Istio до версии 1.5.1 и Envoy до версии 1.14.1 имеют проблему утечки данных. Если существует TCP-соединение (согласованное с SNI через HTTP…
Istio до версии 1.5.1 и Envoy до версии 1.14.1 имеют проблему утечки данных. Если существует TCP-соединение (согласованное с SNI через HTTPS) с *.example.com, запрос на домен, настроенный одновременно явно (например, abc.example.com), отправляется на сервер(ы), прослушивающие за *.example.com. Вместо этого результатом должен быть 421 Misdirected Request. Представьте себе общий кэширующий прямой прокси-сервер, повторно использующий HTTP/2-соединение для большой подсети со многими пользователями. Если жертва взаимодействует с abc.example.com, и сервер (для abc.example.com) повторно использует TCP-соединение с прямым прокси-сервером, браузер жертвы может внезапно начать отправлять конфиденциальные данные на сервер *.example.com. Это происходит потому, что прямой прокси-сервер между жертвой и исходным сервером повторно использует соединения (что соответствует спецификации), но ни Istio, ни Envoy не исправляют это, отправляя ошибку 421. Аналогично, такое поведение аннулирует модель безопасности, которую браузеры установили между доменами.
Продукт раскрывает конфиденциальную информацию субъекту, которому явно не предоставлен доступ к этой информации.
https://cwe.mitre.org/data/definitions/200.html →Открыть в коллекции CWE →Злоумышленник прямо или косвенно изменяет переменные окружения, используемые целевым программным обеспечением или управляющие им. Цель злоумышленника состоит в том, чтобы заставить целевое программное обеспечение отклониться от ожидаемого поведения способом, выгодным злоумышленнику.
https://capec.mitre.org/data/definitions/13.html →Открыть в коллекции CAPEC →Атака данного типа эксплуатирует уязвимости в аутентификации канала взаимодействия клиент/сервер и целостности данных. Она использует неявное доверие, которое сервер оказывает клиенту, или, что важнее, тому, кого сервер считает клиентом. Злоумышленник реализует данный тип атаки, взаимодействуя напрямую с сервером, который при этом полагает, что общается только с действительным клиентом. Существует множество разновидностей данного типа атак.
https://capec.mitre.org/data/definitions/22.html →Открыть в коллекции CAPEC →Данная атака направлена на предсказуемые идентификаторы сеанса с целью получения привилегий. Злоумышленник может предсказать идентификатор сеанса, используемый во время транзакции, и применить его для подделки личности и перехвата сеанса.
https://capec.mitre.org/data/definitions/59.html →Открыть в коллекции CAPEC →Данная атака направлена на повторное использование действительного идентификатора сеанса для подделки личности в целевой системе и получения привилегий. Злоумышленник пытается повторно использовать похищенный идентификатор сеанса, применявшийся ранее в транзакции, для подделки личности и перехвата сеанса. Другое название этого типа атаки — воспроизведение сеанса.
https://capec.mitre.org/data/definitions/60.html →Открыть в коллекции CAPEC →Данная атака направлена на кодирование символов слеша. Злоумышленник пытается эксплуатировать распространённые проблемы фильтрации, связанные с использованием символов слеша, для получения доступа к ресурсам на целевом хосте. Системы на основе каталогов, такие как файловые системы и базы данных, как правило, используют символ слеша для обозначения перехода между каталогами или другими контейнерными компонентами. По неоднозначным историческим причинам ПК (и, как следствие, ОС Microsoft) используют обратный слеш, тогда как мир UNIX традиционно применяет прямой слеш. Шизофренический результат таков, что многие MS-системы обязаны понимать обе формы слеша. Это предоставляет злоумышленнику множество возможностей для обнаружения и использования распространённых проблем фильтрации. Цель данного шаблона — обнаружить серверное программное обеспечение, применяющее фильтры только к одному варианту, но не другому.
https://capec.mitre.org/data/definitions/79.html →Открыть в коллекции CAPEC →Злоумышленник активно зондирует цель способами, направленными на получение информации, которая могла бы быть использована в вредоносных целях.
https://capec.mitre.org/data/definitions/116.html →Открыть в коллекции CAPEC →Злоумышленник проводит зондирование и разведку для идентификации компонентов и свойств цели.
https://capec.mitre.org/data/definitions/169.html →Открыть в коллекции CAPEC →Злоумышленник сравнивает вывод целевой системы с известными признаками, однозначно идентифицирующими конкретные характеристики цели. Чаще всего снятие отпечатка выполняется для определения версий операционной системы и приложений. Снятие отпечатка может осуществляться как пассивным, так и активным способом. Сам по себе данный метод, как правило, не наносит ущерба цели. Однако информация, полученная в ходе снятия отпечатка, нередко позволяет злоумышленнику обнаруживать существующие слабости в цели.
