Від краю до компрометації підприємства: Багатоступеневе вторгнення в Linux через F5 і Confluence

"graph TB %% Class definitions classDef action fill:#99ccff classDef technique fill:#c2e0ff classDef tool fill:#e6e6e6 classDef credential fill:#ffdd99 %% Step 1 u2013 Exploit Publicu2011Facing Application step1_exploit["<b>Техніка</b> – <b>T1190 Експлуатація публічно доступного застосунку</b><br/><b>Опис</b>: Супротивник експлуатує вразливість в сервісі, що піддається засвітленню в Інтернеті, для отримання початкового доступу."] class step1_exploit technique %% Tool u2013 Vulnerable F5 BIGu2011IP tool_f5["<b>Інструмент</b> – <b>Назва</b>: F5 BIGu2011IP балансувальник навантаження (вразливий)<br/><b>CVE</b>: CVEu20112025u201153521"] class tool_f5 tool %% Step 2 u2013 Exploitation of Remote Services step2_remote["<b>Техніка</b> – <b>T1210 Експлуатація віддалених сервісів</b><br/><b>Опис</b>: Використовуйте ту ж вразливість для виконання коду на цільовій системі та переміщення в сторону."] class step2_remote technique %% Step 3 u2013 SSH Remote Services step3_ssh["<b>Техніка</b> – <b>T1021.004 SSH</b><br/><b>Опис</b>: Аутентифікація через SSH з привілейованим обліковим записом до внутрішнього Linux-хосту."] class step3_ssh technique %% Step 4 u2013 Remote Service Session Hijacking step4_hijack["<b>Техніка</b> – <b>T1563.001 Захоплення сесії віддаленої служби</b><br/><b>Опис</b>: Підтримка живої інтерактивної SSH-сесії для виконання команд."] class step4_hijack technique %% Step 5 u2013 Active Scanning (IP Blocks) step5_ipscan["<b>Техніка</b> – <b>T1595.001 Сканыування IP-блоків</b><br/><b>Опис</b>: Запуск скриптів Nmap для виявлення активних хостів і відкритих портів по внутрішніх підмережах."] class step5_ipscan technique %% Tool u2013 Nmap tool_nmap["<b>Інструмент</b> – <b>Назва</b>: Nmap<br/><b>Мета</b>: Виявлення мережі і сканування портів"] class tool_nmap tool %% Step 6 u2013 Active Scanning (Vulnerability) step6_vulnscan["<b>Техніка</b> – <b>T1595.002 Сканування вразливостей</b><br/><b>Опис</b>: Використовуйте спеціальний сканер і gowitness для виявлення вразливих внутрішніх застосунків, таких як Confluence."] class step6_vulnscan technique %% Tool u2013 gowitness tool_gowitness["<b>Інструмент</b> – <b>Назва</b>: gowitness<br/><b>Мета</b>: Захоплення скріншотів веб-служб для їх ідентифікації"] class tool_gowitness tool %% Step 7 u2013 System Network Configuration Discovery step7_netconfig["<b>Техніка</b> – <b>T1016 Виявлення конфігурації мережі системи</b><br/><b>Опис</b>: Збирайте деталі конфігурації мережі для картування середовища."] class step7_netconfig technique %% Step 8 u2013 File and Directory Discovery step8_filedisc["<b>Техніка</b> – <b>T1083 Виявлення файлів і каталогів</b><br/><b>Опис</b>: Перерахування файлів на скомпрометованому Linux-хості і сервері Confluence (наприклад, server.xml, confluence.cfg.xml)."] class step8_filedisc technique %% Step 9 u2013 Unsecured Credentials step9_creds["<b>Техніка</b> – <b>T1552 Незахищені облікові дані</b><br/><b>Опис</b>: Витягнення облікових даних службових облікових записів з конфігураційних файлів."] class step9_creds technique %% Credential node cred_service["<b>Облікові дані</b> – Зібрані облікові дані службових облікових записів"] class cred_service credential %% Step 10 u2013 Valid Accounts step10_valid["<b>Техніка</b> – <b>T1078 Дійсні облікові записи</b><br/><b>Опис</b>: Повторне використання зібраних облікових даних Confluence для автентифікації на сервісах Active Directory."] class step10_valid technique %% Step 11 u2013 Lateral Movement via Remote Services step11_lateral["<b>Техніка</b> – <b>T1021 Віддалені сервіси</b><br/><b>Опис</b>: Спроба латерального переміщення на основі NTLM за допомогою інструментів для переліку і спільного використання файлів."] class