Nous continuons à couvrir le travail de l'équipe SOC (plus à ce sujet dans notre article précédent ) lors de la dernière cyber bataille The Standoff . Aujourd'hui, nous allons parler des résultats de la surveillance utilisant le système NTA PT Network Attack Discovery (PT NAD), développé par Positive Technologies et détectant les attaques sur le périmètre et au sein du réseau.
En six jours, PT NAD a enregistré plus de 8 millions d'attaques, dont 778 uniques. La plupart des attaques détectées sont le résultat de l'activité de divers scanners de réseau et scanners de vulnérabilité automatisés. Dans notre cas, une attaque signifie déclencher une règle de détection sur le trafic réseau malveillant.
Pénétration du réseau interne
. : 29 , . .
2020 FF , , , , , , . , / .
. 340 000 , 313. , , , .
-15 , . HTTP- , Emerging Threats.
№ |
|
1 |
NERVE |
2 |
gobuster |
3 |
Fuzz Faster U Fool |
4 |
DirBuster |
5 |
Nmap |
6 |
SQLmap |
7 |
OpenVAS-VT |
8 |
Nuclei (github.com/projectdiscovery/nuclei) |
9 |
Hydra |
10 |
Nessus |
11 |
MEDUSA1.0 |
12 |
Brutus/AET2 |
13 |
Nikto |
14 |
Ruby WinRM Client |
15 |
Burp Suite |
-15 ,
L7 PT NAD . , , , Nuft. , . , 445- . . NTLM- Nuft.
OS Credential Dumping: DCSync . . nuft\scanmaste, . .
GitLab- Bank of FF SSH. SSH .
.
. , .
, RDP RDG-. , . , , , . HTTP. IP-, . URL - . POST, , - .
, -.
. , standoff356[.]com. , -. .
- . , DMZ Nuft, RAW TCP -.
- . . , : . SOCKS5. - olololo. DCERPC- nuft\Administrator. Impacket WMIExec. , -. WSUS.
, Exchange- , 172.20.62.6.
. , PT Sandbox -.
. — . . , , . , , , . PT NAD . — MaxPatrol SIEM, PT Application Firewall PT Sandbox — , .
: , Positive Technologies (PT Expert Security Center)