https://capec.mitre.org/data/definitions/224.html →Открыть в коллекции CAPEC →Злоумышленник отправляет ICMP-сообщение типа 8 (Echo Request), широко известное как «Ping», чтобы определить, доступна ли целевая система. Если запрос не заблокирован межсетевым экраном или ACL, целевой хост ответит ICMP-датаграммой типа 0 (Echo Reply). Такой обмен обычно называют «Ping» по одноимённой утилите, имеющейся почти во всех операционных системах. Ping, в типичной реализации, позволяет пользователю проверять доступность хостов, измерять время двойного обхода и процент потери пакетов.
https://capec.mitre.org/data/definitions/285.html →Открыть в коллекции CAPEC →Злоумышленник использует SYN-сканирование для определения состояния портов на удалённой цели. SYN-сканирование является наиболее распространённым типом сканирования портов в силу многочисленных преимуществ и малого числа недостатков. В результате начинающие злоумышленники склонны чрезмерно полагаться на SYN-сканирование при выполнении разведки систем. Как метод сканирования, основные преимущества SYN-сканирования — его универсальность и скорость.
https://capec.mitre.org/data/definitions/287.html →Открыть в коллекции CAPEC →Злоумышленник перечисляет MX-записи заданного домена с помощью DNS-запроса. Этот тип сбора информации возвращает имена почтовых серверов в сети. Почтовые серверы нередко не имеют прямого выхода в интернет и располагаются в DMZ сети, защищённой межсетевым экраном. Побочным эффектом такой конфигурации является то, что перечисление MX-записей организации может раскрыть IP-адрес межсетевого экрана или, возможно, других внутренних систем. Злоумышленники нередко прибегают к перечислению MX-записей, когда передача зоны DNS невозможна.
https://capec.mitre.org/data/definitions/290.html →Открыть в коллекции CAPEC →Злоумышленник эксплуатирует ошибку конфигурации DNS, допускающую передачу зоны. Некоторые внешние DNS-серверы возвращают список IP-адресов и действительных имён хостов. При определённых условиях возможно даже получение данных зоны о внутренней сети организации. В случае успеха злоумышленник получает ценные сведения о топологии целевой организации, включая информацию о конкретных серверах, их роли в IT-инфраструктуре и, возможно, об операционных системах, работающих в сети. Такое поведение зависит от конфигурации, поэтому может потребоваться перебор нескольких DNS-серверов в поисках того, на котором разрешена передача зоны.
https://capec.mitre.org/data/definitions/291.html →Открыть в коллекции CAPEC →Злоумышленник отправляет зонд на IP-адрес, чтобы определить, активен ли хост. Обнаружение хостов — одна из первых фаз сетевой разведки. Злоумышленник обычно начинает с диапазона IP-адресов, принадлежащих целевой сети, и использует различные методы для определения наличия хоста по каждому IP-адресу. Обнаружение хостов нередко называют «Ping»-сканированием по аналогии с гидролокатором. Цель — отправить пакет на IP-адрес и получить ответ от хоста. Таким образом, «ping» может быть практически любым сформированным пакетом при условии, что злоумышленник способен идентифицировать активный хост по его ответу. Атака такого рода, как правило, проводится в виде «ping sweep» — отправки определённого вида ping-запросов на диапазон IP-адресов.
https://capec.mitre.org/data/definitions/292.html →Открыть в коллекции CAPEC →Злоумышленник использует утилиту traceroute для построения карты маршрута, по которому данные проходят через сеть до целевого адреса назначения. Трассировка маршрута позволяет злоумышленнику построить рабочую топологию систем и маршрутизаторов, перечислив системы, через которые проходят данные на пути к целевому компьютеру. Данная атака может возвращать различные результаты в зависимости от типа выполняемой трассировки. Traceroute работает путём отправки пакетов к цели с последовательным увеличением значения поля Time-to-Live в заголовке пакета. При прохождении пакета через каждый узел на пути к назначению его TTL истекает, генерируя диагностическое ICMP-сообщение, идентифицирующее место истечения срока действия пакета. Традиционные методы трассировки маршрута основывались на использовании ICMP и UDP, однако по мере того как всё больше межсетевых экранов стали фильтровать входящие ICMP-пакеты, были разработаны методы трассировки на основе TCP.
