2.1 CVE-2011-2784

Um adversário sonda activamente o alvo de uma forma concebida para solicitar informações que possam ser alavancadas para fins maliciosos.

O adversário modifica direta ou indiretamente as variáveis de ambiente utilizadas pelo software alvo ou controlando-o. O objetivo do adversário é fazer com que o software alvo se desvie do seu funcionamento esperado de uma forma que beneficie o adversário. O adversário primeiro sonda a aplicação alvo para determinar informações importantes sobre o alvo. Esta informação pode incluir os tipos de software utilizados, versões de software, o que o utilizador consome, etc. Mais importante, o adversário tenta determinar quais variáveis de ambiente podem ser usadas pelo software subjacente, ou mesmo pela própria aplicação. Usando a informação encontrada ao sondar a aplicação, o adversário tenta manipular qualquer variável de ambiente controlada pelo usuário que tenha encontrado, ou suspeita de estar sendo usada pela aplicação, e observar os efeitos dessas mudanças. Se o adversário notar alguma alteração significativa na aplicação, saberá que uma determinada variável de ambiente é importante para o comportamento da aplicação e indica um possível vetor de ataque. O adversário manipula a(s) variável(s) de ambiente encontrada(s) para abusar do fluxo normal dos processos ou para obter acesso a recursos privilegiados.

Um adversário envolve-se em actividades de sondagem e exploração para identificar os constituintes e propriedades do alvo. [O atacante examina a informação do website e o código fonte do website e utiliza ferramentas automatizadas para obter o máximo de informação possível sobre o sistema e organização.

Um ataque deste tipo explora vulnerabilidades na autenticação do canal de comunicação cliente / servidor e integridade de dados. Ele alavanca a confiança implícita que um servidor deposita no cliente, ou mais importante, aquela que o servidor acredita ser o cliente. Um invasor executa esse tipo de ataque comunicando-se diretamente com o servidor onde o servidor acredita estar se comunicando apenas com um cliente válido. Existem inúmeras variações desse tipo de ataque.

Um adversário compara a saída de um sistema de destino com indicadores conhecidos que identificam exclusivamente detalhes específicos sobre o destino. Mais comumente, a impressão digital é feita para determinar o sistema operacional e as versões do aplicativo. A impressão digital pode ser feita de forma passiva ou ativa. A impressão digital por si só não costuma prejudicar o alvo. No entanto, as informações coletadas por meio de impressões digitais muitas vezes permitem que um adversário descubra os pontos fracos existentes no alvo.

Um adversário envia uma Solicitação de Eco ICMP Tipo 8, comumente conhecida como 'Ping', a fim de determinar se um sistema alvo é responsivo. Se a solicitação não for bloqueada por um firewall ou ACL, o host alvo responderá com um datagrama de resposta de eco tipo 0 do ICMP. Este tipo de troca é geralmente referido como um 'Ping' devido ao utilitário Ping presente em quase todos os sistemas operacionais. Ping, como comumente implementado, permite ao usuário testar hosts vivos, medir o tempo de ida e volta, e medir a porcentagem de perda de pacotes.

Um adversário usa um scan SYN para determinar o estado das portas no alvo remoto. O varrimento SYN é o tipo mais comum de varrimento de portas que é usado devido às suas muitas vantagens e poucos inconvenientes. Como resultado, atacantes novatos tendem a confiar excessivamente no SYN scan enquanto realizam o reconhecimento do sistema. Como método de varredura, as principais vantagens da varredura SYN são sua universalidade e velocidade. Um adversário envia pacotes SYN para portas que eles querem escanear e verifica a resposta sem completar o aperto de mão TCP. Um adversário usa a resposta do alvo para determinar o estado da porta. O adversário pode determinar o estado de uma porta com base nas seguintes respostas. Quando um SYN é enviado para uma porta aberta e uma porta não filtrada, um SYN/ACK será gerado. Quando um pacote SYN é enviado para uma porta fechada, um RST é gerado, indicando que a porta está fechada. Quando a varredura SYN para uma porta em particular não gera resposta, ou quando o pedido aciona erros ICMP Tipo 3 inalcançáveis, a porta é filtrada.

Um adversário enumera os registros MX de um determinado por meio de uma consulta DNS. Este tipo de coleta de informações retorna os nomes dos servidores de correio na rede. Os servidores de correio geralmente não são expostos à Internet, mas estão localizados na DMZ de uma rede protegida por um firewall. Um efeito colateral dessa configuração é que enumerar os registros MX de uma organização pode revelar o endereço IP do firewall ou possivelmente de outros sistemas internos. Os invasores geralmente recorrem à enumeração de registros MX quando uma transferência de zona DNS não é possível.

