USŁUGI  SPECJALNE

Abstract Lines

TESTY ROZWIĄZANIA 
KLASY NETWORK ACCESS CONTROL

  • Weryfikacja poprawności kon­figu­racji urzą­dzeń bę­dą­cych kompo­nen­tami wdro­żo­nego sys­temu (zarówno dla dos­tępu w sieci LAN, jak i WLAN). 

  • Konfi­gu­racja urzą­dzeń cen­tral­nych, odpo­wie­dzial­nych za działa­nie sys­temu. 

  • Konfi­gu­ra­cja przy­kła­do­wych prze­łącz­ników sie­cio­wych LAN i WLAN. 

  • Konfi­gu­ra­cja supli­kanta 802.1x na sta­cjach z sys­temem Win­dows, Linux, MacOs, wy­ko­rzys­tu­ją­cych uwie­rzy­tel­nie­nie oparte o certy­fikat X.509. 

  • Konfiguracja innych urządzeń, jak np. drukarki, telefony IP, ter­mi­nale video, wyko­rzys­tu­jące inne spo­soby uwie­rzy­tel­nia­nia. 

  • Weryfikacja kompletności zak­resu lo­go­wa­nia zda­rzeń zwią­za­nych

  • z dos­tę­pem do sieci i moż­li­wości wykry­wania nadużyć. 

Zasadniczą część testów stanowi ak­tyw­na weryfi­kacja możli­wości przeła­mania zabez­pieczeń i uzys­kania nie­autoryzo­wanego dos­tępu do sieci. Wykorzys­tana pod­czas tes­tów meto­dyka uwzględ­nia weryfi­kację zagro­żeń przedsta­wionych w doku­men­cie „OWASP Top 10 Mobile Risks”. Efek­tem przepro­wa­dzo­nych prac jest ra­port dostar­czany w formie elektro­nicz­nej, za­wiera­jący opis i dowody wystę­po­wania wykry­tych luk oraz wska­zówki, jak można te luki usunąć.

Zero-day to podatność, która jest nieznana stronie lub stronom odpowiedzialnym za jej łatanie. Po opublikowaniu podatności typu zero-day, jest ona określana jako n-day lub one-day. Podatności zero-day są szczególnie groźne, ponieważ są wykorzystywane w sytuacjach, w których jeszcze nie istnieją aktualizacje naprawiające je. Podatności typu one-day są przede wszystkim niebezpieczne na początku cyklu życia, ponieważ wielu użytkowników podatnego produktu może jeszcze nie posiadać zaaktualizowanej wersji.

R&D w zakresie cyber bezpieczeństwa jest kluczem do realizowania testów penetracyjnych o wysokiej jakości i podstawą naszej tożsamości. Narzędzia powstałe w ramach badań umożliwiają sprawne przeprowadzanie testów penetracyjnych w tym testów typu APT Red Team. W myśl hasła HACK THE UNHACKABLE, dzięki R&D jesteśmy w stanie dostać się tam gdzie, inni nie mogą.

Najważniejsze obszary zainteresowania:

  • tworzenie oprogramowania typu RAT na systemy MS Windows/Android;

  • projektowanie i implementacja bezpiecznych i ukrytych kanałów komunikacji pomiędzy malware, a centrum zarządzania;

  • tworzenie dropperów dla systemów Windows z uwzględnieniem omijania wskazanych mechanizmów EDR/AV;

  • tworzenie fuzzerów umożliwiających znajdowanie między innymi podatności zero-day;

  • tworzenie POC dla podatności klasy one-day dla zadanych CVE;

  • porównywanie aktualizacji w celu znalezienia podatności klasy one-day;

  • inżynieria odwrotna na systemach Linux i Windows;

  • wyszukiwanie podatności w wybranych frameworkach, aplikacjach internetowych, aplikacjach typu gruby klient, serwerach;

  • atakowanie mechanizmów umożliwiających zdalne wywołanie metod takie jak: Java RMI, Java JMX, .NET Remoting.

 

Usługa polega na przeprowadzeniu symulacji wielopoziomowego ukierunkowanego ataku na or­ga­ni­za­cję wg wcześ­niej uzgod­nio­nych wek­torów. 

Przeprowadzona operacja może za­wie­rać ele­men­ty takie jak:

  • tworzenie dedykowanych exploitów / narzędzi / malwaru, próby kontrolowanej infekcji 

  • przeprowadzenia dedykowanej kampanii phishingowej 

  • symulacja eksfil­tra­cji kluczo­wych da­nych kli­enta z wew­nątrz firmy na zew­nątrz 

  • kontrolowana infekcja wybranych maszyn i wery­fi­kacja czy jes­teśmy w sta­nie zainfe­kować maszyny kli­enta przy po­sia­danych i wyko­rzysty­wanych przez nich zabez­pie­cze­niach 

  • symulacja komunikacji malware z centrum zarządzania z wew­nątrz sieci kli­enta za pomocą proto­kołów HTTP, DNS-sprawdzenie za­bez­pie­czeń sie­cio­wych w celu wykry­cia ruchu malware’u. 

