Bu vəziyyəti təsəvvür edin. Soyuq oktyabr səhəri, Rusiyanın bölgələrindən birinin regional mərkəzindəki layihə institutu. İnsan resursları departamentindən kimsə institutun saytında bir neçə gün əvvəl yerləşdirilən vakansiya səhifələrindən birinə gedir və orada bir pişiyin şəklini görür. Səhər tez darıxdırıcı olmağı dayandırır...
Bu yazıda Group-IB-də audit və konsaltinq departamentinin texniki rəhbəri Pavel Suprunyuk praktiki təhlükəsizliyi qiymətləndirən layihələrdə sosial-texniki hücumların yeri, onların hansı qeyri-adi formalarda ola biləcəyi və bu cür hücumlardan necə qorunmaq barədə danışır. Müəllif aydınlaşdırır ki, məqalə icmal xarakterlidir, lakin hər hansı aspekt oxucuları maraqlandırarsa, Group-IB ekspertləri şərhlərdə sualları asanlıqla cavablandıracaqlar.
1-ci hissə. Niyə bu qədər ciddi?
Gəlin pişikimizə qayıdaq. Müəyyən müddətdən sonra kadrlar şöbəsi fotonu silir (burada və aşağıda skrinşotlar real adların açıqlanmaması üçün qismən retuş edilib), lakin o, inadla geri qayıdır, yenidən silinir və bu, daha bir neçə dəfə baş verir. Kadrlar şöbəsi başa düşür ki, pişiyin ən ciddi niyyətləri var, o, getmək istəmir və veb proqramçıdan - saytı yaradan və onu anlayan və indi onu idarə edən bir şəxsdən kömək istəyirlər. Proqramçı sayta daxil olur, bir daha zəhlətökən pişiyi silir, onun kadrlar departamentinin özünün adından yerləşdirildiyini öyrənir, sonra HR departamentinin parolunun bəzi onlayn xuliqanlara sızdığını ehtimal edir və onu dəyişdirir. Pişik bir daha görünmür.
Həqiqətən nə baş verdi? İnstitutun daxil olduğu şirkətlər qrupuna münasibətdə, Group-IB mütəxəssisləri Red Teaming-ə yaxın formatda nüfuz testi keçirmişlər (başqa sözlə, bu, şirkətinizin ən qabaqcıl üsul və alətlərindən istifadə etməklə şirkətinizə qarşı məqsədyönlü hücumların imitasiyasıdır. haker qruplarının arsenalı). Red Teaming haqqında ətraflı danışdıq . Bilmək vacibdir ki, belə bir test keçirərkən, sosial mühəndislik də daxil olmaqla, çox geniş spektrli əvvəlcədən razılaşdırılmış hücumlardan istifadə edilə bilər. Aydındır ki, pişiyin özünün yerləşdirilməsi baş verənlərin son məqsədi deyildi. Və aşağıdakılar var idi:
- institutun veb-saytı üçüncü tərəf serverlərində deyil, institutun öz şəbəkəsi daxilindəki serverdə yerləşdirilmişdir;
- HR departamentinin hesabında sızma aşkar edildi (e-poçt jurnalı faylı saytın kökündədir). Bu hesabla saytı idarə etmək mümkün deyildi, lakin iş səhifələrini redaktə etmək mümkün idi;
- Səhifələri dəyişdirərək, skriptlərinizi JavaScript-də yerləşdirə bilərsiniz. Adətən onlar səhifələri interaktiv edirlər, lakin bu vəziyyətdə eyni skriptlər ziyarətçinin brauzerindən HR şöbəsini proqramçıdan, proqramçını isə sadə ziyarətçidən - saytdakı sessiya identifikatorundan fərqləndirən şeyi oğurlaya bilər. Pişik hücum tetikleyicisi və diqqəti cəlb etmək üçün bir şəkil idi. HTML veb-sayt işarələmə dilində belə görünürdü: əgər şəkliniz yüklənibsə, JavaScript artıq icra olunub və brauzeriniz və IP ünvanınız haqqında məlumatla birlikdə sessiya ID-niz artıq oğurlanıb.
- Oğurlanmış administrator sessiyası identifikatoru ilə sayta tam giriş əldə etmək, PHP-də icra olunan səhifələri yerləşdirmək və buna görə də server əməliyyat sisteminə, daha sonra isə yerli şəbəkənin özünə giriş əldə etmək mümkün olardı ki, bu da proqramın mühüm aralıq məqsədi idi. layihə.