https://capec.mitre.org/data/definitions/293.html →Открыть в коллекции CAPEC →Злоумышленник отправляет ICMP-сообщение типа 17 (Address Mask Request) для сбора сведений о конфигурации сети цели. Запросы маски адреса ICMP определены в RFC-950, «Internet Standard Subnetting Procedure». Запрос маски адреса — это ICMP-сообщение типа 17, которое побуждает удалённую систему ответить перечнем связанных подсетей, а также шлюзом по умолчанию и широковещательным адресом посредством ICMP-датаграммы типа 18 (Address Mask Reply). Сбор такой информации помогает злоумышленнику планировать атаки на маршрутизаторы, а также атаки типа «отказ в обслуживании» против широковещательного адреса.
https://capec.mitre.org/data/definitions/294.html →Открыть в коллекции CAPEC →Данный шаблон атаки использует стандартные запросы для определения точного времени, ассоциированного с целевой системой. Злоумышленник может использовать временную метку, возвращённую целью, для атаки на основанные на времени алгоритмы безопасности, такие как генераторы случайных чисел или механизмы аутентификации на основе времени.
https://capec.mitre.org/data/definitions/295.html →Открыть в коллекции CAPEC →Злоумышленник отправляет ICMP Information Request хосту, чтобы проверить, ответит ли тот на этот устаревший механизм. ICMP Information Requests — устаревший тип сообщений. Изначально запросы информации использовались для того, чтобы бездисковые компьютеры могли автоматически получать конфигурацию сети, однако этот тип сообщений был вытеснен более надёжными реализациями протоколов, такими как DHCP.
https://capec.mitre.org/data/definitions/296.html →Открыть в коллекции CAPEC →Злоумышленник отправляет TCP-сегмент с установленным флагом ACK удалённому хосту для определения его доступности. Это один из нескольких типов TCP-«пинга». Ожидаемое поведение по RFC 793 для службы — ответить пакетом RST («reset») на любой незапрошенный ACK-сегмент, не являющийся частью существующего соединения. Таким образом, отправив ACK-сегмент на порт, злоумышленник может определить, что хост активен, по наличию пакета RST. Как правило, удалённый сервер отвечает RST вне зависимости от того, открыт порт или закрыт. В связи с этим TCP ACK Ping не позволяет определить состояние удалённого порта, поскольку поведение в обоих случаях одинаково. Межсетевой экран просматривает ACK-пакет в своей таблице состояний и отбрасывает сегмент, поскольку он не соответствует ни одному активному соединению. TCP ACK Ping может использоваться для определения доступности хоста по пакетам RST, отправляемым хостом в ответ.
https://capec.mitre.org/data/definitions/297.html →Открыть в коллекции CAPEC →Злоумышленник отправляет UDP-датаграмму удалённому хосту для определения его доступности. Если UDP-датаграмма отправлена на открытый UDP-порт, ответ нередко отсутствует, поэтому типичная стратегия UDP-пинга — отправка датаграммы на случайный порт с высоким номером на цели. Цель — получить от цели сообщение «ICMP port unreachable», свидетельствующее о доступности хоста. UDP-пинги полезны, поскольку некоторые межсетевые экраны не настроены на блокировку UDP-датаграмм, отправляемых на нестандартные или редко используемые порты, например порты в диапазоне 65K. Кроме того, хотя некоторые межсетевые экраны могут фильтровать входящие ICMP-пакеты, уязвимости в наборах правил межсетевого экрана могут допускать определённые типы ICMP (host unreachable, port unreachable), которые полезны для попыток UDP-пинга.
https://capec.mitre.org/data/definitions/298.html →Открыть в коллекции CAPEC →Злоумышленник использует TCP SYN-пакеты как средство обнаружения хостов. Типичное поведение по RFC 793 предусматривает, что когда TCP-порт открыт, хост должен ответить на входящий SYN-пакет («synchronize»), завершив второй этап «трёхстороннего рукопожатия» — отправив SYN/ACK в ответ. Когда порт закрыт, поведение по RFC 793 — ответить пакетом RST («reset»). Это поведение можно использовать для «пинга» цели с целью проверки её доступности: отправить TCP SYN-пакет на порт и затем отслеживать RST или ACK-пакет в ответ.
https://capec.mitre.org/data/definitions/299.html →Открыть в коллекции CAPEC →Злоумышленник использует комбинацию методов для определения состояния портов на удалённой цели. Для каждой службы или приложения, доступного по TCP или UDP в сети, открыт соответствующий порт для коммуникации.
