Новый год – всегда дает импульс для творчества. Просматривая свои заметки, огромное количество закладок в браузере и сохраненных курсов, мне захотелось подготовить цикл статей, посвященных тематике получения первоначального доступа. Тема очень интересная, для кого-то покажется избитой, практически каждый TI (Threat Intelligence) отчет так или иначе подсвечивает способ, которым злоумышленники попали в компьютерную сеть.
Я постараюсь описать некоторые из TTPs, которые используются на Red Team проектах и в дикой среде злоумышленниками. Статьи будут содержать ссылки на доклады, названия интересных презентаций и курсов по этой тематике, мы проанализируем TI отчеты и попробуем воспроизвести некоторые из векторов проникновения в сеть.
Дисклеймер: эта статья носит исключительно образовательный характер. Я не поддерживаю и осуждаю любые киберпреступления. Надеюсь, что эта статья поможет вам лучше организовать свою безопасность в интернете, обучить своих сотрудников. Предупрежден — значит, вооружен.
Первоначальный доступ (Initial Access) — это первый шаг в цепочке событий, который позволяет атакующему получить точку входа в сеть для дальнейшего проникновения и эксплуатации. Это тот момент, когда атакующий успешно преодолевает первые уровни защиты и получает возможность действовать на внутренней стороне цели.
Если мы обратимся к MITRE ATT&CK, то для Initial Access (IA), как для тактики присвоен ID: TA0001, тактика Initial Access содержит 10 техник. Я обозначил этот момент, но в дальнейшем я не буду привязывать себя к определенному фреймворку.
Все статьи подряд / Информационная безопасность / Хабр