Modul 2 Sieťové hrozby

Škodlivý softvér, ktorý má negatívne dopady na majetok firmy, alebo na:

- poškodenie značky a strata reputácie

- strata konkurenčnej výhody
- strata zákazníkov
- strata príjmu
- súdne spory / právne kroky vedúce k pokutám a občianskoprávnym sankciám

Threat = hrozba

Vulnerability = zraniteľnosť

Risk = riziko

1. Základné pojmy týkajúce sa bezpečnosti:

assets - aktívom je čokoľvek, čo má pre organizáciu hodnotu. Zahŕňa ľudí, vybavenie, zdroje a údaje.
vulnerability - zraniteľnosť je slabina v systéme alebo jeho koncepcii, ktorú by mohla zneužiť hrozba
threat - hrozba je potenciálne nebezpečenstvo pre majetok, údaje alebo sieťové funkcie spoločnosti
exploit - exploit je mechanizmus, ktorý využíva zraniteľnosť, spôsob šírenia
mitigation - Zmierňovanie je protiopatrením, ktoré znižuje pravdepodobnosť alebo závažnosť potenciálnej hrozby
alebo rizika. Zabezpečenie siete zahŕňa niekoľko techník zmierňovania
risk =riziko predstavuje pravdepodobnosť hrozby zneužitia zraniteľnosti majetku s cieľom negatívneho ovplyvnenia
organizácie. Riziko sa meria pomocou pravdepodobnosti výskytu udalosti

Hacker
je bežný termín používaný na označenie útočníka. Pôvodne sa tento výraz vzťahoval na niekoho, kto bol
zručným počítačovým expertom, ako napríklad programátor. Dnes rozlišujeme 3 typy hackerov:

1. White Hat Hackers:

- Jedná sa o etických hackerov, ktorí využívajú svoje programovacie schopnosti na dobré, etické a právne
účely.
- Hackeri v bielom klobúku môžu vykonávať testy preniknutia do sietí v snahe narušiť siete a systémy
pomocou svojich znalostí počítačových bezpečnostných systémov na odhalenie slabých miest v sieti.
- Zraniteľnosti zabezpečenia sa vývojárom hlásia na opravu, aby ich bolo možné zneužiť.

2. Gray Hat Hackers

- Ide o osoby, ktoré páchajú trestné činy a robia dokázateľne neetické veci, nie však pre svoj osobný prospech
alebo škodu.
- Hackeri so sivým klobúkom môžu po napadnutí ich siete odhaliť zraniteľnosť postihnutej organizácie.

3. Black Hat Hackers

- ide o neetických zločincov, ktorí ohrozujú bezpečnosť počítačov a sietí pre osobný prospech alebo zo
škodlivých dôvodov, ako je napríklad útok na siete.

Existuje aj iné delenie hackerov:

- Script Kiddies - ide o tínedžerov alebo neskúsených hackerov, ktorí používajú existujúce skripty, nástroje a
exploity, ktoré spôsobujú škodu, zvyčajne však nie pre zisk.
1
 - Vulnerability Broker – (Sprostredkovateľ zraniteľnosti) - spravidla ide o hackerov so šedými klobúkmi, ktorí sa
snažia odhaliť zneužitie a nahlásiť ho predajcom, niekedy za ceny alebo odmeny.
- Hacktivists - Ide o hackerov sivých klobúkov, ktorí verejne protestujú proti organizáciám alebo vládam
zverejňovaním článkov, videí, únikom citlivých informácií a sieťovými útokmi.
- Cyber criminals = Kybernetickí zločinci - Ide o hackerov typu black hat, ktorí sú buď samostatne zárobkovo
činní, alebo pracujú pre veľké organizácie zaoberajúce sa počítačovou kriminalitou
- State-Sponsored - Sponzorované štátom - Ide buď o hackerov v bielom alebo čiernom klobúku, ktorí kradnú
vládne tajomstvá, zhromažďujú spravodajské informácie a sabotujú siete. Ich terčom sú zahraničné vlády,
teroristické skupiny a korporácie. Väčšina krajín sveta sa do istej miery podieľa na štátom sponzorovanom
hackingu.