Hücum qismən uğurlu oldu: administratorun sessiya identifikatoru oğurlandı, lakin o, IP ünvanına bağlandı. Bunun öhdəsindən gələ bilmədik; sayt imtiyazlarımızı idarəçi imtiyazlarına qaldıra bilmədik, lakin əhvalımızı yaxşılaşdırdıq. Yekun nəticə, nəhayət, şəbəkə perimetrinin başqa bir hissəsində əldə edildi.
Hissə 2. Mən sizə yazıram - daha nələr? Mən də zəng edib ofisinizdə otururam, fləş diskləri atıram.
Pişiklə bağlı vəziyyətdə baş verənlər, kifayət qədər klassik olmasa da, sosial mühəndislik nümunəsidir. Əslində, bu hekayədə daha çox hadisələr var idi: bir pişik, bir institut, bir kadr şöbəsi və bir proqramçı var idi, lakin "namizədlərin" kadrlar şöbəsinin özünə və şəxsən yazdığı aydınlaşdırıcı suallarla elektron məktublar da var idi. onları sayt səhifəsinə getməyə təhrik etmək üçün proqramçıya.
Məktublardan danışarkən. Adi e-poçt, yəqin ki, sosial mühəndisliyi həyata keçirmək üçün əsas vasitə, bir neçə onilliklər ərzində öz aktuallığını itirmir və bəzən ən qeyri-adi nəticələrə səbəb olur.
Tədbirlərimizdə tez-tez aşağıdakı hekayəni danışırıq, çünki çox açıqdır.
Adətən biz sosial mühəndislik layihələrinin nəticələrinə əsasən statistika tərtib edirik ki, bu da bildiyimiz kimi quru və darıxdırıcı bir şeydir. Alıcıların yüzdə çoxu məktubdan əlavəni açdı, o qədər çoxu linki izlədi, lakin bu üç nəfər əslində öz istifadəçi adlarını və şifrələrini daxil etdilər. Bir layihədə daxil edilmiş parolların 100%-dən çoxunu aldıq - yəni göndərdiyimizdən daha çox çıxdı.
Bu belə oldu: guya dövlət korporasiyasının CISO-dan "poçt xidmətində dəyişiklikləri təcili sınaqdan keçirmək" tələbi ilə fişinq məktubu göndərildi. Məktub texniki təminatla məşğul olan böyük bir idarənin rəhbərinə çatdı. Müdir yüksək orqanlardan gələn göstərişləri çox səylə yerinə yetirir və bütün tabeliyində olanlara ötürürdü. Çağrı mərkəzinin özü olduqca böyük oldu. Ümumiyyətlə, kiminsə həmkarlarına “maraqlı” fişinq e-poçtlarını göndərdiyi və onların da tutulduğu vəziyyətlər kifayət qədər adi haldır. Bizim üçün bu, məktub yazmağın keyfiyyətinə dair ən yaxşı rəydir.
Bir az sonra bizdən xəbər tutdular (məktub oğurlanmış poçt qutusunda götürülüb):
Hücumun uğuru poçt göndərişinin müştərinin poçt sistemindəki bir sıra texniki çatışmazlıqlardan istifadə etməsi ilə bağlı olub. O, elə qurulmuşdu ki, təşkilatın özünün istənilən göndəricisi adından icazəsiz, hətta İnternetdən də istənilən məktub göndərmək mümkün idi. Yəni, özünüzü CISO, yaxud texniki dəstək rəhbəri və ya başqası kimi göstərə bilərsiniz. Üstəlik, poçt interfeysi "öz" domenindən gələn məktubları müşahidə edərək, göndərənə təbiilik əlavə edən ünvan kitabından bir fotoşəkili diqqətlə daxil etdi.
Əslində, belə bir hücum xüsusilə mürəkkəb bir texnologiya deyil, poçt parametrlərindəki çox əsas qüsurun uğurlu istismarıdır. O, mütəmadi olaraq ixtisaslaşmış İT və informasiya təhlükəsizliyi resurslarında nəzərdən keçirilir, lakin buna baxmayaraq, hələ də bütün bunlara sahib olan şirkətlər var. Heç kim SMTP poçt protokolunun xidmət başlıqlarını hərtərəfli yoxlamağa meylli olmadığından, məktub ümumiyyətlə poçt interfeysindəki xəbərdarlıq nişanlarından istifadə edərək "təhlükə" üçün yoxlanılır, bu da həmişə bütün şəkli göstərmir.
Maraqlıdır ki, oxşar zəiflik digər istiqamətdə də işləyir: təcavüzkar şirkətinizin adından üçüncü tərəf alıcısına e-poçt göndərə bilər. Məsələn, o, sizin adınıza deyil, başqa rekvizitləri göstərməklə müntəzəm ödəniş üçün hesab-fakturanı saxtalaşdıra bilər. Fırıldaqçılıq və nağd pul çıxarma məsələlərindən başqa, bu, sosial mühəndislik vasitəsilə pul oğurlamağın ən asan yollarından biridir.
