процесс, во время которого устройства в различных сетях определяют, как им связываться друг с другом называется маршрутизацией. Маршрутизация обычно происходит на устройствах, называемых маршрутизаторами или роутерами. Они перенаправляют сетевые пакеты между узлами сети, используя таблицу маршрутизации, пока те не достигнут конечной точки назначения. Вообще говоря, маршрутизацию могут выполнять не только роутеры, но и обычные операционные системы, установленные на рабочих компьютерах.
Согласно примеру на схеме выше, для успешной маршрутизации между подсетями 192.168.1.0/24 и 192.168.10.0/24, роутер должен иметь соответствующую запись в своей таблице маршрутизации. Эта запись говорит о том, как сетевой пакет должен попадать из сети 192.168.1.0/24 в сеть 192.168.10.0/24 и наоборот.
Путь сетевого пакета можно представить так (начинается путь с узла, отправляющего пакет):
1. Может ли целевой IP-адрес находиться в моей подсети?
— Если да, то доставить пакет по адресу назначения.
— Если нет, то отправить пакет на шлюз.
2. Когда маршрутизатор получает пакет, он проверяет свою таблицу маршрутизации.
3. Есть ли у меня запись об узле или подсети, которой предназначен IP-пакет?
— Если да, то отправить пакет в сеть назначения.
— Если нет, то отправить пакет на следующий шлюз.
4. Тот же процесс повторяется на всех других роутерах.
5. В итоге пакет попадает на маршрутизатор, отвечающий за выход в Интернет из корпоративной сети, и пакет отправляется в Интернет.
Pivoting
Pivoting, это техника, с помощью которой организовывается доступ к тем сетям, к которым мы не имеем доступ при обычных обстоятельствах и полученный с использованием скомпрометированных компьютеров. Сетевая изоляция будет бесполезна в случае, если мы скомпрометируем узел сети, имеющий доступ во все изолированные подсети. Таким образом, атакующий может использовать возможности маршрутизации на скомпрометированной машине для доступа к внутренним корпоративным ресурсам. Каждый запрос, который будет сделан к внутренней сети, будет проходить через скомпрометированный хост, обычно называемый pivot. Другими словами мы получаем туннель во внутреннюю сеть для наших пакетов.
Как видно на схеме выше, устройство в центре имеет два сетевых интерфейса, чтобы получать доступ в обе сети, 192.168.1.0/24 и 192.168.10.0/24. При нормальной работе между этими двумя сетями маршрут пролегает только через маршрутизатор с сетевыми интерфейсами 192.168.1.1 и 192.168.10.1. Согласно архитектуре, авторизованный пользователь устройства в центре схемы должен иметь доступ к некоторым сервисам в DMZ.
Компрометация первого узла проброса (pivot) и проброс портов
Согласно сценарию атаки, мы получили шелл метерпретера на машине RD, которая находится в DMZ и, как выяснилось, имеет два сетевых интерфейса.
Как мы видим — роутер на схеме не имеет маршрута между нужными злоумышленнику сетями.
Далее, согласно сценарию, атакующий хочет получить доступ к подсети за интерфейсом 7.7.7.0/24. Для этого ему нужно задать правило маршрутизации для хоста RD, т.е. превратить скомпрометированный хост в pivot.
Это очень просто сделать средствами полезной нагрузки (payload) метерпретер. Следующая команда может быть использована для создания туннеля через существующую сессию метерпретера.
Согласно заданному правилу, пока сессия метерпретера с ID 2 запущена, другие модули Metasploit Framework имеют доступ к сети 7.7.7.0/24. Другими словами, после выполнения команд выше, IP адрес хоста JC будет определен, если мы воспользуемся таким модулем, как arp_scanner. JC – это хост, работающий во внутренней сети и имеющий IP-адрес 7.7.7.20.
Мы узнали IP-адреса доступных хостов в сети 7.7.7.0/24.
Пробрасываем nmap через туннель
Чтобы пробросить nmap, маршрут должен быть сконфигурирован в metasploit, а сама конфигурация должна быть доступна через socks4 прокси. Для этого используем модуль socks4a в metasploit:
Теперь, используя утилиту ProxyChains, любое TCP соединение может быть отправлено к цели назначения через TOR, SOCKS4, SOCKS5, HTTP/HTTPS прокси. Несколько прокси-серверов могут быть построены в цепочку. В дополнение к анонимности, при использовании такой схемы приложения могут получать доступ к обнаруженным внутренним сетям.
Прежде чем использовать ProxyChains, нужно произвести небольшую настройку в файле /etc/proxychains.conf. Для этого нужно отредактировать последнюю строку в файле.