  • Ataki na infra­struk­turę klienta, w tym infra­struk­turę pod­łą­czoną do sieci Inter­net, sys­temy tele­infor­ma­tyczne, sieci bez­prze­wo­dowe, sieci wew­nętrz­ne, sys­temy bez­pie­czeń­stwa itd. 

  • Ataki socjotechniczne 

  • próby przełamania zabezpieczeń fizycz­nych, w tym próby wejścia na teren obiek­tu lub do stref chro­nionych 

Pod­czas ataku phishingo­wego, badane jest zacho­wanie pracow­ników w momen­cie otrzy­mania wiado­mości nakła­nia­ją­cej daną osobę np. do otwo­rzenia linku lub pobra­nia i uru­cho­mienia prog­ramu. W celu rzetel­nego odwzoro­wania real­nego ataku prowa­dzo­nego za pomocą phishingu, audy­torzy profi­lują daną orga­ni­zację pod kątem intere­su­jących his­torii, których zawar­cie w wia­do­mości email do pra­cow­nika uśpi jego czuj­ność. Wia­do­mość wysy­łana do użytko­wnika ma jeden cel – nakło­nić go do wyko­nania akcji przewi­dzia­nej przez audy­tora, która pod­czas praw­dziwego ataku mogłaby skut­kować zainfeko­waniem i prze­jęciem kompu­tera ofiary.

ANALIZA POWŁAMANIOWA

Analiza powłamaniowa – to odtworzenie postępowania cyberprzestępcy, w tym także manualna i automatyczna analiza złośliwego oprogramowania, rozpoznanie narzędzi i metod, wykrycie rootkitów, backdorów, keyloggerów, koni trojańskich użytych w czasie ataku, jak również zabezpieczenie materiału dowodowego w taki sposób, aby jego wartość była niepodważalna w ewentualnym późniejszym postępowaniu.

W ramach analizy powłamaniowej przeprowadzane są następujące czynności:

  • zabezpieczenie kopii maszyn wirtualnych,

  • analiza zmian w plikach konfiguracyjnych i logach,

  • analiza zmian w uprawnieniach,

  • analiza innych danych mająca na celu ustalenie informacji kto, kiedy i w jaki sposób włamał się do systemu,

  • analiza zakresu potencjalnego wycieku danych,

  • przygotowanie raportu wraz z rekomendacjami.

Poniżej krótkie definicje przytoczonych rodzajów złośliwego oprogramowania z Wikipedii – jeśli chcesz dowiedzieć sięwięcej na ich temat, aby być bardziej świadomym zagrożenia i skuteczniej się bronić, nasi inżynierowie wprowadzą Cię w tajniki sztuki tworzenia tzw. malware i exploitów na jednym z naszych szkoleń.

Rootkit

narzędzie pomocne we włamaniach do systemów informatycznych. Ukrywa niebezpieczne pliki i procesy, które umożliwiają utrzymanie kontroli nad systemem.

Backdoor

luka w zabezpieczeniach systemu utworzona umyślnie w celu późniejszego wykorzystania. Backdoor
w systemie może być np. pozostawiony przez hakera, który włamał się przez inną lukę w oprogramowaniu.

Keylogger

rodzaj oprogramowania lub urządzenia rejestrującego klawisze naciskane przez użytkownika.

Koń trojański

określenie oprogramowania, które podszywając się pod przydatne lub ciekawe dla użytkownika aplikacje dodatkowo implementuje niepożądane, ukryte przed użytkownikiem różne funkcje (programy szpiegujące, bomby logiczne, furtki umożliwiające przejęcie kontroli nad systemem przez nieuprawnione osoby).

TESTY PENETRACYJNE 
ACTIVE DIRECTORY

Klienci przeprowadzający skany po­dat­ności często są przekonani o bez­pie­czeńs­twie włas­nej infra­struk­tury, po­nie­waż w ska­nach podat­ności nie ziden­ty­fi­ko­wano kry­tycz­nych podat­ności. Specja­lis­tyczne testy ukie­run­ko­wane na Active Directory po­ka­zu­ją, że odpo­wied­nio wysz­kolony ata­ku­jący jest w sta­nie zdo­być upraw­nie­nia admi­nis­tra­tora domeny, wyko­rzys­tując tylko i wy­łącz­nie nie­dos­ko­na­łości w konfi­gu­racji domeny, któ­rych kla­syczne ska­nery podat­ności nie są w sta­nie ziden­ty­fikować.

  • analiza pasywna oraz aktywna, 

  • próby pozyskania danych uwierzytelniających w sieci, 

  • próby eskalacji uprawnień w obrębie domeny Windows, 

  • ataki na SMB i uwierzytelnienie NTLMv1 oraz NTLMv2, 

  • wyszukiwanie użytkowników z wysokimi uprawnieniami oraz próby ataków na ich stacje robocze, 

  • próby wydobycia skrótów haseł z bazy LDAP.

LEARN MORE