Praktyczna analiza powłamaniowa

Adam Ziaja

Uzyskaj dostęp

Zakup książkę

ISBN/ISSN:

978-83-011-9605-9

DOI:

Wydawnictwo:

Wydawnictwo Naukowe PWN

Rok wydania:

2017

Liczba stron:

277

XML:ISBN/ISSN:

ONIX MARC21

Bibliografia:

Ziaja, Adam. Praktyczna analiza powłamaniowa. Red. . Warszawa: Wydawnictwo Naukowe PWN, 2017, 277 s. ISBN 978-83-011-9605-9

Bibliografia refWorks:

RT Book, Whole

SR Electronic(1)

A1 Ziaja, A.

T1 Praktyczna analiza powłamaniowa

PB Wydawnictwo Naukowe PWN

PP Warszawa

YR 2017

SN 978-83-011-9605-9

Bibliografia BibTex:

@Book{ 182271, author = "Ziaja, Adam", editor = "", title = "Praktyczna analiza powłamaniowa", publisher = "Wydawnictwo Naukowe PWN", year = "2017", address = "Warszawa", isbn = "978-83-011-9605-9" }

Bibliografia endNote:

TY - BOOK

AU - Ziaja, Adam

ED -

TI - Praktyczna analiza powłamaniowa

PB - Wydawnictwo Naukowe PWN

CY - Warszawa

PY - 2017

SN - 978-83-011-9605-9

ER -

Netografia (standard APA):

Ziaja, Adam. Praktyczna analiza powłamaniowa [baza danych online] Warszawa: Wydawnictwo Naukowe PWN, 2017 [dostęp: 14 07 2024]. Dostęp w Ibuk Libra: https://libra.ibuk.pl/reader/praktyczna-analiza-powlamaniowa-adam-ziaja-182271.

bezpieczeństwo, Linux, analiza powłamaniowa, informatyka śledcza, aplikacja webowa

W dzisiejszych czasach bezpieczeństwo aplikacji webowych jest jednym z najważniejszych elementów bezpieczeństwa Internetu, w tym serwerów udostępniających usługi w sieci. Włamania na serwery HTTP niosą jednak za sobą o wiele większe ryzyko niż pod...

Więcej

ISBN/ISSN:

978-83-011-9605-9

DOI:

Wydawnictwo:

Wydawnictwo Naukowe PWN

Rok wydania:

2017

Liczba stron:

277

XML:ISBN/ISSN:

ONIX MARC21

1. Wstęp10
Strona internetowa, błędy oraz errata13
O autorze14
Podziękowania16
2. Zabezpieczanie danych18
3. Podstawowe informacje o systemie Linux22
4. Przyspieszony kurs pisania one-linerów28
5. Analiza włamania na aplikację webową42
5.1. Informacje o konfiguracji Apache244
5.2. Zapytania HTTP46
5.3. Format logów51
5.4. Najczęściej występujące ataki53
5.4.1. SQL Injection (SQLi)54
5.4.2. Remote Code Execution (RCE)57
5.4.3. Local File Inclusion (LFI)60
5.4.4. Remote File Inclusion (RFI)64
5.4.5. Cross-Site Scripting (XSS)65
5.4.6. Cross-Site Request Forgery (CSRF)68
5.4.7. Server-Side Request Forgery (SSRF)69
5.4.8. Shellshock (CVE-2014-6271)71
5.4.9. Denial-of-Service (DoS)72
5.5. Odzyskiwanie skasowanych logów74
5.6. Łączenie wielu plików logów77
5.7. Selekcja względem czasu78
5.8. Wstępne rozpoznanie za pomocą automatycznych narzędzi79
5.8.1. Wykorzystanie apache-scalp z regułami PHP-IDS80
5.9. Wizualizacja logów82
5.10. Wykorzystanie osi czasu83
5.11. Analiza z wykorzystaniem programów powłoki86
5.11.1. Konfiguracja oprogramowania wtop (logrep)92
5.11.2. Wykorzystanie programu logrep (wtop)94
5.12. Wykrywanie anomalii w logach96
5.13. Analiza z wykorzystaniem programu Splunk109
5.14. Wykrywanie backdoorów119
5.15. Studium przypadków122
5.15.1. Włamanie przez CMS Joomla123
5.15.2. Atak słownikowy na CMS Wordpress134
5.15.3. Wykonanie kodu z wykorzystaniem podatności LFI151
5.16. Pisanie własnych narzędzi do analizy logów152
5.17. Podsumowanie155
6. Powłamaniowa analiza systemu Linux158
6.1. Wykonanie kopii dysku160
6.1.1. Zdalne wykonywanie obrazu dysku163
6.2. Praca z obrazem dysku164
6.2.1. Różnice w systemie plików166
6.2.2. Weryfikacja pakietów167
6.2.3. Baza hashy172
6.2.4. Oś czasu174
6.2.5. Weryfikacja na podstawie inode181
6.2.6. Jądro systemu (kernel)184
6.2.7. Moduły kernela186
6.2.8. Narzędzia do wyszukiwania złośliwego oprogramowania186
6.2.10. Logi189
6.2.9. Analiza initrd (RAM dysk)189
6.2.11. Konta użytkowników194
6.2.12. Bity SUID i SGID196
6.2.13. „Ukryte” pliki i katalogi199
6.2.14. Odzyskiwanie usuniętych plików201
6.2.15. Słowa kluczowe202
6.2.16. Analiza pliku known_hosts203
6.3. Praca na działającym systemie (Live Forensics)209
6.3.1. Sudoers209
6.3.2. Wirtualny system plików /proc210
6.3.3. Zmienne środowiskowe212
6.3.4. Biblioteki213
6.3.5. Pakiety218
6.3.6. Wykrywanie rootkitów221
6.3.7. Weryfikacja konfiguracji222
6.3.8. Otwarte pliki223
6.3.9. Otwarte porty225
6.3.10. „Ukryte” procesy226
6.3.11. Sysdig231
6.3.12. Podstawowa analiza działania programów234
6.3.13. Zewnętrzne źródła236
6.4. Analiza pamięci RAM237
6.4.1. Wykonanie zrzutu pamięci237
6.4.2. Tworzenie profilu pamięci239
6.4.3. Analiza pamięci242
6.5. Wykorzystywanie narzędzi anti-forensics do analizy251
6.6. Podsumowanie254
7. Analiza behawioralna złośliwego oprogramowania258
7.1. Reguły Yara270
8. Podsumowanie276

