Аналіз FTP-трафіку під час реагування на інциденти

Аналіз FTP-трафіку під час реагування на інциденти

Протокол FTP може бути корисним для бізнесу, але в той же час використовуватися зловмисником при реалізації різних сценаріїв з метою компрометирования.

Автор: Howard Poston

Введення в протокол FTP

Як випливає з розшифровки абревіатури FTP (File Transfer Protocol), протокол призначений для передачі файлів між комп’ютерами і використовується в різних ситуаціях, але найбільш поширене застосування – передача сторінок до/від віддаленого веб-сервера.

Одна з проблем FTP – відсутність шифрування і можливість анонімної аутентифікації. Оскільки цей протокол призначений для передачі файлів між клієнтом і віддаленим сервером, вищезгадана особливість може виявитися великою проблемою в плані безпеки.

Для захисту FTP існують різні протоколи. Наприклад, FTPS, коли трафік загортається в TLS (Transport Layer Security), і SFTP, пов’язаного з SSH і також використовується для реалізації зашифрованою передачі файлів.

Аналіз протоколу FTP в Wireshark

FTP – протокол без шифрування, який оперує на портах 20 і 21. У Wireshark цей трафік можна ідентифікувати за допомогою фільтра ftp.

https://mk0resourcesinfm536w.kinstacdn.com/wp-content/uploads/1-306.png

Малюнок 1: Приклад трафіку, переданого по протоколу FTP

На малюнку вище показано приклад FTP-трафіку, відфільтрованого з TCP-потоку за допомогою Wireshark. Як неважко здогадатися, протокол FTP працює за схемою «запит-відповідь». Кожен запит являє собою команду, в якій можуть бути аргументи. Відповіді включають в себе код запиту і запитувані дані.

https://mk0resourcesinfm536w.kinstacdn.com/wp-content/uploads/2-269.png

https://mk0resourcesinfm536w.kinstacdn.com/wp-content/uploads/3-218.png

Малюнок 2: Приклад запиту та відповіді

Як видно з малюнка вище, FTP-пакет містить виключно текстові дані, що значно спрощує завдання під час перехоплення. Оскільки за замовчуванням в FTP не використовується шифрування, то легко можна організувати прослуховування і отримати конфіденційні дані з мережевого трафіку, що передається всередині компанії.

Оскільки пакети в наведеному вище прикладі демонструють анонімну аутентифікацію на FTP-сервер (яку слід було б відключити з міркувань безпеки), то легко можна перехопити облікові дані користувача. З цієї причини бажано використовувати альтернативні протоколи: SFTP, SCP, FTPS і так далі.

Аналіз FTP-трафіку під час реагування на інциденти

FTP – це протокол, спроектований з упором на простоту і функціональність, а не безпека, в результаті чого у зловмисників є кілька варіантів компрометирования у разі отримання доступу до сервера.

Витік даних

FTP призначений для передачі файлів між сервером і (потенційно) безліччю різних клієнтів. Найбільш поширене застосування цього протоколу – створення файлових серверів для спільного централізованого використання офіційних копій всередині організації з простим доступом.

Якщо зловмисник отримує доступ до акаунту, який авторизований для використання FTP сервера (передбачається, що сервер вимагає автентифікації), виникає серйозна загроза витоку даних. Оскільки FTP використовується для переміщення файлів від і до сервера, зловмисник може зробити копію будь-яких даних, що зберігаються на сервері.

Крім того, FTP сервер може використовуватися в якості проміжної ланки для витоку даних, оскільки найбільш поширене застосування цього протоколу – додавання/видалення файлів, і списки управління доступом фаєрволу (ACL) можуть дозволяти FTP трафік всередині корпоративної мережі. Моніторинг FTP протоколу на предмет нестандартного використання – важливий захід щодо запобігання витоку даних.

Встановлення шкідливих програм

Одна з найбільш складних проблем, з якою стикається зловмисник під час компрометирования, – установка і запуск шкідливої програми на цільовій машині. Внаслідок багатьох загроз, пов’язаних з виконуваними файлами (в тому числі з розширенням .exe), реалізуються заходи щодо посилення антифішингових заходів, що в свою чергу ускладнює завантаження і запуск додатків через електронну пошту.

Протокол FTP якраз і створений для додавання файлів на внутрішні сервера компанії, і якщо у зловмисника є доступ до такого сервера, у якого до того ж дозволений запуск файлів, що знаходяться в директорії, з’являється можливість помістити і запустити шкідливу програму на внутрішній машині. В іншому випадку можлива комбінація фішингових схем або інших схожих сценаріїв із застосуванням експлойтів в зв’язці з FTP для установки і запуску шкідливий в цільовій системі, оскільки користувач може довіряти вмісту, що зберігається на внутрішньому FTP сервері компанії. Відповідно, важливо суворо обмежити доступ до FTP сервера, і відстежувати спроби додавання і запуску додатків, що зберігаються на таких серверах.

Використання вкрадених облікових записів (credential stuffing)

Оскільки кількість акаунтів у мережевих сервісах збільшується, стає складніше підтримувати рівень безпеки. У результаті багато використовують слабкі і поширені паролі. За статистикою, приблизно 10% користувачів використовують один із 25 найбільш поширених паролів, і 62% використовую одні і ті ж паролі у персональних і робочих облікових записах. Навіть якщо зловмисник буде просто пробувати слабкі і поширені паролі всіх облікових записів, ймовірність отримання доступу в одному з випадків значно підвищується.

Цей тип атаки, званий credential stuffing, вимагає доступу або до хэшам паролів, або до мережного сервісу, який вимагає аутентифікації. Добре налагоджена служба FTP задовольняє другим критерієм, коли користувачеві потрібно пройти авторизацію за допомогою робочої облікового запису для використання цього сервісу.

Зловмисник може скористатися цією ситуацією для підбору пароля. Якщо в сервісі не налаштоване обмеження на кількість невдалих спроб авторизації, зловмисник може отримати доступ, що згодом дозволяє реалізувати один із сценаріїв, описаних вище. Відповідно, важливий моніторинг випадків, коли зростає кількість невдалих авторизація, в тому числі по безлічі облікових записів і реалізація заходів для захисту від атак подібного роду.

Атака FTP bounce

Під час атаки FTP bounce використовується команда PORT, яка призначена для перенаправлення FTP трафіку на інший сервер. У цьому випадку зловмисник може проникнути в системи, доступ до яких заблоковано правилами фаєрвола. Будь-яке використання команди PORT протоколу FTP має бути ретельно проаналізовано на предмет неправомірного використання.

Висновок

Протокол FTP може бути корисним для бізнесу, але в той же час використовуватися зловмисником при реалізації різних сценаріїв з метою компрометирования. Якщо можливо, слід користуватися більш захищеним протоколом. У разі якщо цей варіант неприйнятний, потрібно налаштувати авторизацію і здійснювати моніторинг шкідливої активності.

Посилання

1. File Transfer Protocol (FTP), Wireshark

2. The most popular passwords of 2018 revealed: Are yours on the list?, WeLiveSecurity

3. Password Reuse Abounds, New Survey Shows, Dark Reading

4. FTP Penetration Testing, Briskinfosec

Джерело

Поділитися
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
Реклама

402

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *

Схожі записи

Почніть набирати текст зверху та натисніть "Enter" для пошуку. Натисніть ESC для відміни.

Повернутись вверх