Um invasor explora uma configuração incorreta de DNS que permite uma transferência de ZONA. Alguns servidores DNS externos retornarão uma lista de endereços IP e nomes de host válidos. Sob certas condições, pode até ser possível obter dados da Zona sobre a rede interna da organização. Quando bem-sucedido, o invasor aprende informações valiosas sobre a topologia da organização alvo, incluindo informações sobre servidores específicos, sua função na estrutura de TI e, possivelmente, informações sobre os sistemas operacionais em execução na rede. Este é um comportamento dependente da configuração, portanto, também pode ser necessário pesquisar vários servidores DNS ao tentar encontrar um com transferências de ZONA permitidas.

Um adversário envia uma sonda a um endereço IP para determinar se o host está ativo. A descoberta de host é uma das primeiras fases de reconhecimento de rede. O adversário geralmente começa com um intervalo de endereços IP pertencentes a uma rede de destino e usa vários métodos para determinar se um host está presente nesse endereço IP. A descoberta de host é geralmente referida como varredura 'Ping' usando uma analogia de sonar. O objetivo é enviar um pacote ao endereço IP e solicitar uma resposta do host. Como tal, um 'ping' pode ser virtualmente qualquer pacote criado, desde que o adversário possa identificar um host funcional com base em sua resposta. Um ataque dessa natureza geralmente é executado com uma 'varredura de ping', em que um tipo específico de ping é enviado a uma série de endereços IP.

Um adversário usa um utilitário traceroute para mapear a rota pela qual os dados fluem através da rede em rota para um destino alvo. O rastreamento de roteamento pode permitir que o adversário construa uma topologia funcional de sistemas e roteadores, listando os sistemas pelos quais os dados passam em seu caminho para a máquina de destino. Este ataque pode retornar resultados variados dependendo do tipo de traceroute executado. O Traceroute funciona enviando pacotes para um destino enquanto incrementa o campo Time-to-Live no cabeçalho do pacote. Conforme o pacote atravessa cada salto ao longo de seu caminho até o destino, seu TTL expira, gerando uma mensagem de diagnóstico ICMP que identifica onde o pacote expirou. As técnicas tradicionais de rastreamento envolvem o uso de ICMP e UDP,mas à medida que mais firewalls começaram a filtrar o ICMP de entrada, foram desenvolvidos métodos de traceroute usando TCP.

Um adversário envia um Pedido de Máscara de Endereço ICMP Tipo 17 para reunir informações sobre a configuração de rede de um alvo. As Solicitações de Máscara de Endereço ICMP são definidas pelo RFC-950, "Internet Standard Subnetting Procedure." Uma Solicitação de Máscara de Endereço é uma mensagem ICMP tipo 17 que aciona um sistema remoto para responder com uma lista de suas sub-redes relacionadas, bem como seu gateway padrão e endereço de transmissão através de um datagrama de Resposta de Máscara de Endereço tipo 18 do ICMP. A coleta desse tipo de informação ajuda o adversário a planejar ataques baseados em roteadores, bem como ataques de negação de serviço contra o endereço de transmissão.

Este padrão de ataque aproveita as solicitações padrão para aprender o tempo exato associado a um sistema alvo. Um adversário pode ser capaz de usar o carimbo de data / hora retornado do alvo para atacar algoritmos de segurança baseados em tempo, como geradores de números aleatórios ou mecanismos de autenticação baseados em tempo.

Um adversário envia uma Solicitação de Informação ICMP a um host para determinar se ele responderá a este mecanismo obsoleto. As Solicitações de Informações ICMP são um tipo de mensagem obsoleto. As Solicitações de Informações foram originalmente usadas para máquinas sem disco para obter automaticamente sua configuração de rede, mas esse tipo de mensagem foi substituído por implementações de protocolo mais robustas, como DHCP.

Um adversário envia um segmento TCP com o sinalizador ACK definido para um host remoto com o objetivo de determinar se o host está ativo. Este é um dos vários tipos de 'ping' de TCP. O comportamento esperado do RFC 793 para um serviço é responder com um pacote RST de 'redefinição' para qualquer segmento ACK não solicitado que não faça parte de uma conexão existente. Portanto, ao enviar um segmento ACK a uma porta, o adversário pode identificar que o host está ativo procurando por um pacote RST. Normalmente, um servidor remoto responderá com um RST, independentemente de a porta estar aberta ou fechada. Dessa forma, os pings TCP ACK não podem descobrir o estado de uma porta remota porque o comportamento é o mesmo em ambos os casos.O firewall pesquisará o pacote ACK em sua tabela de estados e descartará o segmento porque ele não corresponde a nenhuma conexão ativa. Um TCP ACK Ping pode ser usado para descobrir se um host está ativo por meio de pacotes de resposta RST enviados do host.