Теперь можно выполнить сканирование утилитой nmap через созданный нами socks4 прокси-сервер:
На основании результатов сканирования, мы можем сказать, что нам доступны SSH и HTTP сервисы на хосте 7.7.7.20. Прежде чем двигаться дальше, мы рассмотрим еще одну технику, часто применяемую во время pivoting-а, технику проброса портов или port forwarding.
Проброс портов
Проброс портов – это один из базовых шагов во время туннелирования. Данная техника используется, когда сервис внутри обнаруженной сети недоступен напрямую. Это происходит потому что наша маршрутизация однонаправленная. Мы знаем, как получить доступ к внутреннему сервису, но сервис не имеет соответствующего маршрута к машине атакующего.
Поэтому мы перенаправим порт с машины атакующего на порт целевого сервиса через сессию метерпретера. Этот проброс порта будет работать, пока существует процесс метерпретера на скомпрометированной машине (на pivot-е).
Стоит заметить, что туннель, который был создан при помощи autoroute существует только к контексте фреймворка metasploit и доступен для других модулей. Но если мы хотим использовать туннель другими утилитами, выходящими за пределы фреймворка, нам нужны инструменты вроде proxychains и техники, такие как port forwarding.
Проброс порта может быть выполнен при помощи модуля portfwd, который является одним из post-модулей фреймворка Metasploit.
Когда мы будем отправлять запрос на подключение к нашему локальному порту 2323, вводя в браузере соответствующий URL, наш запрос будет перенаправлен на порт 80 узла 7.7.7.20 через Metasploit Framework. Ранее при помощи nmap и proxychains мы обнаружили, что во внутренней сети есть веб-сервис, работающий на TCP порте 80. Чтобы получить к нему доступ всеми доступными утилитами Kali Linux, мы должны пробросить наш локальный порт 2323 на удаленный порт 80, узла 7.7.7.20.
Теперь попробуем получить доступ к веб-сервису Eash File Sharing Web Server.
SSH-брутфорс через pivoting
Как вы помните, мы обнаружили так же SSH сервис на машине 7.7.7.20. Мы можем провести атаку на перебор учетных данных (брутфорс) через наш туннель. Для этого будем использовать вспомогательный модуль SSH_enumusers:
В результате выполнения команды мы обнаружили множество пользователей.
В дополнении к вспомогательным модулям Metasploit Framework, для атаки могут быть использованы такие инструменты как Hydra. Мы запустим брутфорс при помощи Hydra через ProxyChains. Весь траффик будет проходить через туннель, работающий на скомпрометированном узле RD.
Далее подключиться по SSH можно через прокси-сервер с логином admin и паролем 123456, полученными при помощи Hydra.
Получение доступа ко второму узлу pivot
Во время сканирования nmap сети 7.7.7.0/24 были обнаружены хосты, уязвимые к MS08-067 и BoF уязвимость в приложении Easy File Share. Доступ ко второму узлу pivot может быть получен с использованием одной из уязвимостей. Другой опцией будет являться продолжение прокладывания туннеля при помощи техники SSH Port Forwarding, но здесь мы будем использовать MS08-067 и BoF.
Уязвимость MS08-067 и Bind TCP
Metasploit Framework имеет модуль для эксплуатации уязвимости exploit/windows/smb/ms08_067_netapi.
Важно заметить, что мы используем пейлоад bind_tcp, т.к. у нас не определены маршруты в обе стороны и целевая система не сможет выполнить обратное подключение на машину атакующего, т.к. не имеет соответствующего маршрута. Таким образом, целевая машина будет просто ждать подключения на порт, который мы укажем в настройках пейлоада bind_tcp. Ниже на схеме указана последовательность шагов при использовании прямого и обратного подключений.
Выберем модуль для эксплуатации MS08-067, пейлоад bind_tcp и скомпрометируем вторую машину:
Уязвимость Easy File Share BoF
Также можно воспользоваться другой найденной уязвимостью в приложении Easy File Share. Компрометация машины может быть произведена следующим образом:
Ниже схематично представлена атака:
Так как мы получили доступ на машину 7.7.7.20, мы можем продолжить сбор информации. Как оказалось, машина JC так же имеет два сетевых интерфейса. Это означает, что мы нашли вторую сеть, к которой не имеем прямого доступа (8.8.8.0/24).
