Infection Monkey

Что такое Infection Monkey

Infection Monkey – это бесплатный open source инструмент для симуляции атак и взломов, разработанный компанией Guardicore.

Infection Monkey предназначена для безопасной проверки устойчивости вашей кампусной сети и ЦОДа к внешним взломам и внутреннему заражению вычислительных ресурсов.

Высокоуровневая концепция Infection Monkey проста. Инструмент предназначен для поиска доступных в вашей сети компьютеров и попыток их эксплуатации с использованием различных методов, в том числе умного подбора паролей и безопасных эксплойтов, то есть имитации действий реального злоумышленника, а не автоматического сканера. Это делается для того, чтобы все ваши системы безопасности смогли обнаружить Infection Monkey.

В процессе работы Infection Monkey предоставляет подробную информацию о конкретной уязвимости, которая была эксплуатирована, а также о влиянии уязвимых сегментов на вашу сеть. Любой успех Обезьяны в латеральном движении указывает на сбой в вашей системе безопасности, который следует исправлять.

В чем польза Infection Monkey

Вот неполный список сценариев, которые можно реализовать с помощью Infection Monkey:

  • проверка уровня компетентности вашего SOC и способности детектировать типичные таргетированные атаки,
  • выявление типичных ошибок конфигурации параметров безопасности операционных систем,
  • построение карты внутренней сети компании глазами хакера,
  • анализ подверженности сети латеральному движению,
  • анализ работоспособности новых средств защиты до их покупки,
  • проверка корректности настройки и эффективности существующих СЗИ, в том числе антивируса, EDR, ханипотов и систем Deception, систем анализа сетевого трафика, поведенческой аналитики (UEBA), межсетевых экранов и так далее,
  • проверка конфигурации политик Zero Trust,
  • проверка вашей способности детектировать и блокировать различные техники матрицы MITRE ATT&CK.

Принципы работы Infection Monkey

Infection Monkey – это самораспространяющийся инструмент латерального движения, который способен автоматически находить и визуализировать наиболее простые пути движения злоумышленника в вашей сети.

  1. Первым шагом является установка в вашей среде ПО, которое имитирует C&C-сервер для агентов Обезъяны
  2. После установки управляющего C&C-сервера вы сразу же можете запустить агент и начать анализ непосредственно с этого же сервера, или скачать и запустить агент на любой другой машине
  3. Запуск агента имитирует появление злоумышленника, который взломал одну из ваших машин, или инсайдера, который начал проявлять активность в вашей сети.
  4. После заражения машины Обезьяной она отправляет на свой C&C-сервер телеметрию и запрашивает конфигурацию с инструкциями по дальнейшим действиям. Если ответа нет, то она строит туннели до C&C-сервера через другие Обезъяны. В случае ошибки используется встроенная отказоустойчивая конфигурация.
  5. Затем Обезьяна пытается украсть учетные записи, сохраненные на текущей машине, а также начинает сканирование разрешенных диапазонов IP-адресов, выявляя все доступные машины и их открытые сервисы
  6. Собранные данные передаются на C&C-сервер, а также используются для дальнейшей атаки и распространения на доступные машины, если это не запрещено конфигурацией

Конфигурация Infection Monkey позволяет добавлять IP-адреса в черный список для запрета их сканирования, ограничивать глубину распространения агента (число хопов от C&C) и указывать разрешенные подсети для работы.

Возможности симуляции атак и безопасность Infection Monkey

Infection Monkey разработана для обеспечения гарантированной безопасности, и не использует функци анализа, распространения и эксплуатации, которые могут повлиять на стабильность машин или сети.

В своей работе Infection Monkey использует следующие техники и эксплойты:

Техники распространения:

  • Предопределенные пароли
  • Типичные логические эксплойты
  • Кража паролей с помощью Mimikatz

Методы эксплуатации:

  • SSH
  • SMB
  • WMI
  • Shellshock
  • Conficker
  • SambaCry
  • Elastic Search (CVE-2015-1427)
  • Сервер Weblogic
  • и другие

Поддерживаемые ОС (латеральное движение и заражение)

Linux: Совместимость зависит от версии GLIBC (2.14+). По умолчанию поддерживаются следующие дистрибутивы:

  • Centos 7+
  • Debian 7+
  • Kali 2019+
  • Oracle 7+
  • Rhel 7+
  • Suse 12+
  • Ubuntu 14+

Windows:

  • Windows 2012+
  • Windows 2012_R2+
  • Windows 7 / Server 2008_R2 с установленным KB2999226
  • Windows Vista / Server 2008 при условии установленного KB2999226 (не тестировалось)

Ресурсы

Отчетность

Infection Monkey позволяет получить детальную отчетность о состоянии защищенности вашей сети.

Карта заражения сети

Отчет о проблемах безопасности и способах их устранения

Тепловая карта успешности применения техник MITRE ATT&CK

Отчет об успешности реализации концепции Zero Trust

Закажите проверку сети с помощью Infection Monkey

Использование Infection Monkey абсолютно бесплатно без ограничений по времени и функционалу.

Заполните форму по этой ссылке, чтобы получить доступ к ПО и консультации по его использованию.

О разработчике Infection Monkey

Создателем и основным разработчиком Infection Monkey является компания Guardicore – инноватор в сфере облачной безопасности и защиты ЦОДов, нацеленный на предоставление более точных и эффективных способов защиты критически важных приложений от компрометации благодаря непревзойденным возможностям мониторинга, микросегментации, обнаружения и реагирования на угрозы в реальном времени. Решение Guardicore, разработанное ведущими экспертами в области кибербезопасности, меняет подходы организаций к борьбе с кибератаками в своих центрах обработки данных. Вы можете узнать больше на странице Guardicore на нашем сайте.