Um adversário envia um datagrama UDP ao host remoto para determinar se o host está ativo. Se um datagrama UDP é enviado para uma porta UDP aberta, muitas vezes não há resposta, então uma estratégia típica para usar um ping UDP é enviar o datagrama para uma porta alta aleatória no destino. O objetivo é solicitar uma mensagem de 'porta ICMP inacessível' do destino, indicando que o host está ativo. Os pings UDP são úteis porque alguns firewalls não são configurados para bloquear datagramas UDP enviados para portas estranhas ou normalmente não utilizadas, como portas na faixa de 65K. Além disso, embora alguns firewalls possam filtrar o ICMP de entrada, os pontos fracos nos conjuntos de regras do firewall podem permitir certos tipos de ICMP (host inacessível, porta inacessível) que são úteis para tentativas de ping UDP.

Um adversário usa pacotes TCP SYN como um meio para a descoberta do hospedeiro. O comportamento típico da RFC 793 especifica que quando uma porta TCP está aberta, um host deve responder a um pacote SYN "sincronizar" de entrada completando a etapa dois do "aperto de mão de três vias" - enviando um SYN/ACK em resposta. Quando uma porta é fechada, o comportamento do RFC 793 é responder com um pacote RST "resetado". Este comportamento pode ser usado para 'pingar' um alvo para ver se ele está vivo, enviando um pacote SYN TCP para uma porta e depois procurando por um pacote RST ou ACK em resposta.

Um adversário usa uma combinação de técnicas para determinar o estado dos portos em um alvo remoto. Qualquer serviço ou aplicativo disponível para redes TCP ou UDP terá uma porta aberta para comunicações através da rede.

Um adversário usa uma conexão TCP completa para tentar determinar se uma porta está aberta no sistema alvo. O processo de escaneamento envolve completar um 'aperto de mão de três vias' com uma porta remota, e informa a porta como fechada se o aperto de mão completo não puder ser estabelecido. Uma vantagem da varredura de conexão TCP é que ela funciona contra qualquer pilha TCP/IP. Um adversário tenta inicializar uma conexão TCP com a porta de destino. Um adversário usa o resultado de sua conexão TCP para determinar o estado da porta de destino. Uma conexão bem-sucedida indica que uma porta está aberta com um serviço ouvindo-a enquanto uma conexão falhada indica que a porta não está aberta.

Um adversário usa um scan TCP FIN para determinar se as portas estão fechadas na máquina alvo. Esse tipo de scan é realizado enviando segmentos TCP com o bit FIN definido no cabeçalho do pacote. O comportamento esperado da RFC 793 é que qualquer segmento TCP com uma bandeira fora do estado enviada para uma porta aberta é descartado, enquanto segmentos com bandeiras fora do estado enviadas para portas fechadas devem ser tratados com um RST em resposta. Este comportamento deve permitir ao adversário procurar portas fechadas enviando certos tipos de pacotes que quebram regras (fora de sincronia ou não autorizados pelo TCB) e detectar portas fechadas através de pacotes RST. Um adversário envia pacotes TCP com a bandeira FIN mas não associados a uma conexão existente com as portas de destino. Um adversário usa a resposta do alvo para determinar o estado da porta. Se nenhuma resposta for recebida, a porta está aberta. Se um pacote RST é recebido, então a porta é fechada.

Um adversário usa um scan TCP XMAS para determinar se as portas estão fechadas na máquina alvo. Este tipo de scan é realizado enviando segmentos TCP com todas as bandeiras possíveis definidas no cabeçalho do pacote, gerando pacotes que são ilegais com base na RFC 793. O comportamento esperado da RFC 793 é que qualquer segmento TCP com uma bandeira fora do estado enviada para uma porta aberta é descartado, enquanto segmentos com bandeiras fora do estado enviadas para portas fechadas devem ser tratados com um RST em resposta. Este comportamento deve permitir que um atacante procure portas fechadas enviando certos tipos de pacotes que quebram regras (fora de sincronia ou proibidos pelo TCB) e detecte portas fechadas através de pacotes RST. Um adversário envia pacotes TCP com todas as flags definidas, mas não associadas a uma conexão existente com as portas de destino. Um adversário usa a resposta do alvo para determinar o estado da porta. Se nenhuma resposta for recebida, a porta está aberta. Se um pacote RST é recebido, então a porta é fechada.