https://capec.mitre.org/data/definitions/300.html →Открыть в коллекции CAPEC →Злоумышленник использует полные попытки установления TCP-соединений для определения состояния порта на целевой системе. Процесс сканирования включает выполнение «трёхстороннего рукопожатия» с удалённым портом и сообщает о закрытии порта, если полное рукопожатие не может быть установлено. Преимущество TCP connect-сканирования заключается в том, что оно работает с любым TCP/IP-стеком.
https://capec.mitre.org/data/definitions/301.html →Открыть в коллекции CAPEC →Злоумышленник использует TCP FIN-сканирование для определения закрытых портов на целевом компьютере. Данный метод сканирования реализуется путём отправки TCP-сегментов с установленным битом FIN в заголовке пакета. Ожидаемое поведение по RFC 793 состоит в том, что любой TCP-сегмент с неожиданным флагом, отправленный на открытый порт, отбрасывается, тогда как сегменты с неожиданными флагами, отправленные на закрытые порты, должны обрабатываться с RST в ответ. Это поведение позволяет злоумышленнику сканировать закрытые порты, отправляя определённые типы нарушающих правила пакетов и обнаруживая закрытые порты по RST-пакетам.
https://capec.mitre.org/data/definitions/302.html →Открыть в коллекции CAPEC →Злоумышленник использует TCP XMAS-сканирование для определения закрытых портов на целевом компьютере. Данный метод реализуется путём отправки TCP-сегментов со всеми возможными установленными флагами в заголовке пакета, формируя пакеты, являющиеся недопустимыми согласно RFC 793. Ожидаемое поведение по RFC 793 состоит в том, что любой TCP-сегмент с неожиданным флагом, отправленный на открытый порт, отбрасывается, тогда как сегменты с неожиданными флагами, отправленные на закрытые порты, должны обрабатываться с RST в ответ. Это поведение позволяет злоумышленнику сканировать закрытые порты и обнаруживать их по RST-пакетам.
https://capec.mitre.org/data/definitions/303.html →Открыть в коллекции CAPEC →Злоумышленник использует TCP Null-сканирование для определения закрытых портов на целевом компьютере. Данный метод реализуется путём отправки TCP-сегментов без каких-либо флагов в заголовке пакета, формируя пакеты, являющиеся недопустимыми согласно RFC 793. Ожидаемое поведение по RFC 793 состоит в том, что любой TCP-сегмент с неожиданным флагом, отправленный на открытый порт, отбрасывается, тогда как сегменты с неожиданными флагами, отправленные на закрытые порты, должны обрабатываться с RST в ответ. Это поведение позволяет злоумышленнику сканировать закрытые порты и обнаруживать их по RST-пакетам.
https://capec.mitre.org/data/definitions/304.html →Открыть в коллекции CAPEC →Злоумышленник использует TCP ACK-сегменты для сбора сведений о конфигурации межсетевого экрана или ACL. Цель данного типа сканирования — получить информацию о конфигурации фильтров, а не о состоянии портов. Данный тип сканирования редко полезен сам по себе, однако в сочетании с SYN-сканированием даёт более полное представление о типе действующих правил межсетевого экрана.
https://capec.mitre.org/data/definitions/305.html →Открыть в коллекции CAPEC →Злоумышленник применяет TCP Window-сканирование для анализа состояния портов и определения типа операционной системы. TCP Window-сканирование использует метод ACK-сканирования, но исследует поле размера TCP-окна ответных RST-пакетов для получения определённых выводов. Хотя TCP Window-сканирование выполняется быстро и относительно незаметно, оно работает с меньшим числом TCP-стеков, чем любой другой тип сканирования. Некоторые операционные системы возвращают положительный размер TCP-окна в RST-пакете, отправленном с открытого порта, и отрицательное значение, когда RST исходит с закрытого порта. TCP Window-сканирование — один из наиболее сложных типов сканирования, а его результаты сложно интерпретировать. Window-сканирование само по себе редко даёт полезную информацию, однако в сочетании с другими типами сканирования оно более информативно. В целом это более надёжный способ получить выводы о версиях операционных систем, чем о состоянии портов.
https://capec.mitre.org/data/definitions/306.html →Открыть в коллекции CAPEC →Злоумышленник сканирует RPC-службы, прослушивающие Unix/Linux-хост.