2. Typy útokov:

Eavesdropping Attack (Odposluch) - To je prípad, keď útočník ohrozenia zachytí a „odpočúva“ sieťový prenos.
Data Modification Attack (Úprava údajov) - Ak útočníci zachytia sieťový tok dát, môžu meniť údaje v pakete bez
vedomia odosielateľa alebo príjemcu.
IP Address Spoofing Attack (navádzanie na nesprávnu akciu) - útočník skonštruuje paket IP, ktorý akoby pochádza z
platnej adresy v podnikovom intranete, ale v skutočnosti je falošný
Password-Based Attacks (Útoky založené na prelomení hesla) - Ak útočníci objavia platný používateľský účet, majú
aktéri hrozieb rovnaké práva ako skutočný používateľ. Útočníci môžu použiť tento platný účet na získanie zoznamov
ďalších používateľov, informácií o sieti, zmeny konfigurácie servera a siete a úpravy, presmerovanie alebo
odstránenie údajov.
Denial of Service Attack (Útok odmietnutia služby) - Útok DoS zabráni normálnemu používaniu počítača alebo siete
platnými používateľmi. Útok DoS môže zaplaviť počítač alebo celú sieť prenosom, kým nedôjde k vypnutiu z dôvodu
preťaženia. Útok DoS môže tiež blokovať prenos, čo vedie k strate prístupu oprávnených používateľov k sieťovým
prostriedkom.
Man-in-the-Middle Attack - K tomuto útoku dôjde, keď sa útočníci dostanú medzi zdroj a cieľ. Teraz môžu
komunikáciu aktívne monitorovať, zachytávať a riadiť transparentne.
Compromised-Key Attack (Prelomený kľúč) - Ak útočník získa tajný kľúč, bude sa tento kľúč označovať ako zneužitý.
Prelomený kľúč je možné použiť na získanie prístupu k zabezpečenej komunikácii bez toho, aby si odosielateľ alebo
príjemca bol vedomý útoku.
Sniffer Attack (sniffer = sledovacie zariadenie) - Sniffer je aplikácia alebo zariadenie, ktoré dokáže čítať, monitorovať
a zachytávať sieťové výmeny dát a čítať sieťové pakety. Ak pakety nie sú šifrované, sledovač poskytuje úplné
zobrazenie údajov vo vnútri paketu.

3. Typy malware

Malware = škodlivý softvér

a) Vírus

● Vírus je typ malvéru, ktorý sa šíri vložením svojej kópie do iného programu. Po spustení programu sa vírusy
šíria z jedného počítača na druhý a infikujú počítače. Väčšina vírusov vyžaduje ľudskú pomoc, aby sa šírili.
● Vírusy môžu byť neškodné, alebo môžu byť deštruktívne, napríklad tie, ktoré upravujú alebo vymazávajú
súbory na pevnom disku. Vírusy môžu byť tiež naprogramované tak, aby mutovali, aby sa vyhli detekcii.

2
b) Trójsky kôň

● Termín trójsky kôň pochádza z gréckej mytológie. Grécki bojovníci ponúkli obyvateľom Tróje (Trójskym
koňom) ako dar obrovského dutého koňa. Trójania priviedli obrovského koňa do svojho opevneného mesta,
nevediac, že je v ňom veľa gréckych bojovníkov. V noci, keď väčšina Trójanov spala, bojovníci vyskočili z
koňa, otvorili mestské brány a umožnili veľkej sile vstúpiť a prevziať mesto.
● Malvér trójskeho koňa je softvér, ktorý sa javí ako legitímny, ale obsahuje škodlivý kód, ktorý využíva
privilégiá používateľa, ktorý ho spúšťa
● Často sú trójske kone pripojené k online hrám. Používatelia sú bežne oklamaní, aby nahrali a spustili
trójskeho koňa na svojich systémoch. Počas hrania hry používateľ nezaznamená problém. Na pozadí je do
systému používateľa nainštalovaný trójsky kôň. Škodlivý kód z trójskeho koňa pokračuje v činnosti aj po
ukončení hry.
Typy trójskych koňov:
Type of Trojan Horse Description

Remote-access Enables unauthorized remote access.