Um adversário usa um scan TCP NULL para determinar se as portas estão fechadas na máquina alvo. Este tipo de scan é realizado enviando segmentos TCP sem flags no cabeçalho do pacote, gerando pacotes que são ilegais com base na RFC 793. O comportamento esperado da RFC 793 é que qualquer segmento TCP com uma bandeira fora do estado enviada para uma porta aberta é descartado, enquanto segmentos com bandeiras fora do estado enviados para portas fechadas devem ser tratados com um RST em resposta. Este comportamento deve permitir que um atacante procure portas fechadas enviando certos tipos de pacotes que quebram regras (fora de sincronia ou proibidos pelo TCB) e detecte portas fechadas através de pacotes RST. Um adversário envia pacotes TCP sem flags definidos e que não estão associados a uma conexão existente com as portas de destino. Um adversário usa a resposta do alvo para determinar o estado da porta. Se nenhuma resposta for recebida, a porta está aberta. Se um pacote RST é recebido, então a porta é fechada.

Um adversário usa segmentos TCP ACK para coletar informações sobre firewall ou configuração ACL. O propósito deste tipo de verificação é descobrir informações sobre configurações de filtros e não sobre o estado da porta. Este tipo de varredura raramente é útil sozinho, mas quando combinado com a varredura SYN, dá uma imagem mais completa do tipo de regras de firewall que estão presentes. Um adversário envia pacotes TCP com o conjunto de flag ACK e que não estão associados a uma conexão existente com as portas de destino. Um adversário usa a resposta do alvo para determinar o estado da porta. Se um pacote RST é recebido, a porta de destino é fechada ou o ACK foi enviado para fora da sincronização. Se nenhuma resposta for recebida, é provável que o alvo esteja usando um firewall de estado.

Um adversário se envolve na varredura da Janela TCP para analisar o status da porta e o tipo de sistema operacional. A varredura TCP Window usa o método ACK mas examina o campo TCP Window Size dos pacotes RST de resposta para fazer certas inferências. Enquanto as varreduras da Janela TCP são rápidas e relativamente furtivas, elas funcionam contra menos implementações de pilha TCP do que qualquer outro tipo de varredura. Alguns sistemas operacionais retornam um tamanho de janela TCP positivo quando um pacote RST é enviado de uma porta aberta, e um valor negativo quando o RST se origina de uma porta fechada. A varredura da janela TCP é um dos tipos mais complexos de varredura, e seus resultados são difíceis de interpretar. Somente a varredura de janela raramente produz informações úteis, mas quando combinada com outros tipos de varredura é mais útil. É um meio geralmente mais confiável de fazer inferências sobre as versões do sistema operacional do que o status da porta. Um adversário envia pacotes TCP com o conjunto de flags ACK e que não estão associados a uma conexão existente com as portas de destino. Um adversário usa a resposta do alvo para determinar o estado da porta. Especificamente, o adversário visualiza o tamanho da janela TCP a partir do pacote RST retornado, caso um tenha sido recebido. Dependendo do sistema operacional de destino, um tamanho de janela positivo pode indicar uma porta aberta enquanto um tamanho de janela negativo pode indicar uma porta fechada.

Um adversário procura a listagem de serviços RPC em um host Unix/Linux. Um adversário envia pacotes RCP para as portas de destino. Um adversário usa a resposta do alvo para determinar qual, se houver, o serviço RPC está rodando naquela porta. As respostas variam de acordo com o serviço RPC que está sendo executado.

Um adversário se envolve na verificação UDP para coletar informações sobre o status da porta UDP no sistema alvo. Os métodos de escaneamento UDP envolvem o envio de um datagrama UDP para a porta de destino e a busca de evidências de que a porta está fechada. Portas UDP abertas geralmente não respondem aos datagramas UDP, pois não há nenhum mecanismo de estado dentro do protocolo que requeira a construção ou o estabelecimento de uma sessão. As respostas aos datagramas do UDP são, portanto, específicas à aplicação e não podem ser consideradas como um método de detecção de uma porta aberta. A varredura UDP depende muito das mensagens de diagnóstico ICMP para determinar o status de uma porta remota. Um adversário envia pacotes UDP para as portas de destino. Um adversário usa a resposta do alvo para determinar o estado da porta. Se uma porta responde a um pacote UDP depende do aplicativo que está escutando naquela porta. Nenhuma resposta não indica que a porta não está aberta.

Um adversário se envolve em atividades de varredura para mapear nós, hosts, dispositivos e rotas da rede. Os adversários geralmente realizam esse tipo de reconhecimento de rede durante os estágios iniciais de ataque contra uma rede externa. Muitos tipos de utilitários de varredura são normalmente empregados, incluindo ferramentas ICMP, mapeadores de rede, scanners de porta e utilitários de teste de rota, como o traceroute.