https://capec.mitre.org/data/definitions/307.html →Открыть в коллекции CAPEC →Злоумышленник применяет UDP-сканирование для сбора сведений о состоянии UDP-портов на целевой системе. Методы UDP-сканирования включают отправку UDP-датаграммы на целевой порт и поиск признаков того, что порт закрыт. Открытые UDP-порты, как правило, не отвечают на UDP-датаграммы, поскольку в протоколе отсутствует механизм с отслеживанием состояния, требующий установления сессии. Ответы на UDP-датаграммы являются специфичными для приложения и не могут использоваться как надёжный метод обнаружения открытого порта. UDP-сканирование в значительной мере опирается на диагностические ICMP-сообщения для определения состояния удалённого порта.
https://capec.mitre.org/data/definitions/308.html →Открыть в коллекции CAPEC →Злоумышленник выполняет сканирование для составления карты сетевых узлов, хостов, устройств и маршрутов. Злоумышленники, как правило, проводят такую сетевую разведку на ранних этапах атаки на внешнюю сеть. Обычно применяется широкий спектр утилит сканирования, включая инструменты на основе ICMP, сетевые картографы, сканеры портов и утилиты тестирования маршрутов, такие как traceroute.
https://capec.mitre.org/data/definitions/309.html →Открыть в коллекции CAPEC →Злоумышленник осуществляет сканирование для поиска уязвимых версий или типов программного обеспечения, таких как версии операционных систем или сетевые службы. Уязвимые или поддающиеся эксплуатации сетевые конфигурации, например ненадлежащим образом защищённые межсетевым экраном системы или некорректно настроенные системы в DMZ или во внешней сети, предоставляют злоумышленнику возможности для атаки. К распространённым типам уязвимого программного обеспечения относятся неисправленные операционные системы или службы (например, FTP, Telnet, SMTP, SNMP), работающие на открытых портах, выявленных злоумышленником. Злоумышленники обычно начинают поиск уязвимого программного обеспечения после сканирования портов внешней сети и выявления потенциальных целей.
https://capec.mitre.org/data/definitions/310.html →Открыть в коллекции CAPEC →Злоумышленник выполняет действия для определения операционной системы или версии прошивки удалённой цели, опрашивая устройство, сервер или платформу с помощью зонда, призванного вызвать поведение, которое раскроет сведения об операционных системах или прошивках в среде. Обнаружение операционной системы возможно, поскольку реализации общих протоколов (таких как IP или TCP) различаются характерным образом. Хотя различия в реализациях недостаточны для «нарушения» совместимости с протоколом, они обнаруживаемы: цель реагирует уникальным образом на специфическую зондирующую активность, нарушающую семантические или логические правила конструирования пакетов для протокола. Различные операционные системы дают уникальный ответ на аномальный ввод, что является основой для снятия отпечатка ОС. Данный тип снятия отпечатка ОС позволяет различать типы и версии операционных систем.
https://capec.mitre.org/data/definitions/312.html →Открыть в коллекции CAPEC →Злоумышленник выполняет действия для определения версии или типа программного обеспечения ОС в среде путём пассивного наблюдения за обменом данными между устройствами, узлами или приложениями. Пассивные методы снятия отпечатка операционной системы не отправляют реальных зондов к цели, а отслеживают сетевой обмен данными или обмен между клиентом и сервером для идентификации операционных систем на основе наблюдаемого поведения в сравнении с базой данных известных сигнатур или значений. Хотя пассивное снятие отпечатка ОС, как правило, менее надёжно, чем активные методы, оно обычно лучше уклоняется от обнаружения.
https://capec.mitre.org/data/definitions/313.html →Открыть в коллекции CAPEC →Данный зонд снятия отпечатка ОС анализирует алгоритм генерации порядкового номера поля IP «ID» удалённого хоста. Операционные системы генерируют IP «ID»-номера по-разному, что позволяет злоумышленнику идентифицировать операционную систему хоста, анализируя порядок присвоения ID-номеров при генерации ответных пакетов. RFC 791 не определяет способ выбора ID-номеров и их диапазоны, поэтому генерация последовательностей ID различается в зависимости от реализации. Существуют два вида анализа последовательностей IP «ID»: анализ последовательностей IP «ID» — анализ алгоритма генерации последовательностей IP «ID» для одного протокола, используемого хостом, и анализ разделяемых последовательностей IP «ID» — анализ порядка пакетов на основе значений IP «ID» в нескольких протоколах, например между ICMP и TCP.