2.ZABEZPIECZANIEDANYCH

wszystkimbrakkoniecznościwyłączaniabadanegokomputera,jakrów-

nieżsamczasreakcjinaincydent.Analizęprzeprowadzamywczasie

rzeczywistym,anieczekamywielegodzinnakopiędyskuinastępniejego

indeksowanie,żebywogólemócodpowiedziećnapodstawowepytania

odnośniedoincydentu.Wtypowymreagowaniunaincydentyreakcjana

zagrożeniepowinnabyćnatychmiastowa,szczególnieżezazwyczajnie

posiadamyzbytwieluinformacjinajegotemat.

Pamiętajmy,żeinformatykaśledczaireagowanienaincydentytopoję-

cia,któreostatnimiczasypowolisięzacierają,stądteżjednowspólne

określenieDFIR.Zawszeszukamypodobnychartefaktów(śladów)

wsystemie,aostatecznymcelemjestanalizadanychiodpowiedzina

pytania,zpowoduktórychanalizabyławogólewykonywana.Nicnie

stoizatemnaprzeszkodzie,abyłączyćteobapodejściaiczęstobywa,

żeinformatykśledczywykonujezrzutpamięci,anastępnierobikopię

binarną.Minusemjestfaktdziałanianamaterialedowodowymijedno-

czesnaingerencjawniego.Biegłysądowywuzasadnionychprzypadkach

możewykonaćzrzutpamięci,cowiążesiębezpośrednioznaruszeniem

integralnościanalizowanegosystemu.Wtakiejsytuacjibiegływykonuje

protokółzrealizacjitychczynności,wktórymznajdąsięm.in.szcze-

gółoweinformacjeowykonanychoperacjachorazdokładnesygnatury

czasowe.Jednakprocedurypracybiegłychsądowych,aszczególnie

proceduryzabezpieczaniamateriałudowodowegonawniosekorganów

uprawnionychwykraczająpozatematykętejksiążki.

Wartozwrócićuwagę,żenieistniejezłotysposóbzabezpieczeniakompu-

tera–szczególniedotyczytoanalizypowłamaniowej.Wtymprzypadku

doprocesutrzebapodejśćindywidualnieiczęstoliczyćnałutszczę-

ścia,ponieważkażdedziałaniewtrakciezabezpieczaniamożewywołać

niechcianekonsekwencje.Generalnązasadąjestrozpoczynaniezabez-

pieczeniaoddanychnajbardziejulotnych.Jeślizabezpieczamykom-

puter,naktórysięwłamano,istniejewielepotencjalnychproblemów.

Napoczątekmożemyodłączyćkabelsieciowy,abyatakującyniemiał

dostępudokomputera.Pojawisięjednakproblem,żezainstalowane

przezatakującegooprogramowaniemożewodpowiedzinatowykonać

jakąśoperację,naprzykładzamknąćkomputerprzyzaszyfrowanych

Brak wyników

Praktyczna analiza powłamaniowa

Treść książki

Znajdź bibliotekę blisko siebie, i uzyskaj dostęp do ebooka w systemie IBUK Libra