Um invasor se envolve em uma atividade de varredura para encontrar versões ou tipos de software vulneráveis, como versões de sistema operacional ou serviços de rede. Configurações de rede vulneráveis ou exploráveis, como sistemas com firewalls inadequados ou sistemas configurados incorretamente na DMZ ou rede externa, fornecem janelas de oportunidade para um invasor. Os tipos comuns de software vulnerável incluem sistemas operacionais ou serviços sem patch (por exemplo, FTP, Telnet, SMTP, SNMP) executados em portas abertas que o invasor identificou. Os invasores geralmente começam a sondar o software vulnerável assim que a rede externa é verificada e os alvos potenciais são revelados.

Um adversário se envolve em atividade para detectar o sistema operacional ou versão de firmware de um alvo remoto interrogando um dispositivo, servidor ou plataforma com uma sonda projetada para solicitar comportamento que revelará informações sobre os sistemas operacionais ou firmware no ambiente. A detecção do sistema operacional é possível porque as implementações de protocolos comuns (como IP ou TCP) diferem de maneiras distintas. Embora as diferenças de implementação não sejam suficientes para 'quebrar' a compatibilidade com o protocolo, as diferenças são detectáveis porque o destino responderá de maneiras exclusivas à atividade de sondagem específica que quebra as regras semânticas ou lógicas de construção de pacote para um protocolo. Diferentes sistemas operacionais terão uma resposta única para a entrada anômala,fornecendo a base para identificar o comportamento do sistema operacional. Este tipo de impressão digital do sistema operacional pode distinguir entre tipos e versões de sistema operacional.

Um adversário se envolve em atividades para detectar a versão ou tipo de software de sistema operacional em um ambiente, monitorando passivamente a comunicação entre dispositivos, nós ou aplicativos. As técnicas passivas para detecção do sistema operacional não enviam sondagens reais para um alvo, mas monitoram a rede ou a comunicação cliente-servidor entre os nós para identificar os sistemas operacionais com base no comportamento observado em comparação com um banco de dados de assinaturas ou valores conhecidos. Embora a impressão digital passiva do SO geralmente não seja tão confiável quanto os métodos ativos, geralmente é mais capaz de evitar a detecção.

Esta sonda de impressão digital do sistema operacional analisa o algoritmo de geração de número de sequência do campo 'ID' de um host remoto. Os sistemas operacionais geram números de 'ID' de IP de maneira diferente, permitindo que um invasor identifique o sistema operacional do host examinando como ele atribui números de ID ao gerar pacotes de resposta. O RFC 791 não especifica como os números de ID são escolhidos ou seus intervalos, portanto, a geração de sequência de ID difere de implementação para implementação. Existem dois tipos de análise de número de sequência de IP 'ID' - Sequenciamento de IP 'ID': analisar o algoritmo de geração de sequência de IP 'ID' para um protocolo usado por um host e Sequenciamento de IP compartilhado de 'ID': analisar a ordenação de pacotes via IP ' Valores de ID 'abrangendo vários protocolos,como entre ICMP e TCP.

Este teste de impressão digital do SO testa para determinar se o host remoto ecoa de volta o valor IP 'ID' do pacote de teste. Um invasor envia um datagrama UDP com um valor arbitrário de 'ID' de IP para uma porta fechada no host remoto para observar a maneira como esse bit é ecoado de volta na mensagem de erro ICMP. O campo de identificação (ID) é normalmente utilizado para remontar um pacote fragmentado. Alguns sistemas operacionais ou firmware do roteador invertem a ordem dos bits do campo ID ao ecoar a parte do cabeçalho IP do datagrama original em uma mensagem de erro ICMP.

Este teste de impressão digital do SO testa para determinar se o host remoto ecoa de volta o bit IP 'DF' (Não Fragmentar) em um pacote de resposta. Um invasor envia um datagrama UDP com o bit DF definido para uma porta fechada no host remoto para observar se o bit 'DF' está definido no pacote de resposta. Alguns sistemas operacionais ecoarão o bit na mensagem de erro ICMP, enquanto outros zerarão o bit no pacote de resposta.