Provides the threat actor with sensitive data, such as

Data-sending
passwords.

Destructive Corrupts or deletes files.

Uses the victim's computer as the source device to launch

Proxy
attacks and perform other illegal activities.

Enables unauthorized file transfer services on end

FTP
devices.

Security software disabler Stops antivirus programs or firewalls from functioning.

Denial of Service (DoS) Slows or halts network activity.

Actively attempts to steal confidential information, such as

Keylogger credit card numbers, by recording keystrokes entered into
a web form.

c) Červ

● Počítačové červy sú podobné vírusom, pretože sa replikujú a môžu spôsobiť rovnaký typ poškodenia.
Konkrétne sa červy replikujú samy nezávislým využívaním zraniteľností v sieťach. Červy môžu spomaliť siete,
keď sa šíria zo systému do systému.
● Zatiaľ čo vírus vyžaduje na spustenie hostiteľský program, červy sa môžu spúšťať samy. Okrem počiatočnej
infekcie už nevyžadujú účasť používateľa. Po infikovaní hostiteľa sa červ dokáže veľmi rýchlo šíriť po sieti.
● Počiatočná infekcia červa SQL Slammer je známa ako červ, ktorý „zjedol“ internet. SQL Slammer bol útok
odmietnutia služby (DoS), ktorý zneužil chybu pretečenia vyrovnávacej pamäte na serveri Microsoft SQL
3
 Server. Na svojom vrchole sa počet infikovaných serverov zdvojnásobil každých 8,5 sekundy. To je dôvod,
prečo bol schopný infikovať 250 000+ hostiteľov v priebehu 30 minút. Keď bol vydaný cez víkend 25. januára
2003, narušil internet, finančné inštitúcie, bankomaty a ďalšie. Je iróniou, že oprava tejto zraniteľnosti bola
vydaná pred 6 mesiacmi. Infikované servery nemali aplikovanú aktualizovanú opravu. Pre mnohé organizácie
to bol budíček, aby implementovali bezpečnostnú politiku vyžadujúcu včasnú aplikáciu aktualizácií a záplat.

d) Ransomvér

● typicky zakazuje používateľovi prístup k jeho súborom šifrovaním súborov a následným zobrazením správy
požadujúcej výkupné za dešifrovací kľúč.
● Používatelia bez aktuálnych záloh musia za dešifrovanie svojich súborov zaplatiť výkupné

● Platba sa zvyčajne uskutočňuje bankovým prevodom alebo kryptomenami, ako je bitcoin

Iné typy malvérov:

e) Spyware
● používa sa na zhromažďovanie informácií o používateľovi a na zasielanie aktérom hrozieb bez jeho
súhlasu.
● môže predstavovať malú hrozbu pre zhromažďovanie údajov o prehliadaní ale veľkú hrozbu pre
zhromažďovanie osobných a finančných informácií.

f) Adware

● Zvyčajne sa distribuuje stiahnutím online softvéru .

● môže zobrazovať nevyžiadanú reklamu pomocou vyskakovacích okien webového prehliadača

g) Scareware
● Zahŕňa podvodný softvér, ktorý využíva sociálne inžinierstvo na šokovanie alebo vyvolanie úzkosti
vytváraním vnímania hrozby.
● Vo všeobecnosti je zameraná na nič netušiaceho používateľa a pokúša sa presvedčiť používateľa, aby
infikoval počítač podniknutím krokov na riešenie falošnej hrozby.

h) Phishing
● Pokusy presvedčiť ľudí, aby prezradili citlivé informácie.

