Инструменты проведения пентеста

От наших клиентов часто поступает вопрос: «Какие инструменты использует ваша команда во время проведения тестирования на проникновение (пентест) или анализа защищенности?» и наш ответ зависит от типа оказываемой услуги и ситуаций, с которыми мы сталкиваемся во время взаимодействия с тестируемой системой. Наш инструментарий постоянно развивается, чтобы отражать новейшие угрозы и методы, гарантируя, что мы можем эффективно моделировать реальные атаки.

Обратите внимание: ввиду целого ряда факторов этот список призван дать общее представление и не является исчерпывающим.

Сетевая разведка

Представьте себе: вы находитесь в сети, которую никогда раньше не видели и цель составить карьу сети и найти возможные векторы атак. Наши инструменты для сетевой разведки включают:

• Nmap: Не так много инструментов безопасности существует уже 28 лет. Nmap — бесспорный король сканирования сетевой инфраструктуры — часто используется на первых начальных этапах проведения пентеста, чтобы получить возможную картину поверхности атаки.
• Masscan: Мы любим Nmap – но иногда, даже при правильной настройке, Nmap не может выполнить большие объемы в разумные сроки. Masscan предлагает более быструю альтернативу для сканирования больших сетей – его даже использовали для сканирования всего адресного пространства IPv4!
• httpx: веб-приложения и веб-серверы представляют собой большую поверхность для атак. Когда мы сталкиваемся с большим их количеством, полезно иметь универсальный инструмент, который поможет просеять "мусор". Функциональность включает проверку живых хостов, проверку баннеров, создание снимков экрана, работа HTTP/HTTPS и многое другое.
• Gowitness: если есть большой список URL-адресов иногда нужно просмотреть их все. Это может быть достаточно хлопотно. Gowitness можно использовать для получения общей картины идентифицированных веб-сервисов, показывая скриншоты каждого приложения помогая эксперту спланировать свою атаку.
• Amass: Если нам разрешено проводить разведку поддоменов, то стандартной практикой является перечисление корневых доменов для идентификации поддоменов. Хотя существует множество инструментов, которые служат этой цели, amass поддерживает большой, но настраиваемый набор функций.
• BBOT: Хотя amass эффективен, иногда нам нужно копнуть немного глубже, чтобы найти все домены, которые можно связать с организацией. BBOT выполняет дополнительные активные проверки, которые не включены в другие инструменты перечисления. В частности, BBOT является рекурсивным, помогая максимизировать поверхность атаки.
• Spoofy: Безопасность домена может повлиять на безопасность электронной почты, позволяя злоумышленникам подделывать письма с неправильно настроенных доменов. Spoofy выполняет глубокие проверки целевых доменов, помогая выявлять потенциальные проблемы подделки писем. Если есть проблема DMARC – Spoofy должен ее найти.

Сканирование уязвимостей
После того, как мы составили карту инфрастуктуры, приходит время поискать векторы возможных атак для получения первичного доступа, для этого проводится сканирование уязвимостей.

Механизм сценариев Nmap (NSE): когда мы ищем конкретную уязвимость, скрипты NSE помогают определить, существует ли проблема на хосте.

• Nessus: сетевой сканер. Nessus содержит огромное количество проверок уязвимостей.
• Nuclei: этот инструмент с открытым исходным кодом — восходящая звезда в мире сканирования уязвимостей. Он быстрый, гибкий и поддерживаемый сообществом. Все чаще новые проверки уязвимостей программируются в Nuclei до того, как это смогут сделать коммерческие сканеры!

Помните, дело не только в запуске инструмента и проведении сканирования. Вам нужно знать, как его настроить, интерпретировать результаты, отделить ложные срабатывания от реальных проблем и связать несколько уязвимостей вместе, чтобы максимизировать воздействие и ценность, которые вы получаете. Вам также нужно знать, какие уязвимости не могут быть обнаружены сканерами, а какие требуют ручного исследования и тестирования!