https://capec.mitre.org/data/definitions/317.html →Открыть в коллекции CAPEC →Данный зонд снятия отпечатка ОС проверяет, отражает ли удалённый хост значение IP «ID» из зондирующего пакета. Злоумышленник отправляет UDP-датаграмму с произвольным значением IP «ID» на закрытый порт удалённого хоста, чтобы наблюдать способ отражения этого бита в ICMP-сообщении об ошибке. Поле идентификации (ID) обычно используется для повторной сборки фрагментированного пакета. Некоторые операционные системы или прошивки маршрутизаторов меняют порядок байтов поля ID при отражении IP-заголовка исходной датаграммы в ICMP-сообщении об ошибке.
https://capec.mitre.org/data/definitions/318.html →Открыть в коллекции CAPEC →Данный зонд снятия отпечатка ОС проверяет, отражает ли удалённый хост бит IP «DF» (Don't Fragment) в ответном пакете. Злоумышленник отправляет UDP-датаграмму с установленным битом DF на закрытый порт удалённого хоста, чтобы наблюдать, установлен ли бит «DF» в ответном пакете. Некоторые операционные системы отражают этот бит в ICMP-сообщении об ошибке, тогда как другие обнуляют бит в ответном пакете.
https://capec.mitre.org/data/definitions/319.html →Открыть в коллекции CAPEC →Данный зонд снятия отпечатка ОС исследует реализацию временных меток TCP удалённого сервера. Не все операционные системы реализуют временные метки в TCP-заголовке, однако когда они используются, это предоставляет злоумышленнику возможность угадать операционную систему цели. Злоумышленник начинает с зондирования любой активной TCP-службы, чтобы получить ответ, содержащий временную метку TCP. Различные операционные системы обновляют значение временной метки через разные интервалы. Данный тип анализа наиболее точен при получении и анализе нескольких ответов с временными метками. Временные метки TCP находятся в поле опций TCP-заголовка.
https://capec.mitre.org/data/definitions/320.html →Открыть в коллекции CAPEC →Данный зонд снятия отпечатка ОС тестирует механизм присвоения последовательных номеров TCP целевой системой. Один из распространённых способов проверки генерации последовательных номеров TCP — отправить зондирующий пакет на открытый порт цели и затем сравнить соотношение сгенерированного целью последовательного номера с номером подтверждения в зондирующем пакете. Различные операционные системы присваивают последовательные номера по-разному, поэтому отпечаток операционной системы можно получить, категоризировав соотношение между номером подтверждения и последовательным номером следующим образом: 1) последовательный номер, сгенерированный целью, равен нулю; 2) последовательный номер, сгенерированный целью, совпадает с номером подтверждения в зонде; 3) последовательный номер, сгенерированный целью, на единицу превышает номер подтверждения; 4) последовательный номер является любым другим ненулевым числом.
https://capec.mitre.org/data/definitions/321.html →Открыть в коллекции CAPEC →Данный зонд снятия отпечатка ОС отправляет ряд TCP SYN-пакетов на открытый порт удалённого компьютера. Начальный порядковый номер (ISN) в каждом из ответных пакетов SYN/ACK анализируется для определения наименьшего числа, которое целевой хост использует при увеличении порядковых номеров. Эта информация может быть полезна для идентификации операционной системы, поскольку конкретные операционные системы и их версии увеличивают порядковые номера с использованием разных значений. Результат анализа затем сравнивается с базой данных поведения ОС для определения типа и/или версии ОС.
https://capec.mitre.org/data/definitions/322.html →Открыть в коллекции CAPEC →Данный зонд обнаружения ОС измеряет среднюю скорость приращений начального порядкового номера за период времени. Порядковые номера увеличиваются с использованием алгоритма на основе времени и подвержены временному анализу, позволяющему определить количество приращений в единицу времени. Результат данного анализа затем сравнивается с базой данных операционных систем и версий для определения вероятных совпадений операционной системы.
https://capec.mitre.org/data/definitions/323.html →Открыть в коллекции CAPEC →Данный тип зонда операционной системы пытается определить оценку предсказуемости алгоритма генерации порядковых номеров для удалённого хоста. Статистические методы, такие как стандартное отклонение, могут использоваться для определения предсказуемости генерации порядковых номеров для системы. Этот результат затем может быть сопоставлен с базой данных поведения операционных систем для определения вероятного совпадения операционной системы и версии.
https://capec.mitre.org/data/definitions/324.html →Открыть в коллекции CAPEC →Данный зонд снятия отпечатка ОС проверяет, поддерживает ли удалённый хост явное уведомление о перегрузке (ECN). ECN-уведомления разработаны для того, чтобы маршрутизаторы могли уведомлять удалённый хост о возникающих проблемах с перегрузкой. Явное уведомление о перегрузке определено в RFC 3168. Различные операционные системы и версии могут реализовывать или не реализовывать ECN-уведомления либо реагировать уникальным образом на определённые типы флагов ECN.