● Príklady zahŕňajú prijatie e-mailu od ich banky, v ktorom žiadajú používateľov, aby prezradili svoj
účet a čísla PIN.

i) Rootkity
● sa používajú na získanie prístupu k počítaču na úrovni správcovského účtu

● Je veľmi ťažké ich odhaliť, pretože môžu skryť svoju prítomnosť a zmeniť tak bránu firewall,
antivírusovú ochranu, systémové súbory a dokonca aj príkazy operačného systému

4
 ● Môžu poskytnúť zadné vrátka aktérom hrozieb, ktorí im umožňujú prístup k počítaču a umožňujú im
nahrávať súbory a inštalovať nový softvér, ktorý sa použije pri útoku DDoS.
● Na ich odstránenie je potrebné použiť špeciálne nástroje na odstránenie rootkitov, inak môže byť
potrebná kompletná preinštalovanie operačného systému.

4. Typy sieťových útokov

S tri hlavné kategórie:

a. Reconnaissance Attacks (prieskumné útoky) - na zistenie informácií o cieli
b. Access Attacks (prístupové útoky) - na zistenie slabých stránok cieľa, ktorými by bolo možné dostať
sa k cieľu
c. DoS Attacks

Prieskumné útoky:
Technique Description

Útočník hľadá prvotné informácie o cieli. Je možné použiť

Perform an information rôzne nástroje vrátane vyhľadávania Google, webovej
query of a target stránky organizácií, whois a ďalších.

Informačný dotaz zvyčajne odhalí sieťovú adresu cieľa.

Initiate a ping sweep of Útočník teraz môže spustiť test ping, aby zistil, ktoré
the target network adresy IP sú aktívne.

Používa sa na určenie, ktoré porty alebo služby sú k

Initiate a port scan of
dispozícii. Príklady skenerov portov zahŕňajú Nmap,
active IP addresses
SuperScan, Angry IP Scanner a NetScanTools.
Ide o dotaz na identifikované porty na určenie typu a
Run vulnerability
verzie aplikácie a operačného systému, ktorý je spustený
scanners
na hostiteľovi.
Útočník sa teraz pokúša objaviť zraniteľné služby, ktoré
možno zneužiť. Existuje množstvo nástrojov na
Run exploitation tools
zneužívanie zraniteľností vrátane Metasploit, Core Impact,
Sqlmap, Social Engineer Toolkit a Netsparker.

5. Prístupové útoky

a) Útok na prelomenie hesla

Pri útoku na heslo sa aktér hrozby pokúša odhaliť kritické systémové heslá pomocou rôznych metód. Útoky
na heslá sú veľmi bežné a možno ich spustiť pomocou rôznych nástrojov na prelomenie hesiel.

b) Spoofingové útoky

Pri spoofingových útokoch sa zariadenie útočníka pokúša vystupovať ako iné zariadenie falšovaním údajov.
Bežné útoky spoofingu zahŕňajú spoofing IP, MAC spoofing a DHCP spoofing.

c) Iné typy prístupových útokov:

5
 ● Trust exploitations - Pri útoku na zneužívanie dôvery používa útočník neoprávnené privilégiá na získanie
prístupu do systému, čím môže ohroziť cieľ.
● Port redirections - Pri útoku s presmerovaním portov používa útočník kompromitovaný systém ako
základňu pre útoky proti iným cieľom.
● Man-in-the-middle attacks - Pri útoku typu man-in-the-middle je útočník umiestnený medzi dve legitímne
entity, aby mohol čítať alebo upravovať údaje, ktoré prechádzajú medzi týmito dvoma stranami.
● Buffer overflow attacks - Pri útoku s pretečením vyrovnávacej pamäte útočník využíva vyrovnávaciu pamäť
a zahlcuje ju neočakávanými hodnotami. To zvyčajne spôsobí nefunkčnosť systému a vytvorí DoS útok.