Анализ защищенности веб-приложений
Веб-приложения являются главной целью киберпретсупников — у них гигантские поверхности атак. Обнаружение уязвимости в веб-приложении может привести к утечке данных или доступу к остальной инфраструктуре. Когда дело доходит до поиска и эксплуатации уязвимостей веб-приложений, в сочетании с опытом эксперта наиболее эффективны следующие инструменты:

• Burp Suite: Burp находится на вершине списка каждого эксперта по анализу защищенности веб-приложений. Об использовании Burp'a можно написать целую энциклопедию. В двух словах: Burp предоставляет инструменты для автоматизированного и ручного тестирования веб-приложений на наличие уязвимостей, а также богатый репозиторий плагинов сообщества.
• Webanalyze/Wappalyzer: этот инструмент помогает определить базовую технологию, используемую веб-приложением, помогая эксперту ознакомиться с тем, какой способ вектор атаки будет работать, а также выявить потенциальные уязвимости в стеке.
• Gobuster/Feroxbuster: Каждый раз, когда мы сталкиваемся с веб-сервером, стандартной практикой является попытка перечисления файлов/папок для выявления полезных файлов, дополнительных областей или поверхностей атаки.
• Katana: Чтобы определить дополнительную поверхность атаки, необходимо сканирование веб-приложений. Иногда это непрактично делать в Burp Suite (например, при работе с большими внешними областями) — Katana можно использовать в качестве альтернативы.
• Ffuf/Wfuzz: эти многофункциональные фаззеры отлично подходят для определенных сценариев, в которых мы не хотим использовать Burp Suite, например, для большой области, охватывающей множество хостов. Их можно использовать для тестирования определенных конечных точек, идентификации скрытых файлов, каталогов и даже поддоменов виртуальных хостов.
• WPScan: система управления контентом WordPress позволяет использовать пользовательские расширения и плагины, и их очень много. Чтобы их идентифицировать расширения и их версии для поиска CVE или эксплойтов, можно использовать WPScan.
• SQLmap: SQLmap может помочь в выявлении уязвимостей SQL-инъекций полуавтоматическим способом. Кроме того, не все уязвимости SQL-инъекций легко эксплуатировать. Например, слепая SQL (Blind) - инъекция с временным ограничением может быть сложной и трудоемкой для эксплуатации вручную. SQLmap может быстро помочь в эксплуатации, например, в извлечении таблиц базы данных или даже в прямом удаленном выполнении команд.
• Dalfox: При больших поверхностях атак (например, при проведении внешнего или внутреннего пентеста), которые имеют большое количество веб-серверов, может быть сложно вручную тестировать на уязвимости XSS на всех веб-страницах. Dalfox помогает в этом — это сканер XSS с упором на автоматизацию. Он также проверяет DOM XSS — поэтому он немного более продвинут, чем старые сканеры CLI XSS.
  Расширения пакета Burp:
  Опять же – Burp Suite – это фантастический инструмент с большим количеством встроенных функций. Однако в некоторых сценариях мы используем некоторые расширения:
• Active Scan++: это расширение, добавляет проверки, не охватываемые основным сканером Burp Suite.
• JS Miner/GAP: Глубоко внутри клиентского кода веб-приложения могут быть ссылки на эндпоинты, которые не обнаруживаются при ручном сканировании веб-приложения. Некоторые из этих конечных точек могут быть интересны пентестеру. Например, файл JavaScript может содержать ссылки на конечные точки, доступ к которым должен иметь только отдел технической поддержки приложения, а не сам пользователь приложения.
• Autorize: Проведение проверки аутентификации и авторизации — ключевые категории любого анализа веб-приложений. Autorize помогает в тестировании обоих, позволяя автоматически воспроизводить запросы «Пользователя 1» как «Пользователя 2». Затем тестер может сравнить ответы сервера на предмет расхождений, указывающих на потенциальные уязвимости.
• JSON Web Tokens Attacker: Вместо простого случайно сгенерированного токена все чаще веб-приложения и API используют JWT. Правильно реализованные JWT подписываются и проверяются веб-приложением. Однако это не всегда так — в результате злоумышленник может создать свой собственный JWT и потенциально скомпрометировать приложение. Это расширение упрощает процесс тестирования JWT.
• SAML Raider: Многие приложения поддерживают аутентификацию SAML. Манипулируя рабочим процессом SAML, злоумышленник может выдать себя за другого пользователя или даже выполнить атаку XXE/XSLT. Это расширение упрощает процесс тестирования SAML.
• Retire.js: Уязвимости постоянно обнаруживают в клиентских библиотеках JavaScript. Эксперты изучают уязвимости, выявленные этим плагином, чтобы убедиться в его валидности.
• InQL - GraphQL Scanner: Поскольку GraphQL все чаще заменяет конечные точки REST, пентесрам веб пришлось приспосабливаться. Это дополнение упрощает тестирование GraphQL, предоставляя вкладку в Repeater в BurpSuite. Существуют дополнительные утилиты сканирования, которые могут выгружать всю схему GraphQL, потенциально выявляя недокументированные запросы.

