Praktyczna analiza powłamaniowa

Adam Ziaja

Uzyskaj dostęp

Zakup książkę

ISBN/ISSN:

978-83-011-9605-9

DOI:

Wydawnictwo:

Wydawnictwo Naukowe PWN

Rok wydania:

2017

Liczba stron:

277

XML:ISBN/ISSN:

ONIX MARC21

Bibliografia:

Ziaja, Adam. Praktyczna analiza powłamaniowa. Red. . Warszawa: Wydawnictwo Naukowe PWN, 2017, 277 s. ISBN 978-83-011-9605-9

Bibliografia refWorks:

RT Book, Whole

SR Electronic(1)

A1 Ziaja, A.

T1 Praktyczna analiza powłamaniowa

PB Wydawnictwo Naukowe PWN

PP Warszawa

YR 2017

SN 978-83-011-9605-9

Bibliografia BibTex:

@Book{ 182271, author = "Ziaja, Adam", editor = "", title = "Praktyczna analiza powłamaniowa", publisher = "Wydawnictwo Naukowe PWN", year = "2017", address = "Warszawa", isbn = "978-83-011-9605-9" }

Bibliografia endNote:

TY - BOOK

AU - Ziaja, Adam

ED -

TI - Praktyczna analiza powłamaniowa

PB - Wydawnictwo Naukowe PWN

CY - Warszawa

PY - 2017

SN - 978-83-011-9605-9

ER -

Netografia (standard APA):

Ziaja, Adam. Praktyczna analiza powłamaniowa [baza danych online] Warszawa: Wydawnictwo Naukowe PWN, 2017 [dostęp: 14 07 2024]. Dostęp w Ibuk Libra: https://libra.ibuk.pl/reader/praktyczna-analiza-powlamaniowa-adam-ziaja-182271.

bezpieczeństwo, Linux, analiza powłamaniowa, informatyka śledcza, aplikacja webowa

W dzisiejszych czasach bezpieczeństwo aplikacji webowych jest jednym z najważniejszych elementów bezpieczeństwa Internetu, w tym serwerów udostępniających usługi w sieci. Włamania na serwery HTTP niosą jednak za sobą o wiele większe ryzyko niż pod...

Więcej

ISBN/ISSN:

978-83-011-9605-9

DOI:

Wydawnictwo:

Wydawnictwo Naukowe PWN

Rok wydania:

2017

Liczba stron:

277

XML:ISBN/ISSN:

ONIX MARC21

1. Wstęp10
Strona internetowa, błędy oraz errata13
O autorze14
Podziękowania16
2. Zabezpieczanie danych18
3. Podstawowe informacje o systemie Linux22
4. Przyspieszony kurs pisania one-linerów28
5. Analiza włamania na aplikację webową42
5.1. Informacje o konfiguracji Apache244
5.2. Zapytania HTTP46
5.3. Format logów51
5.4. Najczęściej występujące ataki53
5.4.1. SQL Injection (SQLi)54
5.4.2. Remote Code Execution (RCE)57
5.4.3. Local File Inclusion (LFI)60
5.4.4. Remote File Inclusion (RFI)64
5.4.5. Cross-Site Scripting (XSS)65
5.4.6. Cross-Site Request Forgery (CSRF)68
5.4.7. Server-Side Request Forgery (SSRF)69
5.4.8. Shellshock (CVE-2014-6271)71
5.4.9. Denial-of-Service (DoS)72
5.5. Odzyskiwanie skasowanych logów74
5.6. Łączenie wielu plików logów77
5.7. Selekcja względem czasu78
5.8. Wstępne rozpoznanie za pomocą automatycznych narzędzi79
5.8.1. Wykorzystanie apache-scalp z regułami PHP-IDS80
5.9. Wizualizacja logów82
5.10. Wykorzystanie osi czasu83
5.11. Analiza z wykorzystaniem programów powłoki86
5.11.1. Konfiguracja oprogramowania wtop (logrep)92
5.11.2. Wykorzystanie programu logrep (wtop)94
5.12. Wykrywanie anomalii w logach96
5.13. Analiza z wykorzystaniem programu Splunk109
5.14. Wykrywanie backdoorów119
5.15. Studium przypadków122
5.15.1. Włamanie przez CMS Joomla123
5.15.2. Atak słownikowy na CMS Wordpress134
5.15.3. Wykonanie kodu z wykorzystaniem podatności LFI151
5.16. Pisanie własnych narzędzi do analizy logów152
5.17. Podsumowanie155
6. Powłamaniowa analiza systemu Linux158
6.1. Wykonanie kopii dysku160
6.1.1. Zdalne wykonywanie obrazu dysku163
6.2. Praca z obrazem dysku164
6.2.1. Różnice w systemie plików166
6.2.2. Weryfikacja pakietów167
6.2.3. Baza hashy172
6.2.4. Oś czasu174
6.2.5. Weryfikacja na podstawie inode181
6.2.6. Jądro systemu (kernel)184
6.2.7. Moduły kernela186
6.2.8. Narzędzia do wyszukiwania złośliwego oprogramowania186
6.2.10. Logi189
6.2.9. Analiza initrd (RAM dysk)189
6.2.11. Konta użytkowników194
6.2.12. Bity SUID i SGID196
6.2.13. „Ukryte” pliki i katalogi199
6.2.14. Odzyskiwanie usuniętych plików201
6.2.15. Słowa kluczowe202
6.2.16. Analiza pliku known_hosts203
6.3. Praca na działającym systemie (Live Forensics)209
6.3.1. Sudoers209
6.3.2. Wirtualny system plików /proc210
6.3.3. Zmienne środowiskowe212
6.3.4. Biblioteki213
6.3.5. Pakiety218
6.3.6. Wykrywanie rootkitów221
6.3.7. Weryfikacja konfiguracji222
6.3.8. Otwarte pliki223
6.3.9. Otwarte porty225
6.3.10. „Ukryte” procesy226
6.3.11. Sysdig231
6.3.12. Podstawowa analiza działania programów234
6.3.13. Zewnętrzne źródła236
6.4. Analiza pamięci RAM237
6.4.1. Wykonanie zrzutu pamięci237
6.4.2. Tworzenie profilu pamięci239
6.4.3. Analiza pamięci242
6.5. Wykorzystywanie narzędzi anti-forensics do analizy251
6.6. Podsumowanie254
7. Analiza behawioralna złośliwego oprogramowania258
7.1. Reguły Yara270
8. Podsumowanie276