Fişinq yolu ilə parolları oğurlamaqla yanaşı, klassik sosial-texniki hücum icra edilə bilən əlavələr göndərir. Bu sərmayələr müasir şirkətlərin adətən çox olduğu bütün təhlükəsizlik tədbirlərini aşarsa, qurbanın kompüterinə uzaqdan giriş kanalı yaradılacaqdır. Hücumun nəticələrini nümayiş etdirmək üçün əldə edilən uzaqdan idarəetmə xüsusilə vacib məxfi məlumatlara daxil olmaq üçün hazırlana bilər. Maraqlıdır ki, medianın hamını qorxutmaq üçün istifadə etdiyi hücumların böyük əksəriyyəti məhz belə başlayır.
Audit departamentimizdə əylənmək üçün biz təxmini statistikanı hesablayırıq: əsasən fişinq və icra edilə bilən əlavələr göndərməklə Domen Administratoruna giriş əldə etdiyimiz şirkətlərin aktivlərinin ümumi dəyəri nə qədərdir? Bu il təxminən 150 milyard avroya çatıb.
Aydındır ki, təxribat xarakterli e-poçtlar göndərmək və pişik şəkillərini internet saytlarında yerləşdirmək sosial mühəndisliyin yeganə metodları deyil. Bu nümunələrdə biz hücum formalarının müxtəlifliyini və onların nəticələrini göstərməyə çalışdıq. Məktublara əlavə olaraq, potensial təcavüzkar lazımi məlumatları əldə etmək, hədəf şirkətin ofisində icra edilə bilən faylları olan medianı (məsələn, fləş diskləri) səpələmək, təcrübəçi kimi işə düzəlmək, yerli şəbəkəyə fiziki giriş əldə etmək üçün zəng edə bilər. CCTV kamera quraşdırıcısı adı altında. Bütün bunlar, yeri gəlmişkən, uğurla başa çatmış layihələrimizdən nümunələrdir.
3-cü hissə. Tədris işıqdır, amma öyrənilməmiş qaranlıqdır
Ağlabatan sual yaranır: yaxşı, tamam, sosial mühəndislik var, təhlükəli görünür, amma bütün bunlarla bağlı şirkətlər nə etməlidir? Kapitan Obvious köməyə gəlir: özünüzü müdafiə etməlisiniz və hərtərəfli şəkildə. Qorunmanın bir hissəsi informasiyanın mühafizəsinin texniki vasitələri, monitorinqi, proseslərin təşkilati və hüquqi təminatı kimi artıq klassik təhlükəsizlik tədbirlərinə yönəldiləcək, lakin əsas hissəsi, fikrimizcə, işçilərlə birbaşa işə yönəldilməlidir. ən zəif əlaqə. Axı, texnologiyanı nə qədər gücləndirsəniz və ya sərt qaydalar yazsanız da, həmişə hər şeyi pozmağın yeni yolunu kəşf edəcək bir istifadəçi olacaq. Üstəlik, nə qaydalar, nə də texnologiya istifadəçinin yaradıcılığının uçuşu ilə ayaqlaşa bilməz, xüsusən də onu ixtisaslı bir təcavüzkar təhrik edərsə.
İlk növbədə istifadəçini öyrətmək vacibdir: izah edin ki, hətta onun gündəlik işində sosial mühəndisliklə bağlı vəziyyətlər yarana bilər. Müştərilərimiz üçün biz tez-tez həyata keçiririk rəqəmsal gigiyena mövzusunda - ümumiyyətlə hücumlara qarşı əsas bacarıqları öyrədən tədbir.
Əlavə edə bilərəm ki, ən yaxşı qorunma tədbirlərindən biri ümumiyyətlə informasiya təhlükəsizliyi qaydalarını əzbərləmək deyil, vəziyyəti bir qədər təcrid olunmuş şəkildə qiymətləndirmək olardı:
- Mənim həmsöhbətim kimdir?
- Onun təklifi və ya xahişi haradan gəldi (əvvəllər belə olmayıb, indi də ortaya çıxıb)?
- Bu sorğuda qeyri-adi nə var?