Двойной удар pivoting
Мы обнаружили сеть 8.8.8.0/24. У нас уже есть маршрут между 172.16.0.0/24 и 7.7.7.0/24 через скомпрометированную машину RD. В текущей конфигурации пакеты, приходящие из сети 172.16.0.20 на хост JC (вторая скомпрометированная машина) сперва идут на хост RD (первая скомпрометированная машина) и RD уже транслирует их на машину JC. Если атакующий (172.16.0.20) теперь хочет получить доступ к новой сети 8.8.8.0/24, должно быть определено новое правило маршрутизации. Чтобы использовать инструменты за пределами Metasploit Framework мы должны запустить новый socks4 прокси-сервер, чтобы соединить два pivot-узла, после чего задать новый прокси сервер в настройках proxychains.
Сетевые пакеты с адресом назначения 8.8.8.9, отправленные с машины атакующего (172.16.0.20) должны пройти через две скомпрометированные машины:
Всемогущий ProxyChains
Инструмент ProxyChains создает туннель через цепочку прокси-серверов и передает по нему пакет до адреса назначения. Последним шагом будет создание socks4 прокси-сервера, слушающего порт 1081 для сети 8.8.8.0/24.
Остается адаптировать настройки proxychains в файле /etc/proxychains.conf. Опция Dynamic Chain используется, чтобы пакеты шли строго по цепочке прокси-серверов, указанному в файле конфигурации proxychains, в порядке сверху вниз.
Теперь при помощи proxychains мы можем просканировать хост 8.8.8.9 через наш туннель:
Как видите, пакеты проходят через два прокси-сервера и, в конечном счете, достигают цели.
В результате сканирования можно обнаружить уязвимую версию vsftpd на хосте 8.8.8.9. Выполним следующие шаги, чтобы скомпрометировать цель:
Меры противодействия
Незащищенные хосты, имеющие два сетевых интерфейса, среди которых один доступен из DMZ, должны быть удалены из сетевой инфраструктуры. Хосты, находящиеся в DMZ должны быть доступны только из DMZ.
Заключение
Атакующий обнаружил две скрытые сети в результате следующих шагов:
Таким образом, атакующий, имея доступ лишь к одной сети, через серию атак, сумел скомпрометировать хост, находящийся далеко в глубине корпоративной сети за защищенным сетевым периметром.
Majestic
Warning: Unsupported Browser! You need to upgrade your browser to be able to use our site.
Help Center
Learn how to use Majestic, and get fast answers to the most common questions
Can’t find what you’re looking for? Our friendly customer service team will be delighted to help
Словарь терминов
В этом разделе разъясняется значение некоторых терминов, используемых на веб-сайте.
Все ключевые слова
Metrics
Рейтинг Alexa Rank
Citation Flow является товарным знаком Majestic. Балл Citation Flow — это значение от 0 до 100, помогающее определить ссылочный вес, или «силу», которым обладает веб-сайт или ссылка. Citation Flow используется в сочетании с Trust Flow. Совместно Citation Flow и Trust Flow формируют алгоритм Majestic Flow Metric.
Поток Цитирования является эволюционным скачком по сравнению с нашей старой метрикой ACRank и предсказывает возможную влиятельность URL, исходя из того, на скольких сайтах имеются ссылки на него. Сейчас не все создаваемые ссылки равнозначны, и поскольку сильная ссылка будет относительно больше влиять на URL, итеративная математическая логика Потока Цитирования гораздо лучше старой метрики ACRank.
Flow Metric является зарегистрированным товарным знаком Majestic. Баллы Flow Metric — это уникальные величины, которые определяет и создает Majestic. Эти баллы охватывают весь Интернет и определяются по логарифмической шкале. Баллы Flow Metric обозначаются значениями от 0 до 100, и чем выше значение, тем сильнее сигнал. Баллы Flow Metric характеризуют и Trust Flow, и Citation Flow.
Более подробная информация о Flow Metric представлена в нашем видеоруководстве.
Link Density (Плотность Ссылок)
Если взглянуть на участок в непосредственной близости от обратной ссылки, нередко оказывается, что вокруг нее есть и другие ссылки. Как правило, такое бывает в верхнем и нижнем колонтитуле, в панели навигации, в списке ссылок на блоги или на узловой странице категории. Link Density (Плотность Ссылок) является показателем того, какая процентная доля окружающего контента состоит из других ссылок. Высокая плотность Link Density означает, что ссылка действительно находится внутри группы ссылок, а низкая плотность Link Density говорит о том, что вокруг ссылки имеется нессылочный контент — например, ссылка находится в абзаце текста.
Topical Trust Flow (Тематический Поток Доверия)
Visibility Flow
Site Definitions
Домен (Domain)
Длинный домен (Long Domain)
Path (Маршрут)
Subdomain (Субдомен)
Tools
API (программный интерфейс)
API означает интерфейс программирования приложений. Этот интерфейс дает доступ к данным Majestic для разработки приложений и автоматических запросов. В Majestic есть три класса API.