Esta sonda de impressão digital de SO examina a implementação de timestamps TCP no servidor remoto. Nem todos os sistemas operacionais implementam timestamps dentro do cabeçalho TCP, mas quando os timestamps são usados, isso fornece ao atacante um meio de adivinhar o sistema operacional do alvo. O atacante começa por sondar qualquer serviço TCP ativo para obter resposta que contenha um timestamp TCP. Sistemas operacionais diferentes atualizam o valor do carimbo de tempo usando intervalos diferentes. Este tipo de análise é mais preciso quando múltiplas respostas de carimbo de data/hora são recebidas e depois analisadas. Os carimbos de data/hora TCP podem ser encontrados no campo Opções TCP do cabeçalho TCP. O adversário envia um pacote de sonda para o host remoto para identificar se os carimbos de data e hora estão presentes. Se o host remoto estiver usando timestamp, obtenha vários timestamps, analise-os e compare-os com os valores conhecidos.

Este teste de impressão digital do SO testa a atribuição de números de sequência TCP do sistema de destino. Uma maneira comum de testar a geração do número de sequência TCP é enviar um pacote de sondagem para uma porta aberta no destino e, em seguida, comparar como o número de sequência gerado pelo destino se relaciona com o número de confirmação no pacote de sondagem. Diferentes sistemas operacionais atribuem números de sequência de forma diferente, portanto, uma impressão digital do sistema operacional pode ser obtida categorizando a relação entre o número de confirmação e o número de sequência da seguinte forma: 1) o número de sequência gerado pelo destino é zero, 2) o número de sequência gerado pelo destino é o mesmo que o número de confirmação na sonda,3) o número de sequência gerado pelo destino é o número de confirmação mais um, ou 4) o número de sequência é qualquer outro número diferente de zero.

Este teste de impressão digital do SO envia vários pacotes TCP SYN para uma porta aberta de uma máquina remota. O número de sequência inicial (ISN) em cada um dos pacotes de resposta SYN / ACK é analisado para determinar o menor número que o host de destino usa ao incrementar os números de sequência. Essas informações podem ser úteis para identificar um sistema operacional porque determinados sistemas operacionais e versões incrementam números de sequência usando valores diferentes. O resultado da análise é então comparado com um banco de dados de comportamentos do sistema operacional para determinar o tipo e / ou versão do sistema operacional.

Esta detecção de sistema operacional mede a taxa média de incrementos de número de sequência inicial durante um período de tempo. Os números de sequência são incrementados usando um algoritmo baseado em tempo e são suscetíveis a uma análise de tempo que pode determinar o número de incrementos por unidade de tempo. O resultado dessa análise é então comparado com um banco de dados de sistemas operacionais e versões para determinar as correspondências prováveis do sistema operacional.

Este tipo de teste de sistema operacional tenta determinar uma estimativa de quão previsível o algoritmo de geração de número de sequência é para um host remoto. Técnicas estatísticas, como o desvio padrão, podem ser usadas para determinar o quão previsível é a geração do número de sequência para um sistema. Esse resultado pode então ser comparado a um banco de dados de comportamentos do sistema operacional para determinar uma correspondência provável para o sistema operacional e a versão.

Este teste de impressão digital do SO verifica se o host remoto oferece suporte a mensagens de notificação de congestionamento explícito (ECN). O sistema de mensagens ECN foi projetado para permitir que os roteadores notifiquem um host remoto quando estiverem ocorrendo problemas de congestionamento de sinal. As mensagens explícitas de notificação de congestionamento são definidas pela RFC 3168. Diferentes sistemas operacionais e versões podem ou não implementar notificações ECN, ou podem responder exclusivamente a determinados tipos de sinalizadores ECN.

Esta sonda de impressão digital de SO verifica o tamanho inicial da Janela TCP. As pilhas TCP limitam o intervalo de números sequenciais permitidos dentro de uma sessão para manter o estado "conectado" dentro da lógica do protocolo TCP. O tamanho da janela inicial especifica um intervalo de números sequenciais aceitáveis que se qualificam como resposta a um pacote ACK dentro de uma sessão. Vários sistemas operacionais usam diferentes tamanhos de janela inicial. O tamanho da janela inicial pode ser amostrado ao estabelecer uma conexão TCP comum.

Esta sonda de impressão digital do sistema operacional analisa o tipo e a ordem de quaisquer opções de cabeçalho TCP presentes em um segmento de resposta. A maioria dos sistemas operacionais usa ordenação exclusiva e conjuntos de opções diferentes quando as opções estão presentes. O RFC 793 não especifica uma ordem necessária quando as opções estão presentes, portanto, diferentes implementações usam maneiras exclusivas de ordenar ou estruturar as opções TCP. As opções de TCP podem ser geradas por tráfego TCP comum.