Hətta qeyri-adi məktub şrifti və ya göndərici üçün qeyri-adi olan nitq tərzi hücumu dayandıracaq şübhə zəncirini yarada bilər. Təyin edilmiş təlimatlara da ehtiyac var, lakin onlar fərqli işləyir və bütün mümkün vəziyyətləri göstərə bilməz. Məsələn, informasiya təhlükəsizliyi administratorları onlara yazır ki, üçüncü tərəfin resurslarına parolunuzu daxil edə bilməyəcəksiniz. Bəs “sizin”, “korporativ” şəbəkə resursunuz parol tələb edərsə? İstifadəçi düşünür: “Şirkətimizdə artıq bir hesabla iki onlarla xidmət var, niyə başqa biri olmasın?” Bu, başqa bir qaydaya gətirib çıxarır: yaxşı qurulmuş iş prosesi həm də təhlükəsizliyə birbaşa təsir göstərir: əgər qonşu departament sizdən məlumatı yalnız yazılı şəkildə və yalnız meneceriniz vasitəsilə tələb edə bilərsə, “şirkətin etibarlı tərəfdaşından olan” şəxs, şübhəsiz ki, bu barədə məlumat ala bilməyəcək. telefonla tələb edə bilər - bu sizin üçün cəfəngiyat olacaq. Həmsöhbətiniz hər şeyi indi və ya yazmaq dəbdə olduğu üçün "ASAP" etməyi tələb edirsə, xüsusilə ehtiyatlı olmalısınız. Normal işdə belə, bu vəziyyət çox vaxt sağlam deyil və mümkün hücumlar qarşısında güclü bir tetikleyicidir. İzah etməyə vaxt yoxdur, faylımı işə salın!
Biz qeyd edirik ki, istifadəçilər həmişə bu və ya digər formada pulla bağlı mövzular: promosyonlar, üstünlüklər, hədiyyələr vədləri, eləcə də guya yerli dedi-qodu və intriqa ilə bağlı məlumatlar vasitəsilə sosial-texniki hücumun əfsanələri kimi hədəfə alınırlar. Başqa sözlə, bayağı “ölümcül günahlar” iş başındadır: mənfəət susuzluğu, tamah və həddindən artıq maraq.
Yaxşı təlim həmişə təcrübədən ibarət olmalıdır. Nüfuz testi üzrə mütəxəssislərin köməyə gələ biləcəyi yer budur. Növbəti sual budur: nəyi və necə sınaqdan keçirəcəyik? Group-IB-də biz aşağıdakı yanaşmanı təklif edirik: dərhal testin fokusunu seçin: ya yalnız istifadəçilərin özlərinin hücumlara hazırlığını qiymətləndirin, ya da bütövlükdə şirkətin təhlükəsizliyini yoxlayın. Sosial mühəndislik metodlarından istifadə edərək, real hücumları simulyasiya edərək test edin - yəni eyni fişinq, icra olunan sənədlərin göndərilməsi, zənglər və digər üsullar.
Birinci halda, hücum müştərinin nümayəndələri, əsasən onun İT və informasiya təhlükəsizliyi üzrə mütəxəssisləri ilə birlikdə diqqətlə hazırlanır. Əfsanələr, alətlər və hücum üsulları ardıcıldır. Müştərinin özü fokus qrupları və bütün lazımi əlaqələri özündə birləşdirən hücum üçün istifadəçilərin siyahısını təqdim edir. Təhlükəsizlik tədbirləri ilə bağlı istisnalar yaradılır, çünki mesajlar və icra olunan yüklər alıcıya çatmalıdır, çünki belə bir layihədə yalnız insanların reaksiyaları maraq doğurur. İsteğe bağlı olaraq, istifadəçinin bunun bir hücum olduğunu təxmin edə biləcəyi markerləri hücuma daxil edə bilərsiniz - məsələn, mesajlarda bir neçə orfoqrafik səhv edə bilərsiniz və ya korporativ üslubun surətini çıxarmaqda qeyri-dəqiqliklər buraxa bilərsiniz. Layihənin sonunda eyni “quru statistika” əldə edilir: hansı fokus qruplar ssenarilərə və nə dərəcədə cavab verdilər.
