Odber
Zber informácií (recon) - 1. fáza kyber útoku

Recon (zber informácií) : 1. fáza kybernetického útoku

ToSho
Analýza útokov a vírusov
Nenechaj v tom známych samých – zdieľaj
Začiatočník

Predstav si obyčajného zlodeja, ktorý si vyhliadol luxusnú vilu. Myslíš si, že príde k domu len tak, bez ničoho, a o tretej poobede začne z celej sily kopať do dubových vchodových dverí? Samozrejme, že nie. Skončil by v putách skôr, než by si stihol obuť tie svoje zlodejské tenisky.

Skutočný profík sa najprv týždeň prechádza po ulici. Zistí si, kedy rodina chodí do práce. Kúpi si ďalekohľad a zistí, že na rohu je stará atrapa kamery, ale zadné okno do špajze sa nedá poriadne zavrieť. Zistí si, že strážny pes je vlastne len prerastený mopslík a majiteľ si necháva kľúč pod rohožkou. Až keď má tento zber informácií kompletne hotový, udrie na istotu. Presne, rýchlo a bez varovania.

V kybernetickom svete to funguje úplne, ale úplne rovnako. Tento digitálny prieskum terénu pred samotnou lúpežou sa v IT terminológii nazýva Recon (z anglického Reconnaissance – prieskum).

Čo je Recon a prečo sú fázy kybernetického útoku dôležité?

V profesionálnej kyberbezpečnosti existuje pojem Cyber Kill Chain (reťazec útoku). Je to model, ktorý popisuje, ako presne postupuje útočník od prvotného nápadu až po ukradnutie vašej firemnej databázy. A hádajte čo? Recon je úplne prvá a najdôležitejšia zložka. Všetky fázy kybernetického útoku začínajú práve tu.

Hlavným cieľom Recon útoku je pochopiť svoju obeť. Útočník chce presne vedieť, kde máte slabé miesta, aké systémy vo firme používate, kto sú vaši kľúčoví zamestnanci a kadiaľ sa oplatí ísť dnu. Než hacker do vašich dverí strčí digitálne páčidlo (napríklad exploit), najprv si váš dom dokonale obíde.

Pasívny vs. Aktívny Recon: Šmírovanie verzus klopkanie na okná

Každý profi útočník rozdeľuje svoj zber dát do dvoch kategórií. Bežne sa postupuje v poradí: najprv pasívne, potom aktívne, aby sa znížila šanca, že nejaký váš premotivovaný antivírus alebo firewall spustí poplach.

1. Pasívny recon – „Šmírujem ťa, ale nedotýkam sa ťa“

Pri pasívnom zbere sa útočník vôbec nedotkne vašich firemných serverov. Získava dáta z verejne dostupných zdrojov na internete (tzv. OSINT – Open Source Intelligence). Vy ako obeť nemáte absolútne žiadnu šancu zistiť, že vás niekto práve teraz lustruje.

  • Sociálne siete a firemný web: LinkedIn je pre hackerov zlatá baňa. Tvoja asistentka sa tam pochváli novým certifikátom a HR oddelenie zverejní fotku z kancelárie, kde na tabuli vzadu svieti heslo na Wi-Fi.
  • Pracovné inzeráty: HR napíše: „Hľadáme admina so skúsenosťami s Fortinet VPN verziou 6.0 a Windows Serverom 2012 R2“. Útočník si práve mädlí ruky, lebo z inzerátu presne zistil, akú starú, deravú infraštruktúru používate.
  • Verejné registre a Darkweb: Hacker prejde WHOIS záznamy, DNS históriu, vygoogli vaše IP rozsahy a pozrie sa na fórach na darkwebe, či náhodou niekto z vašich zamestnancov nestratil heslo pri nejakom nedávnom úniku dát z e-shopu.
2. Aktívny recon – „Ťukám ti na systémy“

Toto je už agresívnejšia fáza. Tu sa útočník priamo dotýka vašich serverov a zisťuje, ako zareagujú. Tu už dobré bezpečnostné systémy dokážu zachytiť anomálie. Bez písomného súhlasu majiteľa systému môže ísť o protiprávne konanie (podľa trestných a kyberbezpečnostných zákonov).

  • Port scanning (Nmap): Útočník spustí skener a doslova klope na všetky virtuálne dvere (porty) vášho servera a pýta sa: „Haló, beží tu niečo?“ * Banner grabbing (Fingerprinting): Ak nejaký port odpovie, hacker sa ho spýta, kto je. A zle nastavený server sa ochotne predstaví: „Ahoj, ja som Apache verzia 2.4.49!“ (Útočníkovi v tej chvíli stačí otvoriť katalóg známych chýb a zistí, že táto verzia sa dá hacknúť za päť minút).
  • Vulnerability scany: Automatizované skenovanie na známe zraniteľnosti a hrubá sila (brute-force) na hľadanie skrytých firemných subdomén (napríklad zabudnutý test.vasafirma.sk, na ktorom beží päť rokov neaktualizovaný WordPress).

Nákupný zoznam: Čo útočník typicky zbiera?

Aby bol útok hackera úspešný, nejde do toho naslepo. Podľa známeho bezpečnostného frameworku (MITRE ATT&CK) si útočník skladá mozaiku z týchto štyroch oblastí:

  1. Technické informácie: IP adresy, otvorené porty, typy firewallov, verzie operačných systémov a architektúra vašej firemnej VPN.
  2. Identity a ľudia: Mená zamestnancov, ich e-maily a pracovné pozície. Hacker si potrebuje vybrať dokonalú obeť pre phishing. Načo by posielal zavírený e-mail skladníkovi, keď môže poslať falošnú faktúru priamo finančnej riaditeľke?
  3. Biznis vzťahy a dodávatelia: Možno je vaša firma technicky nepriestrelná. Ale čo váš dodávateľ účtovného softvéru? Ak hacker hackne jeho, dostane sa k vám cez neho (takzvaný Supply-Chain útok).
  4. Prevádzkové návyky: O koľkej chodia vaši admini z práce domov? Ak majú vo firme „piatky voľnejšie“, hádajte, kedy útočník spustí svoj najväčší úder? Presne v piatok o 16:30.

