Wir berichten weiterhin über die Arbeit des SOC-Teams (mehr dazu in unserem vorherigen Artikel ) beim letzten Cyber-Kampf The Standoff . Heute werden wir über die Ergebnisse der Überwachung mit dem von Positive Technologies entwickelten PT NAD- NTA-System ( PT Network Attack Discovery ) sprechen und Angriffe auf den Perimeter und innerhalb des Netzwerks erkennen.
In sechs Tagen verzeichnete PT NAD mehr als 8 Millionen Angriffe, von denen 778 einzigartig waren. Die meisten der erkannten Angriffe sind das Ergebnis der Aktivität verschiedener Netzwerkscanner und automatisierter Schwachstellenscanner. In unserem Fall bedeutet ein Angriff das Auslösen einer Erkennungsregel für böswilligen Netzwerkverkehr.
Interne Netzwerkdurchdringung
. : 29 , . .
2020 FF , , , , , , . , / .
. 340 000 , 313. , , , .
-15 , . HTTP- , Emerging Threats.
№ |
|
1 |
NERVE |
2 |
gobuster |
3 |
Fuzz Faster U Fool |
4 |
DirBuster |
5 |
Nmap |
6 |
SQLmap |
7 |
OpenVAS-VT |
8 |
Nuclei (github.com/projectdiscovery/nuclei) |
9 |
Hydra |
10 |
Nessus |
11 |
MEDUSA1.0 |
12 |
Brutus/AET2 |
13 |
Nikto |
14 |
Ruby WinRM Client |
15 |
Burp Suite |
-15 ,
L7 PT NAD . , , , Nuft. , . , 445- . . NTLM- Nuft.
OS Credential Dumping: DCSync . . nuft\scanmaste, . .
GitLab- Bank of FF SSH. SSH .
.
. , .
, RDP RDG-. , . , , , . HTTP. IP-, . URL - . POST, , - .
, -.
. , standoff356[.]com. , -. .
- . , DMZ Nuft, RAW TCP -.
- . . , : . SOCKS5. - olololo. DCERPC- nuft\Administrator. Impacket WMIExec. , -. WSUS.
, Exchange- , 172.20.62.6.
. , PT Sandbox -.
. — . . , , . , , , . PT NAD . — MaxPatrol SIEM, PT Application Firewall PT Sandbox — , .
: , Positive Technologies (PT Expert Security Center)