step11_lateral technique %% Tools u2013 enum4linux, netexec, smbclient tool_enum4linux["<b>Інструмент</b> – <b>Назва</b>: enum4linux<br/><b>Мета</b>: Збір даних переліку Windows"] class tool_enum4linux tool tool_netexec["<b>Інструмент</b> – <b>Назва</b>: netexec<br/><b>Мета</b>: Виконання команд через SMB"] class tool_netexec tool tool_smbclient["<b>Інструмент</b> – <b>Назва</b>: smbclient<br/><b>Мета</b>: Доступ до SMB спільнот"] class tool_smbclient tool %% Step 12 u2013 Pass the Ticket (Kerberos/NTLM Relay) step12_passticket["<b>Техніка</b> – <b>T1550.003 Передача білету</b><br/><b>Опис</b>: Виконання relay-атак Kerberos і NTLM (наприклад, PetitPotam) проти контролерів домену."] class step12_passticket technique %% Tool u2013 PetitPotam tool_petitpotam["<b>Інструмент</b> – <b>Назва</b>: PetitPotam<br/><b>Мета</b>: NTLM relay через Microsoft RPC"] class tool_petitpotam tool %% Step 13 u2013 Steal or Forge Kerberos Tickets step13_kerb["<b>Техніка</b> – <b>T1558 Викрадення або підробка білетів Kerberos</b><br/><b>Опис</b>: Отримання привілейованих білетів Kerberos для подальшого компрометації AD."] class step13_kerb technique %% Step 14 u2013 Hijack Execution Flow (File Permissions) step14_perm["<b>Техніка</b> – <b>T1574.005 Викрадення потоку виконання: Слабкість дозволів на виконання інсталяційних файлів</b><br/><b>Опис</b>: Додавання дозволів на виконання для шкідливих ELF-бінарних файлів перед виконанням."] class step14_perm technique %% Step 15 u2013 Deploy Web Shell step15_webshell["<b>Техніка</b> – <b>T1505.003 Компонент серверного програмного забезпечення: Веб-шелл</b><br/><b>Опис</b>: Розгортання веб-шеллу на сервері Confluence для забезпечення стійкості."] class step15_webshell technique %% Step 16 u2013 Application Layer Protocols (File Transfer & Web) step16_transfer["<b>Техніка</b> – <b>T1071.002 Протоколи прикладного рівня: Протоколи передачі файлів</b> & <b>T1071.001 Веб-протоколи</b><br/><b>Опис</b>: Передача інструментів і корисного навантаження через FTP і HTTP."] class step16_transfer technique %% Step 17 u2013 Exfiltration Over Alternative Protocol step17_exfil["<b>Техніка</b> – <b>T1048 Виведення даних через альтернативний протокол</b><br/><b>Опис</b>: Виведення даних та інструментів за допомогою нестандартних протоколів застосунків."] class step17_exfil technique %% Connections step1_exploit –>|експлуатувати| tool_f5 step1_exploit –>|веде до| step2_remote step2_remote –>|використовує| step3_ssh step3_ssh –>|підтримує| step4_hijack step4_hijack –>|вмикає| step5_ipscan step5_ipscan –>|використовує| tool_nmap step5_ipscan –>|веде до| step6_vulnscan step6_vulnscan –>|використовує| tool_gowitness step6_vulnscan –>|веде до| step7_netconfig step7_netconfig –>|веде до| step8_filedisc step8_filedisc –>|веде до| step9_creds step9_creds –>|виробляє| cred_service step9_creds –>|веде до| step10_valid step10_valid –>|використовує| cred_service step10_valid –>|вмикає| step11_lateral step11_lateral –>|використовує| tool_enum4linux step11_lateral –>|використовує| tool_netexec step11_lateral –>|використовує| tool_smbclient step11_lateral –>|веде до| step12_passticket step12_passticket –>|використовує| tool_petitpotam step12_passticket –>|веде до| step13_kerb step13_kerb –>|веде до| step14_perm step14_perm –>|веде до| step15_webshell step15_webshell –>|вмикає| step16_transfer step16_transfer –>|вмикає| step17_exfil %% Class assignments class step1_exploit,step2_remote,step3_ssh,step4_hijack,step5_ipscan,step6_vulnscan,step7_netconfig,step8_filedisc,step9_creds,step10_valid,step11_lateral,step12_passticket,step13_kerb,step14_perm,step15_webshell,step16_transfer,step17_exfil action class tool_f5,tool_nmap,tool_gowitness,tool_enum4linux,tool_netexec,tool_smbclient,tool_petitpotam tool class cred_service credential "

Напрямок атаки