Prečo je tento zber informácií pre útočníka taký kritický?

Odpoveď je jednoduchá: znižuje mu to riziko zlyhania a dramaticky to zvyšuje úspešnosť samotného phishingu.

Ak ti príde generický e-mail „Vážený zákazník, kliknite sem“, okamžite ho zmažeš. Ale ak útočník urobil kvalitný zber informácií, e-mail bude znieť takto: „Ahoj Tomáš, videl som tvoj včerajší post na LinkedIne z konferencie v Bratislave. Posielam ti sľúbené podklady z našej debaty o Microsoft serveroch, otvor si prílohu.“ Na takýto e-mail klikne aj ten najväčší paranoik, pretože obsahuje extrémne špecifický kontext.

Mnohé z tých najväčších a najničivejších ransomvérových incidentov posledných rokov začali úplne nevinne – niekto si z druhého konca sveta cez Shodan (špeciálny vyhľadávač pre hackerov) všimol, že máte do internetu vystavenú starú, nezaplátanú službu.

CHECKLIST: Ako prebieha Recon v praxi (Postup útočníka)

  • 1. Identifikácia cieľa: Útočník dostane za úlohu hacknúť firmu „AlphaCorp“.
  • 2. OSINT (Vyhľadávanie): Prebehne Google, LinkedIn, firemný web. Zistí mená 50 kľúčových zamestnancov a stiahne si z webu verejné PDFká (z ktorých cez metadáta zistí, že firma používa starý Microsoft Word 2013).
  • 3. Doménová analýza: Zistí IP rozsahy a skryté subdomény (napr. https://www.google.com/search?q=dev.alphacorp.com).
  • 4. Aktívny sken: V nočných hodinách spustí Nmap, zistí, že na IP adrese beží otvorený RDP port (Vzdialená plocha) a stará VPN brána bez MFA (viacfaktorového overenia).
  • 5. Príprava zbraní: S presným zoznamom softvéru a zamestnancov si útočník „ušije“ malvér a phishingový e-mail presne na mieru vašej firme. Fáza Recon končí, začína fáza reálneho prieniku.

Counter-Recon: Ako sa proti tomuto šmírovaniu brániť?

Pointa vašej IT bezpečnosti nie je len čakať, kým vám niekto zašifruje disky. Musíte proaktívne znížiť množstvo dát, ktoré sa o vás dajú zistiť, a musíte vidieť, keď si vás niekto mapuje.

1. Minimalizuj svoju digitálnu stopu (Zatiahni žalúzie) Neposkytuj hackerom manuál k svojej sieti. Upozorni HR oddelenie, aby v pracovných inzerátoch nepísali presné verzie vašich firewallov a serverov. Odstráň z verejného webu priame e-maily a mená interných IT administrátorov. Skontroluj, či tvoji developeri omylom nevešajú firemné zdrojové kódy a heslá na verejný GitHub.

2. Chráň a schovaj externé systémy Zatvor všetko, čo nemusí byť verejne vystavené do internetu. Používaj VPN na prístup k interným veciam, nasaď WAF (Web Application Firewall) a nikdy, naozaj nikdy nenechávaj otvorený RDP port do sveta. Pravidelne si robte vlastné vulnerability (zraniteľnostné) scany. Radšej tie diery nájdi ty, ako útočník.

3. Monitoruj Recon aktivity (Kúp si virtuálneho strážneho psa) Nasaďte systémy ako IDS/IPS (Intrusion Detection), kvalitné EDR na stanice a všetko logujte do SIEMu. Tieto systémy vedia vygenerovať alert, keď zistia neštandardné skenovanie siete, enumeráciu adresárov alebo opakované pokusy o prihlásenie z rovnakej IP adresy niekde z Ruska či Číny.

4. Red Teaming na vlastnej firme (Hackni sa sám) Skús si raz za čas spraviť OSINT na svoju vlastnú organizáciu. Zahraj sa na hackera. Čo všetko vieš o svojej firme zistiť za 2 hodiny na Googli, bez akéhokoľvek hesla a prístupu dovnútra? Budeš úprimne šokovaný, čo všetko tam nájdeš. Výstup z tohto cvičenia použi na „hardening“ – teda spevnenie vašej digitálnej obrany.

Kybernetická bezpečnosť totiž dávno nie je o tom, kto má hrubší firewall. Je o tom, kto o tom druhom vie viac informácií. A útočníci si túto domácu úlohu robia, bohužiaľ, veľmi poctivo.

🔥 A teraz úprimne vy do komentárov! 🔥

Skúšali ste už niekedy vygoogliť seba alebo firmu „OSINT“ štýlom? Nemusíš písať detaily – stačí odpoveď:

  • A = skúšal som a radšej o tom nechcem hovoriť 😅

  • B = chcem, ale bojím sa, čo nájdem

  • C = nikdy, lebo duševná pohoda je top
    A bonus: máte u vás vo firme niekoho, kto na LinkedIne zdieľa viac, než by mal? 👇

 

Zdroje :

vectra , community.f5 , fortra

Odporúčané články:

Prihlásiť sa na odber
Upozorniť na
0 komentárov
Najstaršie
Najnovšie Najviac hlasovalo
Inline Feedbacks
Zobraziť všetky komentáre
Accessibility by WAH