https://capec.mitre.org/data/definitions/325.html →Открыть в коллекции CAPEC →Данный зонд снятия отпечатка ОС проверяет начальный размер TCP-окна. TCP-стеки ограничивают диапазон допустимых порядковых номеров в рамках сессии для поддержания состояния «connected» в логике протокола TCP. Начальный размер окна определяет диапазон допустимых порядковых номеров, которые будут квалифицироваться как ответ на ACK-пакет в рамках сессии. Различные операционные системы используют разные начальные размеры окна. Начальный размер окна может быть зафиксирован путём установления обычного TCP-соединения.
https://capec.mitre.org/data/definitions/326.html →Открыть в коллекции CAPEC →Данный зонд снятия отпечатка ОС анализирует тип и порядок любых опций TCP-заголовка, присутствующих в ответном сегменте. Большинство операционных систем используют уникальный порядок и разные наборы опций при их наличии. RFC 793 не определяет обязательного порядка при наличии опций, поэтому различные реализации используют уникальные способы упорядочивания или структурирования опций TCP. Опции TCP могут генерироваться обычным TCP-трафиком.
https://capec.mitre.org/data/definitions/327.html →Открыть в коллекции CAPEC →Данный зонд снятия отпечатка ОС выполняет контрольное суммирование ASCII-данных, содержащихся в полезной нагрузке пакета RST. Некоторые операционные системы включают удобочитаемое текстовое сообщение в полезную нагрузку пакета «RST» (сброс) при возникновении определённых типов ошибок соединения. RFC 1122 допускает текстовые полезные нагрузки в пакетах сброса, однако не все операционные системы и маршрутизаторы реализуют эту функциональность.
https://capec.mitre.org/data/definitions/328.html →Открыть в коллекции CAPEC →Злоумышленник использует технику для генерации ICMP-сообщения об ошибке (Port Unreachable, Destination Unreachable, Redirect, Source Quench, Time Exceeded, Parameter Problem) с цели, после чего анализирует объём данных, возвращённых или «процитированных» из исходного запроса, сгенерировавшего ICMP-сообщение об ошибке.
https://capec.mitre.org/data/definitions/329.html →Открыть в коллекции CAPEC →Злоумышленник использует технику для генерации ICMP-сообщения об ошибке (Port Unreachable, Destination Unreachable, Redirect, Source Quench, Time Exceeded, Parameter Problem) с цели, после чего анализирует целостность данных, возвращённых или «процитированных» из исходного запроса, сгенерировавшего сообщение об ошибке.
https://capec.mitre.org/data/definitions/330.html →Открыть в коллекции CAPEC →Злоумышленник тщательно разрабатывает небольшие фрагменты JavaScript для эффективного определения типа браузера потенциальной жертвы. Многие веб-атаки требуют предварительного знания браузера, включая его версию, для успешной эксплуатации уязвимости. Наличие этих знаний позволяет злоумышленнику нацелить атаки непосредственно на известные или ранее неизвестные уязвимости конкретного типа и версии браузера жертвы. Автоматизация этого процесса с помощью JavaScript в рамках той же системы доставки, что используется для эксплуатации браузера, считается более эффективной: злоумышленник может встроить метод снятия отпечатка браузера и интегрировать его с кодом эксплуатации — всё в виде JavaScript в ответ на тот же запрос браузера.
https://capec.mitre.org/data/definitions/472.html →Открыть в коллекции CAPEC →Злоумышленник выполняет разведывательные действия для определения наличия распространённых ключевых файлов. Такие файлы нередко содержат параметры конфигурации и безопасности целевого приложения, системы или сети. Полученные знания зачастую открывают путь к более серьёзным атакам.
https://capec.mitre.org/data/definitions/497.html →Открыть в коллекции CAPEC →При атаке подглядывания через плечо злоумышленник наблюдает за нажатиями клавиш, содержимым экрана или разговорами ничего не подозревающего человека с целью получения конфиденциальной информации. Одним из мотивов данной атаки является получение конфиденциальной информации о цели в финансовых, личных, политических или иных целях. С точки зрения инсайдерской угрозы дополнительным мотивом может быть получение учётных данных для системы/приложения или криптографических ключей. Атаки подглядывания через плечо осуществляются путём наблюдения за содержимым «через плечо жертвы», как следует из названия данной атаки.