Esta sonda de impressão digital do sistema operacional executa uma soma de verificação em quaisquer dados ASCII contidos na parte de dados ou em um pacote RST. Alguns sistemas operacionais reportarão uma mensagem de texto legível por humanos na carga de um pacote 'RST' (redefinir) quando ocorrerem tipos específicos de erros de conexão. A RFC 1122 permite cargas úteis de texto em pacotes de redefinição, mas nem todos os sistemas operacionais ou roteadores implementam essa funcionalidade.

Um adversário usa uma técnica para gerar uma mensagem de erro ICMP (Port Unreachable, Destination Unreachable, Redirect, Source Quench, Time Exceeded, Parameter Problem) a partir de um alvo e, em seguida, analisar a quantidade de dados retornados ou "Quoted" do pedido de origem que gerou a mensagem de erro ICMP.

Um adversário usa uma técnica para gerar uma mensagem de erro ICMP (Port Unreachable, Destination Unreachable, Redirect, Source Quench, Time Exceeded, Parameter Problem) de um alvo e, em seguida, analisar a integridade dos dados devolvidos ou "Quoted" do pedido de origem que gerou a mensagem de erro.

Um invasor cria cuidadosamente pequenos trechos de Java Script para detectar com eficiência o tipo de navegador que a vítima potencial está usando. Muitos ataques baseados na web precisam de conhecimento prévio do navegador da web, incluindo a versão do navegador, para garantir a exploração bem-sucedida de uma vulnerabilidade. Ter esse conhecimento permite que um invasor direcione a vítima com ataques que exploram especificamente fraquezas conhecidas ou de dia zero no tipo e na versão do navegador usado pela vítima. Automatizar esse processo via Java Script como parte do mesmo sistema de entrega usado para explorar o navegador é considerado mais eficiente, pois o invasor pode fornecer um método de impressão digital do navegador e integrá-lo ao código de exploração, tudo contido no Java Script e em resposta ao mesmo solicitação de página da web pelo navegador.

Um adversário se envolve em atividades de sondagem e exploração para determinar se existem arquivos de chave comuns. Esses arquivos geralmente contêm parâmetros de configuração e segurança do aplicativo, sistema ou rede de destino. Usar esse conhecimento pode, muitas vezes, abrir caminho para ataques mais prejudiciais.

Em um ataque de surfe no ombro, um adversário observa as teclas, o conteúdo da tela ou conversas de um indivíduo desconhecido com o objetivo de obter informações sensíveis. Um motivo para este ataque é obter informações sensíveis sobre o alvo para obter ganhos financeiros, pessoais, políticos ou outros. De uma perspectiva de ameaça interna, um motivo adicional poderia ser obter credenciais de sistema/aplicação ou chaves criptográficas. Ataques de surf no ombro são realizados observando o conteúdo "por cima do ombro da vítima", como implícito pelo nome deste ataque.

Um adversário explora a funcionalidade destinada a identificar informações sobre os processos em execução no sistema de destino para um usuário autorizado. Ao saber quais processos estão sendo executados no sistema de destino, o adversário pode aprender sobre o ambiente de destino como um meio para mais comportamento malicioso.

Um adversário explora a funcionalidade destinada a identificar informações sobre os serviços no sistema alvo para um usuário autorizado. Ao saber quais serviços estão registrados no sistema alvo, o adversário pode aprender sobre o ambiente alvo como um meio para um comportamento malicioso adicional. Dependendo do sistema operacional, os comandos que podem obter informações sobre os serviços incluem "sc" e "tasklist/svc" usando a Tasklist, e "net start" usando a Net.

Um adversário explora funcionalidades destinadas a identificar informações sobre as contas do domínio e suas permissões no sistema alvo para um usuário autorizado. Ao saber quais contas estão registradas no sistema alvo, o adversário pode informar mais e mais sobre o comportamento malicioso alvo. Exemplos de comandos do Windows que podem adquirir esta informação são: "net user" e "dsquery".

Um adversário explora a funcionalidade destinada a identificar informações sobre grupos de usuários e suas permissões no sistema alvo para um usuário autorizado. Ao saber quais usuários/permissões estão registrados no sistema alvo, o adversário pode informar mais e mais sobre comportamentos maliciosos direcionados. Um exemplo de comando do Windows que pode listar grupos locais é o "net localgroup".

Um adversário explora a funcionalidade destinada a identificar informações sobre os usuários primários no sistema alvo para um usuário autorizado. Eles podem fazer isso, por exemplo, revendo logins ou tempos de modificação de arquivos. Ao saber quais proprietários usam o sistema alvo, o adversário pode informar mais e mais o comportamento malicioso alvo. Um exemplo de comando do Windows que pode fazer isso é "dir /A ntuser.dat". Que mostrará o último tempo modificado do arquivo ntuser.dat de um usuário quando executado dentro da pasta raiz de um usuário. Este tempo é sinônimo da última vez que esse usuário fez o login.