İkinci halda, hücum “qara qutu” metodundan istifadə edərək sıfır ilkin biliklə həyata keçirilir. Biz müstəqil olaraq şirkət, onun işçiləri, şəbəkə perimetri haqqında məlumat toplayır, hücum əfsanələri yaradır, metodlar seçir, hədəf şirkətdə istifadə olunan mümkün təhlükəsizlik tədbirlərini axtarır, alətləri uyğunlaşdırır və ssenarilər yaradırıq. Mütəxəssislərimiz həm klassik açıq mənbə kəşfiyyatı (OSINT) üsullarından, həm də Group-IB-nin öz məhsulundan - Təhdid Kəşfiyyatından istifadə edirlər ki, bu sistem fişinqə hazırlaşarkən uzun müddət ərzində şirkət haqqında məlumatların, o cümlədən məxfi məlumatların toplayıcısı kimi çıxış edə bilər. Təbii ki, hücumun xoşagəlməz sürprizə çevrilməməsi üçün onun təfərrüatları da müştəri ilə razılaşdırılır. Bu, tam hüquqlu bir nüfuz testi olduğu ortaya çıxdı, lakin qabaqcıl sosial mühəndisliyə əsaslanacaq. Bu vəziyyətdə məntiqi seçim daxili sistemlərdə ən yüksək hüquqların əldə edilməsinə qədər şəbəkə daxilində bir hücum hazırlamaqdır. Yeri gəlmişkən, oxşar şəkildə biz də sosial-texniki hücumlardan istifadə edirik , və bəzi nüfuz testlərində. Nəticədə, müştəri müəyyən növ sosial-texniki hücumlara qarşı təhlükəsizliyinə dair müstəqil hərtərəfli təsəvvür əldə edəcək, həmçinin xarici təhlükələrə qarşı qurulmuş müdafiə xəttinin effektivliyinin (və ya əksinə, səmərəsizliyinin) nümayişi olacaq.
Bu təlimi ildə ən azı iki dəfə keçirməyi tövsiyə edirik. Birincisi, istənilən şirkətdə kadr dəyişikliyi olur və əvvəlki təcrübə işçilər tərəfindən tədricən unudulur. İkincisi, hücumların üsul və üsulları daim dəyişir və bu, təhlükəsizlik proseslərinin və qorunma vasitələrinin uyğunlaşdırılması zərurətinə səbəb olur.
Hücumlardan qorunmaq üçün texniki tədbirlərdən danışsaq, aşağıdakılar ən çox kömək edir:
- İnternetdə dərc edilən xidmətlərdə məcburi iki faktorlu autentifikasiyanın olması. Bu cür xidmətləri 2019-cu ildə Tək Giriş sistemləri olmadan, parol kobud gücdən qorunmadan və bir neçə yüz nəfərdən ibarət şirkətdə iki faktorlu autentifikasiya olmadan buraxmaq “məni sındırmaq” üçün açıq çağırışa bərabərdir. Düzgün həyata keçirilən mühafizə oğurlanmış parolların tez istifadəsini qeyri-mümkün edəcək və fişinq hücumunun nəticələrini aradan qaldırmaq üçün vaxt verəcək.
- Giriş nəzarətinə nəzarət, sistemlərdə istifadəçi hüquqlarını minimuma endirmək və hər bir əsas istehsalçı tərəfindən buraxılan təhlükəsiz məhsul konfiqurasiyası üçün təlimatlara əməl etmək. Bunlar çox vaxt təbiətcə sadədir, lakin çox təsirli və həyata keçirilməsi çətin olan tədbirlərdir ki, hər kəs bu və ya digər dərəcədə sürət naminə etinasızlıq göstərir. Bəziləri isə o qədər zəruridir ki, onlarsız heç bir qoruyucu vasitə xilas etməyəcək.
- Yaxşı qurulmuş e-poçt filtrləmə xətti. Antispam, zərərli kod üçün əlavələrin ümumi skan edilməsi, o cümlədən qum qutuları vasitəsilə dinamik sınaq. Yaxşı hazırlanmış hücum, icra edilə bilən əlavənin antivirus alətləri tərəfindən aşkar edilməyəcəyi deməkdir. Sandbox, əksinə, faylları bir insanın istifadə etdiyi kimi istifadə edərək, hər şeyi özü üçün sınayacaq. Nəticədə, mümkün zərərli komponent qum qutusu daxilində edilən dəyişikliklərlə aşkar ediləcək.
- Məqsədli hücumlardan qorunma vasitələri. Artıq qeyd edildiyi kimi, klassik antivirus alətləri yaxşı hazırlanmış hücum zamanı zərərli faylları aşkar etməyəcək. Ən qabaqcıl məhsullar avtomatik olaraq şəbəkədə baş verən hadisələrin cəminə nəzarət etməlidir - həm fərdi host səviyyəsində, həm də şəbəkə daxilində trafik səviyyəsində. Hücumlar vəziyyətində, bu cür hadisələrə diqqət yetirsəniz, izlənilə və dayandırıla bilən çox xarakterik hadisələr zəncirləri görünür.
Orijinal məqalə “İnformasiya Təhlükəsizliyi/ İnformasiya Təhlükəsizliyi” jurnalında №6, 2019-cu il.
Mənbə: www.habr.com