説明
従業員が頻繁に利用する外部 Web サーバーを侵害した後に企業システムを侵害するのに最適な攻撃は、ウォーターホール攻撃です。これは、ターゲット企業の従業員など、特定のユーザー グループがアクセスする Web サイトに侵害し、ユーザーが Web サイトにアクセスしたときにユーザーのデバイスに感染したり悪用したりできる悪質なコードやコンテンツを Web サイトに挿入する攻撃です。ウォーターホール攻撃では、外部 Web サーバーを頻繁に利用する従業員をターゲットにし、その従業員の信頼や Web サイトへのアクセス習慣を利用して、攻撃者が企業システムを侵害することができます。ウォーターホール攻撃は、Web ブラウザーをフックしてコマンドを実行できるツールである BeEF などのツールを使用して実行できます2。その他のオプションは、従業員が頻繁に利用する外部 Web サーバーを侵害した後に企業システムを侵害するのに役立つ可能性は低い攻撃です。サイドチャネル攻撃は、電力消費、電磁放射、タイミング、サウンドなど、システムまたはデバイスの物理的特性または実装の欠陥を悪用して機密情報を抽出したり、セキュリティ メカニズムをバイパスしたりする攻撃です。コマンド インジェクション攻撃は、システムまたはアプリケーションの脆弱性を悪用して、攻撃者が基盤となる OS またはシェルで任意のコマンドを実行できるようにする攻撃です。クロスサイト スクリプティング攻撃は、Web アプリケーションの脆弱性を悪用して、攻撃者が他のユーザーが閲覧する Web ページに悪意のあるスクリプトを挿入できるようにする攻撃です。

これらのコマンドは、ターミナルで入力されたコマンドを記録する、現在のユーザーの Bash 履歴ファイルを消去するために使用されます。最初のコマンドは、/dev/null (書き込まれたデータをすべて破棄する特別なファイル) を temp にリダイレクトし、temp という名前の空のファイルを作成します。2 番目のコマンドは、temp のタイムスタンプを .bash_history (Bash 履歴を保存する隠しファイル) のタイムスタンプと一致するように変更します。3 番目のコマンドは、temp の名前を .bash_history に変更し、元のファイルを空のファイルで上書きします。これにより、ユーザーが実行したコマンドの痕跡がすべて消去されます。

ファイル .scripts/daily_log_backup.sh の権限は 777 に設定されており、誰でもファイルの読み取り、書き込み、実行が可能です。このファイルは root ユーザーが所有しており、侵入テスト担当者は非特権アカウントでシステムにアクセスできるため、権限昇格の潜在的な手段となる可能性があります。侵入テストでは、このようなファイルを見つけた後、テスト担当者はおそらくそのファイルを調べて、より高い権限を取得するために利用できるかどうかを確認したいと考えるでしょう。これは、スクリプトがより高い権限 (この場合は root) で実行されている場合、悪意のあるコードやコマンドをスクリプトに挿入することによって行われることがよくあります。

-script=s7-info を指定した nmap コマンドは、一般的な産業用制御システムである Siemens S7 PLC と対話するために特別に設計されています。-p 102 は、Siemens S7 通信に関連付けられたポートを指定します。-T3 タイミング オプションは、スキャン タイミングを過度に厳しくしないことで PLC への影響のリスクを最小限に抑えるために選択されています。これは、PLC が高ネットワーク トラフィックの影響を受けやすい運用技術環境では重要です。リストされている他のオプションは、PLC デバイスを特にターゲットにしたり、適切なタイミングを使用してリスクを最小限に抑えたりしません。