FreeIPA: как обнаружить атаку злоумышленника на любом этапе Kill Chain

info@vsetut.pro

Стать автором

Вернуться

29.04.2025 07:26:12 | Хабр

Хабы: Блог компании МТС, Информационная безопасность, Системное администрирование, Настройка Linux, IT-инфраструктура

В последнее время в различных отчетах об атаках и результатах пентестов часто фигурирует FreeIPA — система централизованного управления хостами и группами пользователей, ориентированная на Linux-инфраструктуру. Можно сказать, что это опенсорс-альтернатива для MS Active Directory. Хотя FreeIPA не является ключевым компонентом инфраструктуры, из-за особенностей конфигурирования, она может стать для злоумышленника кратчайшим путем к компрометации организации. Поэтому мы – Ильназ Гатауллин, технический руководитель RED Security SOC и Сергей Орляк, руководитель третьей линии RED Security SOC – решили рассказать о схемах атак на FreeIPA, основных методах их детектирования и расследования.

Мы хотим разобрать целый ряд атак: показать их механику, поделиться правилами корреляции, которые вы сможете использовать для самостоятельного выявления таких инцидентов, и советами по расследованию. Поскольку в итоге получился очень обширный tutorial, мы разделим его на две публикации. Во второй части посмотрим на весь Kill Chain атак на FreeIPA и покажем, как приведенные правила позволят выявлять злоумышленника на любом из этапов.

Подробнее