Наши собственные расширения: существует несколько различных сценариев, в которых есть необходимость написания собственных расширений:

Выявление дополнительных уязвимостей.

Некоторые приложения требуют, чтобы запрос был подписан на уровне протокола HTTP с помощью пользовательских заголовков. Это выполняется с использованием клиентского JavaScript. Таким образом, это увеличивает усилия, необходимые злоумышленнику, поскольку любые запросы, которые манипулируются Burp Suite, не пройдут проверку подписи. Чтобы обойти это, та же криптографическая схема подписи, которая использовалась в клиентском JavaScript, повторно реализована в расширении Burp. Конечным результатом является то, что все запросы, отправленные Burp, подписываются, что позволяет эксперту тестировать приложение без подтверждения подписи.

Некоторые приложения не будут хорошо работать с аутентифицированным сканированием и вызывать принудительный выход из системы. Обычно можно повторно аутентифицироваться с помощью функциональности, которая есть в Burp Suite, или с помощью настроек браузера. Однако в более сложных сценариях, например, когда необходимо обновить нестандартный заголовок или даже MFA, пользовательское расширение иногда может быть единственным способом принудительной повторной аутентификации.

Внутренний пентест (тестирование на проникновение внутренней инфраструктуры)
Иногда нас просят проверить, что произойдет, если злоумышленник закрепится в сети. Часто мы начинаем проведение пентеста без каких-либо учетных данных и повышаем привилегии, пытаясь перемещаться по сети, для этих целей мы используем:

• Responder: Когда мы находимся в сети без каких-либо учетных данных, Responder можно запустить с машины Linux, чтобы перехватывать попытки аутентификации на машине. Обычно у пользователей, нет причин проходить аутентификацию на нашем компьютере. Однако при использовании с атакой Adversary in the Middle мы можем заставить другие машины в сети попытаться пройти аутентификацию с помощью атаки, такой как подмена LLMNR/mDNS и получим хэш или какую-либо другую форму учетных данных, которая послужит точкой входа.
• Impacket: Коллекция скриптов Python для работы с сетевыми протоколами, обычно в сетях Windows/AD. Такие скрипты, как psexec.py, smbclient,py, secretsdump.py, могут использоваться для бокового перемещения.
• BloodHound: Получив учетные данные, мы можем извлечь данные из Active Directory. Специальный скрипт, в BloodHound, запросит у AD большой набор данных всех хостов, пользователей и политик. Затем эти данные импортируются в BloodHound для создания визуального представления. Это можно использовать для выявления уязвимостей в сети.
• BloodyAD/AutoBloody: - Это похожие инструменты, используемые в Active Directory для повышения привилегий. Используются совместно с путями атак BloodHound.
• PowerView: PowerView позволяет проводить базовую разведку вплоть до выполнения повышения привилегий через сложные ACL.
• PingCastle: Не так много коммерческих инструментов, которые сканируют неправильные конфигурации Active Directory, но PingCastle — один из них. Когда у нас есть доступ к среде AD, мы используем PingCastle, чтобы получить отображение слабых мест в домене.
• NetExec/CrackMapExec: Если учетные данные найдены, нам нужно посмотреть, какой уровень доступа они нам предоставят в сети. Эти инструменты отлично подходят для распыления паролей на внутренние сетевые службы, такие как SMB, LDAP, WINRM, MSSQL, SSH, FTP, RDP и WMI.
• Mimikatz: Когда мы получаем доступ к машине Windows, есть большая вероятность, что другие уже пользовались этой машиной. Mimikatz может извлечь их учетные данные, такие как пароли, хэши и билеты. Затем эти данные можно использовать для облегчения бокового перемещения.
• Rubeus: помогает извлекать, передавать, дублировать и запрашивать билеты Kerberos. Билет, хотя он часто не так желателен, как хэш или пароль, все равно может быть использован злоумышленником для получения доступа к другим системам или даже создания новых учетных данных.
• Certify/Certipy: - эти инструменты помогают проводить аудит служб сертификатов Active Directory (ADCS). В последнее время это один из лучших способов повышения привилегий в сетях AD, поскольку классические методики пентеста (тестирования на проникновение) AD не рассматривали ADCS вплотную.
• Manspider: Когда мы получили доступ к большому количеству SMB-ресурсов в сети, поиск в них конфиденциальной информации или учетных данных становится сложной задачей. Этот инструмент предназначен для массового выявления и анализа документов на предмет наличия подобной информации.

