如何检查IPS？感染猴vs检查点

三年前，我们发表了一篇文章“ 用于最简单的Pentest的在线工具 ”。在这里，我们讨论了使用诸如Check Point CheckMe，Fortinet Test Your Metal等工具检查网络外围保护的价格合理且快速的方法。但是，当您想“制造”网络内部的噪音（最好对基础设施安全）时，有时需要进行更严格的测试。像Infection Monkey这样的免费工具可以非常有用。例如，我们决定通过Check Point网关扫描网络，并查看IPS的内容。尽管没有什么可以阻止您使用其他解决方案进行类似的实验来检查IPS系统或NGFW的工作方式。结果下切。

感染猴

该工具可以归类为BAS（突破和攻击模拟）系统，可让您以自动模式评估网络的安全性。同时，对基础架构执行安全的“渗透测试”。该工具是开源的，并且正在积极开发中。它的主要区别可能是所有测试都在您的网络内部进行，就像攻击者已经侵入您一样。大多数人仍然专注于外围保护，而忘记了其他措施的必要性。相同的IDS / IPS对于复杂的保护非常重要，因为 使您可以识别网络内部已经存在的威胁。感染猴子是评估公司信息安全成熟度的好方法。

支持平台

感染Monkey本身可以部署为虚拟机。支持以下平台：

• 的VMware
• 超V
• AWS
• 码头工人
• 蔚蓝
• 谷歌云平台

AWS有一个现成的模板，您可以将其与免费帐户一起使用。我们最常使用ESXi。该图像可以在办公室索取。网站或与我们合作。

安装

它的安装非常简单，描述在这里，我认为没有理由重复此信息。还有一条指示开始检查。我们最好将重点放在测试结果上。

使用的攻击技巧

感染猴子使用几种攻击媒介，并允许您查看以下内容：



1）脆弱的主机。查找具有弱密码，旧软件版本或已知漏洞的主机。以下是机载漏洞利用列表：

• 中小企业资源管理器
• WMI资源管理器
• MSSQL资源管理器
• MS08-067资源管理器
• SSH Exploiter（本质上是蛮力的）
• Shellshock开发者
• SambaCry Exploiter
• ElasticGroovy开发者
• Struts2资源管理器
• WebLogic开发人员
• Hadoop /纱线展商
• VSFTPD资源管理器

2）禁止互动。可以找到在DOE或路由器级别应禁止的网络之间的交互。



3）水平扩散。图形显示“恶意软件”的运动。僵尸程序如何在您的网络中“移植”。



所有这些都辅以详细的报告。例如，使用MITER ATT＆CK矩阵：







扫描图：







零信任模型报告：这







对于您现有的防御也是一个很好的检查。他们能够检测到此活动吗？是否所有日志都已到达您的SIEM？

感染猴常见问题

在继续测试结果之前，我想回答一些有关感染猴的最常见问题。

测试方案

该方案非常简单。带有感染猴子的虚拟机位于专用段中。从中，我们通过Check Point网关扫描本地网段：

使用优化配置文件检查Point IPS结果

即使在Check Point课程中，我也试图显示默认设置的最大危险程度。这适用于所有供应商。您必须能够正确地“拧紧”螺母。在这种情况下，我决定先检查Check Point默认配置文件-Optimized。结果可以在下图中看到：







值得注意的是，使用默认配置文件Infection Monkey成功“黑客”了测试主机（尽管攻击很原始）。根本不包括所需的签名。

使用我的个人资料检查Point IPS结果

设置是根据“ 最大检查点 ” 课程中给出的建议进行的。结果是完全不同的：







同时，IPS阻止了宿主的感染以及感染猴子的进一步传播。

值得注意的是Check Point具有很好的取证功能。日志本身是这样的：







在这里，您可以看到流量转储，CVE编号，攻击类型，有关它的详细信息以及配置检查点的建议。示例：







在这方面，Check Point做得很好，因为 他们拥有各种恶意软件的丰富知识库。

结论

当然，感染猴子不是万能药，不能解决所有潜在的网络安全问题。但是，对于免费工具而言，这不仅有趣。正如我所说，您可以在网络上“制造噪音”，并查看安全产品的性能。具有默认设置的相同NGFW的行为可能非常不令人满意。如果您对结果不满意，我们可以帮助您分析配置。



我们计划在不久的将来针对另一种工具（Cymulate）发布类似的测试，该工具可以免费使用。已经有更多的攻击选择。除结果外，我们还将分享有关如何加强保护的建议。为了不错过以下文章，请继续关注我们的频道（Telegram，Facebook，VK，TS解决方案博客）！