6. Social Engineering attacks:

Social
Engineering Description
Attack
Útočník predstiera, že potrebuje osobné alebo finančné údaje na
Pretexting
potvrdenie identity príjemcu.
Útočník posiela podvodný e-mail, ktorý je zamaskovaný ako z
legitímneho dôveryhodného zdroja, aby oklamal príjemcu, aby si
Phishing
nainštaloval malvér do svojho zariadenia, alebo aby zdieľal
osobné alebo finančné informácie.
Spear phishing
Útočník vytvára cielený phishingový útok prispôsobený
(spear- oštep,
konkrétnemu jednotlivcovi alebo organizácii.
kopija...)
Tiež známy ako nevyžiadaná pošta, ide o nevyžiadanú poštu,
Spam ktorá často obsahuje škodlivé odkazy, malvér alebo klamlivý
obsah.
Something for Niekedy sa to nazýva „Quid pro quo“, keď útočník požaduje
Something osobné informácie od strany výmenou za niečo ako darček.
Útočník nechá flash disk infikovaný škodlivým softvérom na
Baiting verejnom mieste. Obeť nájde disk a nič netušiac ho vloží do
svojho notebooku, pričom neúmyselne nainštaluje malvér.
Pri tomto type útoku sa útočník vydáva za niekoho iného, aby si
Impersonation
získal dôveru obete.
Toto je miesto, kde útočník rýchlo nasleduje oprávnenú osobu na
Tailgating
bezpečné miesto, aby získal prístup do zabezpečenej oblasti.
Toto je miesto, kde sa útočník nenápadne pozerá niekomu cez
Shoulder surfing
rameno, aby ukradol jeho heslá alebo iné informácie.
Toto je miesto, kde sa aktér hrozby prehrabáva v odpadkových
Dumpster diving
košoch, aby objavil dôverné dokumenty.

DOS a DDOS

6
Útok DoS (Denial of Service) vytvára určitý druh prerušenia sieťových služieb pre používateľov, zariadenia alebo
aplikácie.

Sú dva typy:

Overwhelming Quantity of Traffic (Ohromné množstvo prenosu) – útočník posiela obrovské množstvo údajov
rýchlosťou, ktorú sieť, hostiteľ alebo aplikácia nedokážu spracovať. To spôsobí spomalenie času prenosu a odozvy.
Môže tiež zlyhať zariadenie alebo službu.

Maliciously Formatted Packets (Škodlivo naformátované pakety) – útočník odošle hostiteľovi alebo aplikácii
škodlivo naformátovaný paket a príjemca ho nedokáže spracovať. To spôsobí, že prijímacie zariadenie beží veľmi
pomaly alebo havaruje.

Komponenty DDoS útoku:

Component Description

Toto sa týka skupiny kompromitovaných hostiteľov (t. j. agentov). Títo hostitelia

zombies spúšťajú škodlivý kód označovaný ako roboty (t. j. roboty). Zombie malvér sa
neustále pokúša šíriť ako červ.

Boti sú malvér, ktorý je navrhnutý tak, aby infikoval hostiteľa a komunikoval so

bots systémom obsluhy. Roboty môžu tiež zaznamenávať stlačenia klávesov,
zhromažďovať heslá, zachytávať a analyzovať pakety a ďalšie

Týka sa to skupiny zombie, ktoré boli infikované pomocou samošíriaceho sa

botnet
malvéru (t. j. robotov) a sú kontrolované obslužnými programami.

Toto sa vzťahuje na primárny server príkazov a riadenia (CnC alebo C2) ovládajúci
handlers skupiny zombie. Pôvodca botnetu môže použiť Internet Relay Chat (IRC) alebo
webový server na serveri C2 na diaľkové ovládanie zombie.

botmaster Toto je útočník, ktorý má pod kontrolou botnet a manipulátory

Mirai je malvér, ktorý sa zameriaval na zariadenia internetu vecí (IoT), ktoré sú nakonfigurované s predvolenými
prihlasovacími údajmi. Kamery uzavretého televízneho okruhu (CCTV) tvorili väčšinu cieľov Mirai. Pomocou
slovníkového útoku hrubou silou Mirai prešiel zoznam predvolených používateľských mien a hesiel, ktoré boli na
internete všeobecne známe.

