Что такое Infection Monkey
Infection Monkey – это бесплатный open source инструмент для симуляции атак и взломов, разработанный компанией Guardicore.
Infection Monkey предназначена для безопасной проверки устойчивости вашей кампусной сети и ЦОДа к внешним взломам и внутреннему заражению вычислительных ресурсов.
Высокоуровневая концепция Infection Monkey проста. Инструмент предназначен для поиска доступных в вашей сети компьютеров и попыток их эксплуатации с использованием различных методов, в том числе умного подбора паролей и безопасных эксплойтов, то есть имитации действий реального злоумышленника, а не автоматического сканера. Это делается для того, чтобы все ваши системы безопасности смогли обнаружить Infection Monkey.
В процессе работы Infection Monkey предоставляет подробную информацию о конкретной уязвимости, которая была эксплуатирована, а также о влиянии уязвимых сегментов на вашу сеть. Любой успех Обезьяны в латеральном движении указывает на сбой в вашей системе безопасности, который следует исправлять.
В чем польза Infection Monkey
Вот неполный список сценариев, которые можно реализовать с помощью Infection Monkey:
- проверка уровня компетентности вашего SOC и способности детектировать типичные таргетированные атаки,
- выявление типичных ошибок конфигурации параметров безопасности операционных систем,
- построение карты внутренней сети компании глазами хакера,
- анализ подверженности сети латеральному движению,
- анализ работоспособности новых средств защиты до их покупки,
- проверка корректности настройки и эффективности существующих СЗИ, в том числе антивируса, EDR, ханипотов и систем Deception, систем анализа сетевого трафика, поведенческой аналитики (UEBA), межсетевых экранов и так далее,
- проверка конфигурации политик Zero Trust,
- проверка вашей способности детектировать и блокировать различные техники матрицы MITRE ATT&CK.
Принципы работы Infection Monkey
Infection Monkey – это самораспространяющийся инструмент латерального движения, который способен автоматически находить и визуализировать наиболее простые пути движения злоумышленника в вашей сети.
- Первым шагом является установка в вашей среде ПО, которое имитирует C&C-сервер для агентов Обезъяны
- После установки управляющего C&C-сервера вы сразу же можете запустить агент и начать анализ непосредственно с этого же сервера, или скачать и запустить агент на любой другой машине
- Запуск агента имитирует появление злоумышленника, который взломал одну из ваших машин, или инсайдера, который начал проявлять активность в вашей сети.
- После заражения машины Обезьяной она отправляет на свой C&C-сервер телеметрию и запрашивает конфигурацию с инструкциями по дальнейшим действиям. Если ответа нет, то она строит туннели до C&C-сервера через другие Обезъяны. В случае ошибки используется встроенная отказоустойчивая конфигурация.
- Затем Обезьяна пытается украсть учетные записи, сохраненные на текущей машине, а также начинает сканирование разрешенных диапазонов IP-адресов, выявляя все доступные машины и их открытые сервисы
- Собранные данные передаются на C&C-сервер, а также используются для дальнейшей атаки и распространения на доступные машины, если это не запрещено конфигурацией
Конфигурация Infection Monkey позволяет добавлять IP-адреса в черный список для запрета их сканирования, ограничивать глубину распространения агента (число хопов от C&C) и указывать разрешенные подсети для работы.
Возможности симуляции атак и безопасность Infection Monkey
Infection Monkey разработана для обеспечения гарантированной безопасности, и не использует функци анализа, распространения и эксплуатации, которые могут повлиять на стабильность машин или сети.
В своей работе Infection Monkey использует следующие техники и эксплойты:
Техники распространения:
- Предопределенные пароли
- Типичные логические эксплойты
- Кража паролей с помощью Mimikatz
Методы эксплуатации:
- SSH
- SMB
- WMI
- Shellshock
- Conficker
- SambaCry
- Elastic Search (CVE-2015-1427)
- Сервер Weblogic
- и другие
Поддерживаемые ОС (латеральное движение и заражение)
Linux: Совместимость зависит от версии GLIBC (2.14+). По умолчанию поддерживаются следующие дистрибутивы:
- Centos 7+
- Debian 7+
- Kali 2019+
- Oracle 7+
- Rhel 7+
- Suse 12+
- Ubuntu 14+
Windows:
- Windows 2012+
- Windows 2012_R2+
- Windows 7 / Server 2008_R2 с установленным KB2999226
- Windows Vista / Server 2008 при условии установленного KB2999226 (не тестировалось)
Ресурсы
Отчетность
Infection Monkey позволяет получить детальную отчетность о состоянии защищенности вашей сети.
Карта заражения сети
Отчет о проблемах безопасности и способах их устранения
Тепловая карта успешности применения техник MITRE ATT&CK
Отчет об успешности реализации концепции Zero Trust
Закажите проверку сети с помощью Infection Monkey
Использование Infection Monkey абсолютно бесплатно без ограничений по времени и функционалу.
Заполните форму по этой ссылке, чтобы получить доступ к ПО и консультации по его использованию.
О разработчике Infection Monkey
Создателем и основным разработчиком Infection Monkey является компания Guardicore – инноватор в сфере облачной безопасности и защиты ЦОДов, нацеленный на предоставление более точных и эффективных способов защиты критически важных приложений от компрометации благодаря непревзойденным возможностям мониторинга, микросегментации, обнаружения и реагирования на угрозы в реальном времени. Решение Guardicore, разработанное ведущими экспертами в области кибербезопасности, меняет подходы организаций к борьбе с кибератаками в своих центрах обработки данных. Вы можете узнать больше на странице Guardicore на нашем сайте.