БС
21 декабря 2022
Обновлено 15 марта 2023

Как выявить угрозы кибербезопасности при помощи Nmap

Linux Ubuntu

Введение

В этой публикации я продемонстрирую как можно определить уязвимости в вашей системе. Безопасность сервера должна быть в приоритете! Ведь каждое устройство может быть подвергнуто взлому, поэтому разработчики «ПО» закрывают открытые дыры в своих программах как можно скорее, тем самым нам требуется регулярно обновлять «ПО», иначе злоумышленник воспользуется уязвимостью и причинит вред серверу, а может и целой компании.

Facebook на протяжении 3 лет с 2019 по 2021  подвергся взлому, что повлекло за собой публикацию более чем 950 миллионов пользователей. Среди этих данных была информация о номерах телефонах, почтовых адресов пользователей, даты рождения и другая личная информация пользователей. Всего этого можно избежать, если уделять время кибербезопасноси, и своевременно следить за программным обеспечением что вы используете.

Как происходит кибер-атака ?

Kill-chain – это последовательность действий которые выполняет злоумышленник для получения доступа к серверу.

Всего существует 4 этапа цепочки кибератаки (kill-chain):

  1. Сбор информации об системе (какие службы работают; какая версия ПО).
  2. Поиск уязвимостей в системе.
  3. Создание или использование вредоносного кода (эксплойт).
  4. Доставка эксплойта жертве (путем отправки сообщения на почту; зараженного сайта или как то иначе)

Предупреждён — значит вооружён, ведь при помощи знании kill-chain, есть возможность обезопасить сервер на сколько это возможно, тем самым усложнив злоумышленнику получение доступа к серверу.

Как проверить систему?

Для проверки системы используется утилита nmap, установите ее следуя инструкции.

apt install nmap

putty_GMCw07126Q

Проверим какие запущенные службы на нашем сервере.

nmap 127.0.0.1

putty_69rBP3XNE8

Как мы видим, на моем тестовом сервере запущенна служба «ssh», работающая на 22 порту, а так же «http» служба< работающая на 80 порту.

Чтобы проверить открытые «udp» порты, используйте команду ниже.

sudo nmap -sU 127.0.0.1

putty_YgeEef4thR

На тестовом сервере отсутствуют открытые «udp» порты.

Глазами злоумышленника, он получил информацию об 2 открытых портах (22;80), а так же на сервере запущена служба «openssh» благодаря которой он может нанести кибер-атаку, если у данного ПО присутствуют уязвимости.

Чтобы узнать какой версии установлена программа, воспользуйтесь командой.

nmap -sV 127.0.0.1

putty_N6EdpmDAWH

Мы узнали что на сервере установлена старая версия утилиты «OpenSSH», проверим ее на уязвимости.

Для нахождения уязвимостей в утилитах обратитесь к базе данных Google;Cisco;CVE где расписаны версии разного ПО, и их уязвимости которые были найдены благодаря другим людям.

Обратившись к истории обновлений «OpenSsh», а именно версии 7.2.p.2, мы узнаем об открытой уязвимости запущенного ПО.

browser_QxOZfSQ9R3

Всего две уязвимости, но они дают полный доступ к правам суперпользователя, злоумышленнику остается лишь поместить эксплойт на сервер жертвы путем доставки, это может быть: фишинг, зараженное письмо или сайт.

Вывод

В этой публикации я провел анализ тестового сервера на наличие уязвимостей, благодаря ней злоумышленник может принести большой вред компании.
На примере компании Facebook, которая подвергла свыше 950 миллионов пользователей – следует как только выходит обновление, тут же его устанавливать на вашу операционную систему, а так же обновлять программное обеспечение. Повышать безопасность сети путем добавления промежуточных устройств, и добавляя разные степени защиты в вашу ЛВС.

Оценка:
5 из 5
Аverage rating : 5
Оценок: 1
191028 Санкт-Петербург Литейный пр., д. 26, Лит. А
+7 (812) 403-06-99
700 300
ООО «ИТГЛОБАЛКОМ ЛАБС»
700 300