Пользовательский обход AV/EDR: нашей командой создано множество специальных инструментов для обхода AV/EDR, от начальных полезных нагрузок до модифицированных общедоступных инструментов, которые могут быть обнаружены с помощью сигнатур или эвристического анализа.

Повышение привилегий:
Как только мы закрепились в сети, следующим шагом становится повышение привилегий. Если получен доступ к системе на уровне пользователя, получение доступа на уровне администратора поможет облегчить боковое движение. В целом, все эти инструменты делают одно и то же, поэтому мы не будем погружаться в специфику каждого инструмента, но вот что мы используем:

Windows:

• WinPEAS;
• BeRoot;
• Sherlock;
• Metasploit Local Exploit Suggestors.

Linux/Mac/*nix:

• LinPEAS
• GTFOBins
• BeRoot
• Linux Exploit Suggestor
• Metasploit Local Exploit Suggestors

Эскалация привилегий часто зависит от терпения и настойчивости. Это не всегда поиск одной большой уязвимости — иногда это объединение нескольких более мелких проблем для достижения цели.

Анализ защищенности мобильных приложений
В наши дни мобильные устройства практически неотъемлемая часть любого человека, поэтому безопасность мобильных приложений важна как никогда. Вот что мы используем, чтобы убедиться, что приложения iOS и Android не могут делать то, чего они не должны:

• MobSF (Mobile Security Framework): этот инструмент может выполнять статическое и динамическое тестирование мобильных приложений. Это включает декомпиляцию, выявление уязвимостей и мониторинг времени выполнения. Важно, что этот инструмент поддерживает не только Android, но и iOS.
• adb/idb: инструменты командной строки, используемые для связи с устройствами Android и iOS. Эти инструменты помогают получить оболочку на устройстве, читать/писать файлы и выполнять общую отладку устройства.
• Android Studio / Apple Xcode: если заказчик может предоставить исходный код приложения эти инструменты помогают выявить дополнительные уязвимости, которые проблемно найти при анализе методом "черного ящика". IDE поможет с отладкой кода, чтобы доказать факт наличия уязвимости.
• Burp Suite: многие мобильные приложения используют бэкэнд веб-API, при исследовании нам помогает Burp.
• Frida: Чтобы обойти определенные ограничения, такие как обнаружение джейлбрейка, обнаружение эмуляции или SSL-пиннинг, часто необходимо отключить определенные функции в приложении с помощью перехвата или замены. Этот инструмент поможет в этом.
• Apktool: помогает правильно распаковывать и переупаковывать APK-файлы.
• Drozer: помогает тестировать определенные компоненты приложений Android, такие как действия, поставщики контента и службы.

Дополнительные специализированные инструменты

• Cobalt Strike/Mythic/и т.п.: полнофункциональные инструменты удаленного доступа.
• Aircrack-ng/EAPHammer/Reaver: эти инструменты помогают в оценке сетей Wi-Fi. Aircrack уже давно является отраслевым стандартом для разведки и тестирования Wi-Fi. EAPHammer помогает в проведении атак типа «злой близнец». Reaver используется для подбора пароля WPS.
• Hashcat: когда мы сталкиваемся с хешем, будь то NTLM или MD5, Hashcat является основным инструментом взлома паролей на GPU.
• Volatility: фреймворк криминалистики памяти, который мы используем для наступательных операций, таких как извлечение закрытого ключа из памяти. Инструмент постэксплуатации, который работает в ядре Linux через загружаемый модуль ядра (LKM).
• Ghidra: передовая структура обратного проектирования программного обеспечения (SRE), разработанная Агентством национальной безопасности (АНБ). Она разработана для того, чтобы помочь аналитикам и исследователям безопасности анализировать вредоносный код и уязвимые двоичные файлы более эффективно, чем традиционные методы.
• GuardPhish: инструмент для моделирования фишинговых атак.

Вместо заключения
Это краткий обзор нашего набора инструментов для проведения пентеста или анализа защищенности, но помните что это всего лишь инструменты и помогают они только со знаниями, опытом и изрядной дозой креативного мышления.
В Pentect мы постоянно развиваем наш инструментарий и разрабатываем новые методы проведения пентеста или анализа защищенности, но в конечном итоге дело не только в наличии лучших инструментов, но и в знании того, как их использовать для обеспечения безопасности ваших сетей и приложений.

Готовы обсудить тестирование на проникновение? Свяжитесь с нами сегодня.

ПОДЕЛИТЬСЯ