https://capec.mitre.org/data/definitions/508.html →Открыть в коллекции CAPEC →Злоумышленник эксплуатирует функциональность, предназначенную для предоставления авторизованному пользователю информации о текущих запущенных процессах на целевой системе. Зная, какие процессы выполняются на целевой системе, злоумышленник получает сведения о целевой среде как средство для дальнейшего вредоносного поведения.
https://capec.mitre.org/data/definitions/573.html →Открыть в коллекции CAPEC →Злоумышленник эксплуатирует функциональность, предназначенную для предоставления авторизованному пользователю информации о службах целевой системы. Зная, какие службы зарегистрированы на целевой системе, злоумышленник получает сведения о целевой среде как средство для дальнейшего вредоносного поведения. В зависимости от операционной системы команды для получения информации о службах включают «sc» и «tasklist/svc» с помощью Tasklist, а также «net start» с помощью Net.
https://capec.mitre.org/data/definitions/574.html →Открыть в коллекции CAPEC →Злоумышленник использует функциональность, предназначенную для предоставления авторизованному пользователю сведений о доменных учётных записях и их правах на целевой системе. Зная, какие учётные записи зарегистрированы на целевой системе, злоумышленник может планировать более целенаправленные вредоносные действия. Примеры команд Windows, позволяющих получить эту информацию: "net user" и "dsquery".
https://capec.mitre.org/data/definitions/575.html →Открыть в коллекции CAPEC →Злоумышленник использует функциональность, предназначенную для предоставления авторизованному пользователю сведений о группах пользователей и их правах на целевой системе. Зная, какие пользователи и права зарегистрированы на целевой системе, злоумышленник может планировать более целенаправленные вредоносные действия. Пример команды Windows для вывода списка локальных групп: "net localgroup".
https://capec.mitre.org/data/definitions/576.html →Открыть в коллекции CAPEC →Злоумышленник использует функциональность, предназначенную для предоставления авторизованному пользователю сведений об основных пользователях целевой системы. Для этого он может, например, просматривать записи входов или время изменения файлов. Зная, кто является владельцами на целевой системе, злоумышленник может планировать более целенаправленные вредоносные действия. Пример команды Windows, позволяющей это сделать: "dir /A ntuser.dat" — она выводит время последнего изменения файла ntuser.dat пользователя при выполнении в корневом каталоге этого пользователя. Данное время соответствует последнему времени входа этого пользователя в систему.
https://capec.mitre.org/data/definitions/577.html →Открыть в коллекции CAPEC →Злоумышленник предоставляет вредоносную версию ресурса по адресу, схожему с ожидаемым расположением легитимного ресурса. Создав поддельный ресурс, злоумышленник ожидает, пока жертва посетит его и обратится к вредоносному ресурсу.
https://capec.mitre.org/data/definitions/616.html →Открыть в коллекции CAPEC →Злоумышленник обнаруживает связи между системами, используя стандартную практику целевой системы раскрывать их в общедоступных местах. Определив общие папки/диски между системами, злоумышленник может продвигать свои цели по обнаружению и сбору конфиденциальной информации/файлов или составлению карты возможных маршрутов для горизонтального перемещения по сети.
https://capec.mitre.org/data/definitions/643.html →Открыть в коллекции CAPEC →Злоумышленники могут пытаться получить информацию о подключённых периферийных устройствах и компонентах компьютерной системы. Примеры включают обнаружение iOS-устройств путём поиска резервных копий, анализ реестра Windows для определения подключавшихся USB-устройств или заражение системы жертвы вредоносным программным обеспечением для получения уведомлений о подключении USB-устройства. Это может позволить злоумышленнику получить дополнительные сведения о системе или сетевой среде, что может быть использовано для разработки последующих атак.
https://capec.mitre.org/data/definitions/646.html →Открыть в коллекции CAPEC →Злоумышленник перехватывает форму коммуникации (например, текст, аудио, видео) с помощью программных средств (например, микрофона и приложения для записи аудио), аппаратных средств (например, записывающего оборудования) или физических методов (например, физической близости). Цель прослушивания, как правило, состоит в получении несанкционированного доступа к конфиденциальной информации о цели в финансовых, личных, политических или иных целях. Прослушивание отличается от атаки перехватом пакетов тем, что не осуществляется по сетевому каналу связи (например, IP-трафику). Вместо этого оно предполагает прослушивание необработанного аудиоисточника разговора между двумя и более сторонами.
https://capec.mitre.org/data/definitions/651.html →Открыть в коллекции CAPEC →| Продукт | Вендор | Статус |
|---|---|---|
| envoy | * | Отслеживается |
| istio | * | Отслеживается |