Metódy úniku

Útočníci sa už dávno naučili, že „skryť sa znamená prosperovať“. To znamená, že ich malvér a metódy útoku sú
najúčinnejšie, keď nie sú zistené. Z tohto dôvodu mnoho útokov používa tajné únikové techniky na zamaskovanie
užitočného zaťaženia útoku. Ich cieľom je zabrániť detekcii vyhýbaním sa obrane siete a hostiteľa.

Rôzne typy úniku:

7
Evasion Method Description

Táto technika úniku používa tunelovanie na skrytie alebo šifrovanie na

Encryption and zakódovanie súborov škodlivého softvéru. To sťažuje mnohým
tunneling bezpečnostným technikám detekciu a identifikáciu malvéru. Tunelovanie
môže znamenať skrytie ukradnutých údajov v rámci legitímnych paketov.

Táto technika úniku spôsobuje, že cieľový hostiteľ je príliš zaneprázdnený

Resource na to, aby správne používal techniky detekcie zabezpečenia
exhaustion
.

Táto úniková technika rozdeľuje škodlivý obsah na menšie pakety, aby

Traffic obišla detekciu zabezpečenia siete. Potom, čo fragmentované pakety obídu
fragmentation bezpečnostný detekčný systém, malvér sa znova zloží a môže začať
odosielať citlivé údaje zo siete

Táto technika úniku nastáva, keď sieťová obrana správne nespracúva

Protocol-level
vlastnosti PDU, ako je kontrolný súčet alebo hodnota TTL. To môže
misinterpretation
oklamať bránu firewall, aby ignorovala pakety, ktoré by mala kontrolovať.

V tejto únikovej technike sa aktér hrozby pokúša oklamať IPS zahmlievaním

údajov v užitočnom zaťažení. To sa dosiahne zakódovaním v inom formáte.
Traffic substitution Napríklad aktér hrozby môže namiesto ASCII použiť kódovaný prenos v
Unicode. IPS nerozpozná skutočný význam údajov, ale cieľový koncový
systém dokáže údaje prečítať

Podobne ako pri nahrádzaní prevádzky, ale aktér hrozby vkladá ďalšie bajty
Traffic insertion údajov do škodlivej sekvencie údajov. Pravidlám IPS chýbajú škodlivé
údaje a akceptujú celú sekvenciu údajov.

Táto technika predpokladá, že aktér hrozby kompromitoval vnútorného

hostiteľa a chce rozšíriť svoj prístup ďalej do ohrozenej siete. Príkladom je
Pivoting aktér hrozby, ktorý získal prístup k heslu správcu na napadnutom
hostiteľovi a pokúša sa prihlásiť k inému hostiteľovi pomocou rovnakých
poverení.

Rootkit je komplexný nástroj pre útočníkov, ktorý používajú skúsení aktéri

hrozieb. Integruje sa s najnižšími úrovňami operačného systému. Keď sa
program pokúsi vypísať zoznam súborov, procesov alebo sieťových
pripojení, rootkit predstaví upravenú verziu výstupu, čím eliminuje
Rootkits akýkoľvek inkriminovaný výstup. Cieľom rootkitu je úplne skryť aktivity
útočníka na lokálnom systéme.

Sieťová prevádzka môže byť presmerovaná cez sprostredkujúce systémy,

aby sa skryl konečný cieľ pre ukradnuté dáta. Týmto spôsobom podnik
neblokuje známe príkazy a ovládanie, pretože cieľ proxy sa javí ako
Proxies neškodný. Okrem toho, ak dochádza k odcudzeniu údajov, miesto určenia
ukradnutých údajov môže byť rozdelené medzi mnoho proxy serverov, čím
sa neupozorňuje na skutočnosť, že jediný neznámy cieľ slúži ako cieľ pre
veľké množstvo sieťovej prevádzky.