Este ataque tem como alvo uma identificação previsível da sessão para ganhar privilégios. O atacante pode prever o ID da sessão usada durante uma transação para realizar falsificações e seqüestros de sessão. O atacante interage com o host alvo e descobre que os IDs de sessão são usados para autenticar usuários. [Characterize IDs] O atacante estuda as características do ID da sessão (tamanho, formato, etc.). Como resultado, o atacante descobre que os IDs de sessão legítimos são previsíveis. O atacante força diferentes valores de IDs de sessão e consegue prever um ID de sessão válido. O atacante usa o ID de sessão falsificado para acessar o sistema alvo.

Este ataque visa a reutilização de um ID de sessão válido para falsificar o sistema alvo, a fim de ganhar privilégios. O atacante tenta reutilizar um ID de sessão roubado usado anteriormente durante uma transação para realizar falsificação e seqüestro de sessão. Outro nome para este tipo de ataque é Session Replay. O atacante interage com o host alvo e descobre que os IDs de sessão são usados para autenticar usuários. O atacante rouba um ID de sessão de um usuário válido. O atacante tenta usar o ID da sessão roubada para obter acesso ao sistema com os privilégios do proprietário original do ID da sessão.

Um adversário fornece uma versão maliciosa de um recurso em um local semelhante ao local esperado de um recurso legítimo. Depois de estabelecer o local invasor, o adversário espera que a vítima visite o local e acesse o recurso malicioso.

Um adversário descobre conexões entre sistemas explorando a prática padrão do sistema alvo de revelá-las em áreas comuns pesquisáveis. Através da identificação de pastas / drives compartilhados entre sistemas, o adversário pode promover seus objetivos de localizar e coletar informações / arquivos confidenciais ou mapear rotas potenciais para movimento lateral dentro da rede.

Os adversários podem tentar obter informações sobre dispositivos periféricos anexados e componentes conectados a um sistema de computador. Os exemplos podem incluir descobrir a presença de dispositivos iOS procurando backups, analisando o registro do Windows para determinar quais dispositivos USB foram conectados ou infectando o sistema da vítima com malware para relatar quando um dispositivo USB foi conectado. Isso pode permitir que o adversário obtenha informações adicionais sobre o sistema ou ambiente de rede, o que pode ser útil na construção de outros ataques.

Um adversário intercepta uma forma de comunicação (por exemplo, texto, áudio, vídeo) por meio de software (por exemplo, microfone e aplicativo de gravação de áudio), hardware (por exemplo, equipamento de gravação) ou meio físico (por exemplo, proximidade física). O objetivo da espionagem é normalmente obter acesso não autorizado a informações confidenciais sobre o alvo para ganhos financeiros, pessoais, políticos ou outros. A escuta secreta é diferente de um ataque de detecção, pois não ocorre em um canal de comunicação baseado em rede (por exemplo, tráfego IP). Em vez disso, envolve ouvir a fonte de áudio bruto de uma conversa entre duas ou mais partes.

Este ataque tem como alvo a codificação dos caracteres Slash. Um adversário tentaria explorar problemas comuns de filtragem relacionados com o uso dos caracteres Slash para obter acesso a recursos no hospedeiro alvo. Os sistemas guiados por directórios, tais como sistemas de ficheiros e bases de dados, tipicamente utilizam o carácter cortante para indicar a passagem entre directórios ou outros componentes do contentor. Por razões históricas obscuras, os PCs (e, como resultado, os sistemas operacionais da Microsoft) optam por usar uma barra invertida, enquanto o mundo UNIX tipicamente faz uso da barra invertida para frente. O resultado esquizofrênico é que muitos sistemas baseados em MS são necessários para entender ambas as formas da barra. Isto dá ao adversário muitas oportunidades para descobrir e abusar de uma série de problemas de filtragem comuns. O objetivo deste padrão é descobrir software de servidor que só aplica filtros a uma versão, mas não à outra. Usando um navegador, uma ferramenta automatizada ou inspecionando a aplicação, um adversário registra todos os pontos de entrada na aplicação. O adversário usa os pontos de entrada reunidos na fase "Explorar" como uma lista de destino e procura áreas onde o input do usuário é usado para acessar recursos no host de destino. O adversário tenta diferentes codificações de caracteres slash para contornar os filtros de entrada. Uma vez que o adversário determina como contornar filtros que filtram caracteres barra, ele irá manipular a entrada do usuário para incluir barras para atravessar diretórios e acessar recursos que não são destinados ao usuário.