2.ZABEZPIECZANIEDANYCH

Minusemwykonywaniazabezpieczeniawsposóbtradycyjnyjestzpew-

nościączas,którymusimynatopoświęcić.Samowykonywanieobrazu

dyskumożetrwaćwielegodzin,adochodzijeszczeindeksowaniejego

zawartości,szukaniesłówkluczowychitd.Ostatecznie,wszystkieczyn-

nościtrwajązwyklekilkadni,zależnieodpojemnościdyskówiodtego,

czegoszukamy.Plusemzkoleijestdokładnośćanalizyorazintegralność

danych,dlategotenrodzajpodejścianiezostaniewpełnizastąpiony.

Zkoleipodejścieodstronyreagowanianaincydentyjestnastawione

szczególnienatzw.liveforensics,czyteżliveresponse.Wjegoprzy-

padkuoperujemyprzedewszystkimnadziałającymkomputerze.Metoda

tapoleganawykonywaniuoperacjibezpośrednionaanalizowanymsys-

temie:sprawdzaniuplików,połączeńsieciowych,kontużytkownikówitd.

Możemyteżwykonaćkopiędyskubezwyłączaniakomputera.Często

wprzypadkutakiejanalizyzabezpieczasięrównieżzrzutpamięciRAM,

ponieważprzechowywanesątamulotneinformacjepozwalającena

odtworzeniestanu,wjakimkomputerbyłwchwiliwykonywaniazrzutu.

Jeślizrobimyobrazdysku,apominiemyzrzutpamięci,toutracimy

informacjeoportachotwartychwsystemieczydziałającychprocesach.

Oczywiścietakieinformacjeteżmożna,przynajmniejczęściowoodtwo-

rzyćzdanychzapisanychnadysku,jednakjesttoniewspółmierniebar-

dziejproblematyczneniżbadaniepamięci.Tensposóbmaswojezalety

wprzypadkuszyfrowanychdysków,ponieważmożemyuzyskaćdostęp

popierwszedoodszyfrowanychdanychiwykonaćobrazaktualnego

stanunośnika,apodrugieistniejemożliwośćodczytaniakluczyszyfru-

jącychzpamięci7.Liveforensicsmaniestetysporominusówiwykonując

jakiekolwiekoperacjenadysku,jednocześnieryzykujemybezpowrot-

nymnadpisaniemistotnychinformacji.Wykorzystującwtrakcieanalizy

informacjezpotencjalnieskompromitowanegosystemu,narażamysięna

możliwość,iżdanetemogąbyćsfałszowanenapoziomiejądrasystemu

przezrootkita.Głównązaletątakiegopodejściawprzypadkuistotnych

systemów,którychniedostępnośćmusibyćminimalizowana,jestprzede

7WprzypadkuLinuxiLUKSnaprzykładhttps://0x00sec.org/t/breaking-encryption-

hashed-passwords-luks-devices/811(http://adamziaja.com/book/?gkj3),awprzypadkuWindows

iBitLockernaprzykładzapomocąmodułudoVolatilityhttps://github.com/elceef/bitlocker

(http://adamziaja.com/book/?ubc9)

Brak wyników

Praktyczna analiza powłamaniowa

Treść książki

Znajdź bibliotekę blisko siebie, i uzyskaj dostęp do ebooka w systemie IBUK Libra