T1590.006: ПРИСТРОЇ МЕРЕЖЕВОЇ БЕЗПЕКИ
Зловмисники збирають дані про встановлені засоби захисту: фаєрволи (Firewalls), системи виявлення вторгнень (IDS/IPS), проксі-сервери, поштові шлюзи та VPN-концентратори. Знання конкретної моделі (наприклад, Fortinet, Cisco ASA або Palo Alto) дозволяє хакеру заздалегідь знайти відомі вразливості цих пристроїв або налаштувати свій шкідливий код так, щоб він імітував дозволений цими пристроями трафік.
ТЕХНІЧНИЙ ОПИС
Зловмисники можуть збирати інформацію про мережеві пристрої безпеки жертви, яка може бути використана під час вибору цілі. Інформація про пристрої мережевої безпеки може включати різноманітні деталі, такі як наявність та специфіка розгорнутих фаєрволів, контент-фільтрів, проксі-серверів або бастіон-хостів. Зловмисники також можуть цілитись на інформацію про мережеві системи виявлення вторгнень (NIDS) або інші пристрої, пов’язані з оборонними кіберопераціями.
Зловмисники можуть збирати цю інформацію різними способами, наприклад, через прямі дії зі збору за допомогою Активного сканування або Фішингу для отримання інформації. Інформація про мережеві пристрої безпеки також може бути розкрита зловмисникам через онлайн-ресурси або інші доступні набори даних (наприклад, пошук на вебсайтах, що належать жертві).
Збір цієї інформації може виявити можливості для інших форм розвідки (наприклад, пошук у відкритих технічних базах даних або на вебсайтах), створення оперативних ресурсів (розробка або отримання інструментів) та/або початкового доступу (зовнішні віддалені сервіси).
Як хакери виявляють ваші «щити»?
- Аналіз відповідей (Fingerprinting): Кожен фаєрвол або проксі-сервер має свій «почерк». Наприклад, затримка у відповіді або специфічні змінені заголовки HTTP можуть видати присутність Citrix ADC або F5 BIG-IP.
- Помилки доступу: Коли зловмисник надсилає спеціально сформований «поганий» запит, сторінка блокування часто містить логотип або назву пристрою захисту (наприклад, “Blocked by FortiGate”).
- VPN-портали: Вікна входу в корпоративну мережу майже завжди видають вендора: “Cisco AnyConnect”, “GlobalProtect” (Palo Alto) або “Pulse Secure”. Це пряма вказівка, яку вразливість шукати.
- Публічні закупівлі та вакансії: “Шукаємо фахівця з налаштування Check Point”. Тепер хакер точно знає, який фаєрвол стоїть у периметрі.
Чому це вкрай небезпечно?
- Підбір експлойту: Якщо хакер знає, що ви використовуєте стару версію VPN-шлюзу з відомою діркою (CVE), він може отримати доступ до мережі за лічені секунди.
- Адаптація навантаження: Зловмисник може налаштувати свій вірус так, щоб він «спілкувався» з командним сервером через порти та протоколи, які ваш проксі-сервер зазвичай не перевіряє.
- Вимкнення захисту: Знаючи модель IDS/IPS, хакер може спробувати провести атаку типу “Denial of Service” саме на цей пристрій, щоб «осліпити» охорону перед основним ударом.
Як захиститися?
- Приховування ідентичності: Налаштуйте пристрої так, щоб вони видавали мінімум інформації про себе (Generic error messages).
- Обмеження доступу до адмін-панелей: Інтерфейси управління фаєрволами та VPN не повинні бути доступні для всього інтернету — тільки з обмеженого списку довірених IP або через додатковий шар захисту.
- Регулярні оновлення (Patching): Пристрої безпеки — це перша лінія оборони. Вразливості в них (як-от у VPN) є пріоритетом №1 для виправлення.
- Контроль за метаданими та вакансіями: Не вказуйте конкретні моделі засобів захисту в публічних описах вакансій або тендерній документації, якщо це не обов’язково.