Clique Hunter
Google Search Console; (раньше называлась Google Webmaster Tools)
Контекст ссылки
Контекст ссылки значительно уменьшает потребность в индивидуальном изучении обратных ссылок, предоставляя подробную информацию о местоположении ссылки и тексте вокруг нее. Контекст ссылки может помочь определить местоположение ссылки на странице, сколько других ссылок находится рядом и сколько других ссылок находится на странице — источнике ссылок. На основе анализа контекста ссылки рассчитываются статистические показатели и баллы, а набор опций фильтрации и сортировки поможет вам быстро оценивать качество ссылок.
Диаграмма плотности ссылок
Диаграммы плотности ссылок представляют собой попытку определения сущности ссылки в контексте страницы — источника ссылок. С помощью анализа исходного кода создается сопоставимая диаграмма, показывающая, где именно на странице находится каждая ссылка и сколько ссылок имеется поблизости. Визуально отображаются как внутренние, так и внешние ссылки, что позволяет мгновенно сравнивать исходный код. Диаграммы плотности ссылок являются визуализацией данных, связанной с контекстом ссылки.
Обозреватель сайтов
Search Explorer
Search Explorer идеален для быстрого составления списка тематических URL. Мы предоставим набор URL, соответствующих вашему ключевому слову. Мы не только предоставим вам результаты, но и сообщим причины включения в перечень, будь то текст ссылок, название страницы, длинный или короткий URL.
Search Explorer является товарным знаком компании Majestic-12 Ltd, зарегистрированным в USPTO (рег. № 4607084) и EUIPO (рег. № EU011751121).
Subscription Terms
Лимитный период (Allowance Period)
Параметры анализа (Analysis Options)
Опции анализа — это набор вариантов фильтрации данных в расширенных отчетах. При создании расширенного отчета некоторые фильтры действуют автоматически. Редактировать/добавлять фильтры можно с помощью функции «Опции анализа», расположенной в верхней части открытого отчета. Имеются 4 вкладки фильтров: Target (Цель), Source (Источник), Anchor Text (Текст привязки) и Flow Metric (Метрика потока).
Дополнительную информацию об Опциях анализа и о том, как ими пользоваться, смотрите в «Советах для пользователей: блог-статья о фильтрации данных в Расширенных отчетах».
Годовая подписка (Annual Subscription)
Единицы индекса (Index Item Units)
Max. Analysable Backlinks (Максимальное количество анализируемых обратных ссылок)
Единицы извлечения (Retrieval Units)
Index Terms
Обратная ссылка (Backlink)
Обратная ссылка — это входящая ссылка с другого веб-сайта или домена — источника ссылок. В отрасли поисковой оптимизации обратная ссылка (backlink) иногда называется входящей ссылкой (inbound link).
Learn all about links and backlinks in our beginners guide: What is a Backlink?
C-подсеть / C блок / Подсеть класса C (C-subnet / C block / Class C Subnet)
В сфере поисковой оптимизации «подсеть класса С» означает сеть, имеющая размер класса С, в которой последний октет (число, отделенное точками) адреса IPV4 игнорируется. Например, если есть три устройства – одно с IP 1.2.3.4, одно с IP 1.2.3.5 и одно с IP 1.2.4.1, то специалист в области поисковой оптимизации может сказать, что устройства находятся в двух подсетях класса С.
Эти термины несколько иначе понимаются в сфере технических систем, что может приводить к путанице.
Свежий Индекс (Fresh Index)
Первый просмотр (First Crawled)
Это дата, на которую ссылка была в первый раз обнаружена и включена в Свежий индекс или Исторический Индекс.
Имейте в виду: В отношении некоторых ссылок, особенно в Свежем Индексе, действует небольшой эффект памяти. Символ «
Исторический Индекс (Historic Index)
IP-адрес
Ссылочный профиль (Link Profile)
Последний просмотр (Last Crawled)
Linking Domains (Ссылочные домены)
Домены-источники ссылок (Referring Domain)
IP-адреса-источники ссылок
Подсеть-источник ссылок (Referring Subnet)
Так коротко называются «подсети С-источники ссылок».
В системе Majestic считаются расчетные ссылки, исключается дублирование ссылок на страницах (мы это называем отсчетом обратных ссылок), доменах (отсчет доменов) и в подсетях класса С. Отсчет подсети класса С полезен, потому что одна и та же подсеть класса С может использоваться одной или несколькими организациями. Подсчет уникальных ссылочных отношений в подсетях класса С также может быть полезен для крупных сайтов.
Флаги источников
Флаги источников предназначены для того, чтобы различать ссылки разного типа. В настоящее время используются следующие флаги источников:
