Уявіце сабе такую сітуацыю. Халодная кастрычніцкая раніца, праектны інстытут у абласным цэнтры аднаго з рэгіёнаў Расіі. Хтосьці з аддзела кадраў заходзіць на адну са старонак вакансій на сайце інстытута, размешчаную пару дзён таму, і бачыць там фатаграфію ката. Раніца хутка перастае быць сумным…
У гэтым артыкуле Павел Супрунюк, тэхнічны кіраўнік дэпартамента аўдыту і кансалтынгу Group-IB, распавядае пра тое, якое месца займаюць сацыятэхнічныя напады ў праектах па адзнацы практычнай абароненасці, якія незвычайныя формы яны могуць набываць, а таксама пра тое, як абараніцца ад такіх нападаў. Аўтар удакладняе, што артыкул носіць аглядны характар, аднак, калі нейкі аспект зацікавіць чытачоў, эксперты Group-IB ахвотна адкажуць на пытанні ў каментарах.
Частка 1. Why so serious?
Вернемся да нашага кату. Праз некаторы час аддзел кадраў выдаляе фота (здымкі экрана тут і далей часткова зарэтушаваць, каб не раскрываць рэальныя імёны), але яно ўпарта вяртаецца, яго зноў выдаляюць, і так адбываецца яшчэ некалькі разоў. У аддзеле кадраў разумеюць, што намеры ў ката самыя сур'ёзныя, сыходзіць ён не хоча, і заклікаюць на дапамогу вэб-праграміста - чалавека, які рабіў сайт і разбіраецца ў ім, а цяпер яго адмініструе. Праграміст заходзіць на сайт, яшчэ раз выдаляе надакучлівага ката, выяўляе, што яго размясцілі ад імя самога аддзела кадраў, затым робіць здагадку, што пароль аддзела кадраў уцёк да нейкіх сеткавых хуліганаў, і змяняе яго. Кот больш не з'яўляецца.
Што адбылося насамрэч? У стаўленні групы кампаній, куды ўваходзіў інстытут, адмыслоўцы Group-IB праводзілі тэставанне на пранікненне ў фармаце блізкім да Red Teaming (прасцей кажучы, гэта імітацыя мэтавых нападаў на вашу кампанію з выкарыстаннем самых прасунутых метадаў і прылад з арсенала хакерскіх груповак). Мы падрабязна расказвалі пра Red Teaming . Важна ведаць, што пры правядзенні такога тэсту можа прымяняцца вельмі шырокі спектр нападаў з загадзя ўзгодненых, у тым ліку сацыяльная інжынерыя. Зразумела, што само размяшчэнне ката не было канчатковай мэтай таго, што адбываецца. А было наступнае:
- вэб-сайт інстытута быў размешчаны на серверы ў самой сетцы інстытута, а не на іншых серверах;
- знойдзена ўцечка ўліковага запісу аддзела кадраў (файл часопіса лістоў у корані сайта). Адміністраваць сайт з гэтым уліковым запісам было нельга, але можна было рэдагаваць старонкі вакансій;
- змяняючы старонкі, можна было размясціць свае скрыпты на мове JavaScript. Звычайна яны робяць старонкі інтэрактыўнымі, але ў дадзенай сітуацыі гэтымі ж скрыптамі можна было выкрасці з браўзэра наведвальніка тое, што адрознівала аддзел кадраў ад праграміста, а праграміста ад простага наведвальніка - ідэнтыфікатар сесіі на сайце. Кот быў трыгерам нападу і карцінкай для прыцягнення ўвагі. На мове разметкі сайтаў HTML гэта выглядала так: калі ў вас загрузілася малюнак, JavaScript ужо выканаўся і ваш ідэнтыфікатар сесіі разам з дадзенымі аб вашым браўзэры і IP-адрасе ўжо быў выкрадзены.
- З выкрадзеным ідэнтыфікатарам сесіі адміністратара можна было б атрымаць поўны доступ да сайта, размяшчаць выконваемыя старонкі на мове PHP, а значыць, атрымаць вынахад у аперацыйную сістэму сервера, а затым ужо і ў саму лакальную сетку, што і было важнай прамежкавай мэтай праекту.
Атака скончылася частковым поспехам - ідэнтыфікатар сесіі адміністратара быў выкрадзены, але ён быў прывязаны да IP-адрасу. Абысці гэта не ўдалося, мы не змаглі павысіць прывілеі на сайце да адміністратарскіх, затое павысілі сабе настрой. Канчатковы вынік у выніку атрымалі на іншым участку сеткавага перыметра.
Частка 2. Я да вас пішу - чаго ж больш? А яшчэ тэлефаную і топчуся ў вас у офісе, губляючы флэшкі
Тое, што адбылося ў сітуацыі з катом - прыклад сацыяльнай інжынерыі, хай і не зусім класічнай. Насамрэч у гэтай гісторыі падзей было больш: быў і кот, і інстытут, і аддзел кадраў, і праграміст, але былі яшчэ і электронныя лісты з удакладняючымі пытаннямі, якія пісалі нібыта «кандыдаты» ў сам аддзел кадраў і асабіста праграмісту, каб справакаваць іх зайсці на старонку сайта.
Дарэчы аб лістах. Звычайны email - мусіць, асноўны транспарт для правядзення сацыяльнай інжынерыі - не губляе сваёй актуальнасці ўжо пару дзясяткаў гадоў і часам прыводзіць да самых незвычайных наступстваў.
Наступную гісторыю мы часта расказваем на нашых мерапрыемствах, бо яна вельмі паказальная.
Звычайна па выніках праектаў з сацыяльнай інжынерыяй мы складаем статыстыку, якая, як вядома, рэч сухая і сумная. Столькі працэнтаў атрымальнікаў адкрыла ўкладанне з ліста, столькі перайшло па спасылцы, а вось гэтыя трое наогул увялі свае лагін і пароль. У адным праекце мы атрымалі больш за 100% уводу пароляў - гэта значыць выйшла больш, чым разаслалі.
Адбылося гэта так: адпраўляўся фішынгавы ліст, нібы ад CISO дзяржкарпарацыі, з патрабаваннем "тэрмінова пратэставаць змены ў паштовым сэрвісе". Ліст патрапіў на кіраўніка буйнога падраздзялення, якое займалася тэхпадтрымкай. Кіраўнік быў вельмі старанны ў выкананні даручэнняў ад высокага начальства і пераслаў яго ўсім падначаленым. Сам кол-цэнтр аказаўся даволі вялікім. У цэлым, сітуацыі, калі хтосьці перасылае "цікавыя" фішынгавыя лісты сваім калегам і тыя таксама трапляюцца - даволі частая з'ява. Для нас гэта найлепшая зваротная сувязь па якасці складання ліста.
Крыху пазней нас раскусілі (ліст зняты ў скампраметаванай паштовай скрыні):
Такі поспех нападу быў выкліканы тым, што пры рассыланні выкарыстоўваўся шэраг тэхнічных недахопаў паштовай сістэмы кліента. Яна была настроена такім чынам, што можна было дасылаць любыя лісты ад імя любога адпраўніка самой арганізацыі без аўтарызацыі, нават з інтэрнэту. Гэта значыць можна было прыкінуцца CISO, ці начальнікам тэхпадтрымкі, ці яшчэ кім-небудзь. Больш за тое, паштовы інтэрфейс, назіраючы лісты са «свайго» дамена, клапатліва падстаўляў фатаграфію з адраснай кнігі, што дадавала натуральнасці адпраўніку.
Па праўдзе, такі напад не ставіцца да асоба складаных тэхналогій, гэта ўдалая эксплуатацыя зусім базавай недахопу налады пошты. Яна рэгулярна разбіраецца на профільных ІТ-і ИБ-рэсурсах, але тым не менш да гэтага часу сустракаюцца кампаніі, у якіх усё гэта прысутнічае. Так як ніхто не схільны дасканала правяраць службовыя загалоўкі паштовага пратаколу SMTP, ліст звычайна правяраецца на "небяспеку" па папераджальных значках інтэрфейсу пошты, якія не заўсёды адлюстроўваюць усю карціну.
Цікава, што падобная ўразлівасць працуе і ў іншым кірунку: зламыснік можа адправіць ліст ад імя вашай кампаніі іншаму атрымальніку. Напрыклад, ён можа падрабіць рахунак на рэгулярную аплату ад вашага імя, паказаўшы замест вашых рэквізітаў іншыя. Калі не разглядаць пытанні антыфроду і наяўных сродкаў, гэта, верагодна, адзін з самых простых спосабаў крадзяжу грошай пры дапамозе сацыяльнай інжынерыі.
Апроч выкрадання пароляў праз фішынг, класікай сацыятэхнічных нападаў з'яўляецца рассыланне выкананых укладанняў. Калі гэтыя ўкладанні пераадолеюць усе сродкі абароны, якіх у сучасных кампаній звычайна шмат, утворыцца канал выдаленага доступу на кампутар ахвяры. Для дэманстрацыі наступстваў нападу атрыманае выдаленае кіраванне можна развіваць аж да доступу да асоба важнай канфідэнцыйнай інфармацыі. Характэрна, што пераважная большасць нападаў, якімі ўсіх палохаюць СМІ, менавіта так і пачынаюцца.
У нашым аддзеле аўдыту мы дзеля цікавасці лічым прыблізную статыстыку: якая сумарная кошт актываў кампаній, да якіх намі быў атрыманы доступ ўзроўню "Адміністратар дамена" у асноўным за кошт фішынгу і рассылання выкананых укладанняў? У гэтым годзе яна дасягнула прыблізна 150 млрд еўра.
Зразумела, што рассыланне правакацыйных электронных лістоў і размяшчэнне фатаграфій катоў на сайтах – не адзіныя спосабы сацыяльнай інжынерыі. У гэтых прыкладах мы спрабавалі паказаць разнастайнасць формаў нападу і іх наступстваў. Акрамя лістоў, патэнцыйны атакавалы можа тэлефанаваць для атрымання патрэбнай інфармацыі, раскідваць носьбіты (напрыклад, флэшкі) з выкананымі файламі ў офісе мэтавай кампаніі, уладкоўвацца на працу як стажор, атрымліваць фізічны доступ да лакальнай сеткі пад выглядам мантажніка камер відэаназірання. Усё гэта, дарэчы, - прыклады з нашых паспяхова завершаных праектаў.
Частка 3. Вучэнне - святло, а вучоных - цемра
Узнікае слушнае пытанне: ну добра, ёсць сацыяльная інжынерыя, выглядае небяспечна, а што з усім гэтым рабіць кампаніям? На дапамогу спяшаецца Капітан Відавочна: трэба абараняцца, прычым комплексна. Некаторая частка абароны будзе накіравана на меры бяспекі, якія ўжо сталі класічнымі, такія як тэхнічныя сродкі абароны інфармацыі, маніторынг, арганізацыйна-прававое забеспячэнне працэсаў, але асноўная частка, на наш погляд, павінна накіроўвацца на непасрэдную працу з супрацоўнікамі як з самым слабым звяном. Бо колькі ні ўмацоўвай тэхніку, ні пішы суровыя рэгламенты, заўсёды знойдзецца карыстач, які адкрые новы спосаб усё зламаць. Прычым ні рэгламенты, ні тэхніка не будуць паспяваць за палётам крэатыўнасці карыстальніка, асабліва калі яму падказвае кваліфікаваны зламыснік.
У першую чаргу, важна навучыць карыстальніка: растлумачыць, што нават у яго руціннай працы могуць узнікнуць сітуацыі, звязаныя з сацыяльнай інжынерыяй. Для нашых кліентаў мы часта праводзім па лічбавай гігіене - мерапрыемства, якое навучае базавым навыкам супрацьдзеяння нападам у цэлым.
Магу дадаць, што адной з лепшых мер абароны будзе зусім не завучванне правілаў інфармацыйнай бяспекі, а крыху адхіленая ацэнка сітуацыі:
- Хто мой суразмоўца?
- Адкуль узніклі яго прапанову ці просьба (ніколі такога не было, і вось з'явілася)?
- Што незвычайнага ў гэтым запыце?
Нават незвычайны тып шрыфта ліста або неўласцівы адпраўніку стыль гаворкі могуць запусціць ланцужок сумневаў, якая спыніць напад. Прапісаныя інструкцыі таксама патрэбны, але яны працуюць па-іншаму, пры гэтым не могуць канкрэтызаваць усе магчымыя сітуацыі. Напрыклад, адміністратары ИБ пішуць у іх, што нельга ўводзіць свой пароль на іншых рэсурсах. А калі пароль просіць "свой", "карпаратыўны" сеткавы рэсурс? Карыстальнік думае: «У нашай кампаніі і так ёсць два дзясяткі сэрвісаў з адзіным уліковым запісам, чаму б не з'явіцца яшчэ аднаму?» Адгэтуль выцякае яшчэ адно правіла: добра выбудаваны працоўны працэс таксама прама ўплывае на бяспеку: калі суседні аддзел можа запытаць у вас інфармацыю толькі пісьмова і толькі праз вашага кіраўніка, чалавек "ад даверанага партнёра кампаніі" пагатоў не зможа яе запытаць па тэлефоне – для вас гэта будзе нонсэнс. Асабліва варта насцярожыцца, калі ваш суразмоўца патрабуе ўсё зрабіць прама зараз, ці "ASAP", як модна пісаць. Нават у звычайнай працы такая сітуацыя часта не з'яўляецца здаровай, а ва ўмовах магчымых нападаў - гэта моцны трыгер. Няма часу тлумачыць, запускай мой файл!
Мы заўважаем, што на карыстальнікаў у якасці легенд для сацыятэхнічнага нападу заўсёды дзейнічаюць тэмы, звязаныя з грашыма ў той ці іншай форме: абяцанне павышэнняў, прэферэнцый, падарункаў, а таксама інфармацыя з нібыта мясцовымі плёткамі і інтрыгамі. Інакш кажучы, працуюць банальныя «смяротныя грахі»: смага нажывы, сквапнасць і залішняя цікаўнасць.
Добрае навучанне заўсёды павінна ўключаць практыку. Тут на дапамогу могуць прыйсці спецыялісты па тэсціраванні на пранікненне. Наступнае пытанне: а што і як мы будзем тэсціраваць? Мы ў Group-IB прапануем наступны падыход - адразу выбраць фокус тэставання: альбо ацэньваць гатоўнасць да нападаў толькі саміх карыстальнікаў, альбо ж правяраць абароненасць кампаніі ў цэлым. А тэставаць метадамі сацыяльнай інжынерыі, імітуючы рэальныя напады - гэта значыць тымі ж самымі фішынгам, рассыланнем выкананых дакументаў, званкамі і іншымі тэхнікамі.
У першым выпадку напад старанна рыхтуецца сумесна з прадстаўнікамі замоўца, у асноўным з яго ІТ-і ИБ-адмыслоўцамі. Узгадняюцца легенды, інструменты і тэхнікі нападаў. Заказчык сам дае фокус-групы і спісы карыстальнікаў для нападу, якія ўключаюць усе патрэбныя кантакты. Ствараюцца выключэнні на сродках абароны, бо паведамленні і выкананыя нагрузкі абавязкова павінны дайсці да атрымальніка, бо ў такім праекце цікавасць уяўляе толькі рэакцыя людзей. Апцыянальна можна закласці ў напад маркеры, па якіх карыстач можа здагадацца аб тым, што гэта і ёсць напад - напрыклад, можна зрабіць пару арфаграфічных памылак у паведамленнях альбо пакінуць недакладнасці ў капіяванні фірмовага стылю. Па заканчэнні праекта атрымліваецца тая самая "сухая статыстыка": якія фокус-групы і ў якім аб'ёме зрэагавалі на сцэнары.
У другім выпадку – атака праводзіцца з нулявымі зыходнымі ведамі, метадам «чорнай скрыні». Мы самастойна збіраем інфармацыю аб кампаніі, яе супрацоўніках, сеткавым перыметры, фармуем легенды для нападу, выбіраемы метады, шукаем магчымыя якія ўжываюцца ў мэтавай кампаніі сродкі абароны, адаптуем прылады, складаем сцэнары. Нашы спецыялісты выкарыстоўваюць як класічныя метады разведкі па адкрытых крыніцах (OSINT), так і прадукт уласнай распрацоўкі Group-IB – Threat Intelligence, сістэму, якая пры падрыхтоўцы да фішынгу можа выступаць агрэгатарам інфармацыі аб кампаніі за працяглы перыяд, выкарыстоўваючы ў тым ліку і закрытую інфармацыю. . Зразумела, каб атака не стала непрыемным сюрпрызам, яе дэталі таксама стасуюцца з замоўцам. Атрымліваецца паўнацэнны тэст на пранікненне, але ў яго аснове будзе прасунутая сацыяльная інжынерыя. Лагічная опцыя ў такім выпадку - развіццё нападу ўнутры сеткі, аж да атрымання найвышэйшых правоў ва ўнутраных сістэмах. Дарэчы, падобнай выявай мы ўжываем сацыятэхнічныя напады і ў , і ў некаторых тэстах на пранікненне. У выніку заказчык атрымае незалежнае комплекснае бачанне сваёй абароненасці ад вызначанага выгляду сацыятэхнічных нападаў, а таксама дэманстрацыю эфектыўнасці (ці наадварот, неэфектыўнасці) выбудаванай лініі абароны ад вонкавых пагроз.
Мы рэкамендуем праводзіць такое навучанне не радзей як два разы на год. Па-першае, у любой кампаніі ёсць цякучка кадраў і папярэдні досвед паступова забываецца супрацоўнікамі. Па-другое, увесь час змяняюцца спосабы і тэхнікі нападаў і гэта прыводзіць да неабходнасці адаптацыі працэсаў бяспекі і сродкаў абароны.
Калі ж казаць пра тэхнічныя меры абароны ад нападаў, то ў найвялікай ступені дапамагаюць наступныя:
- Наяўнасць абавязковай двухфактарнай аўтэнтыфікацыі на сэрвісах, якія апублікаваны ў інтэрнэце. Выпускаць у 2019 годзе такія сэрвісы без сістэм Single Sign On, без абароны ад перабору пароляў і без двухфактарнай аўтэнтыфікацыі ў кампаніі памерам ад некалькіх сотняў чалавек раўнасільна адкрытаму закліку "зламай мяне". Правільна ўкаранёная абарона зробіць хуткае ўжыванне выкрадзеных пароляў немагчымым і дасць час на ўхіленне наступстваў фішынгавай атакі.
- Кантроль размежавання доступу, мінімізацыя правоў карыстальнікаў у сістэмах і захаванне кіраўніцтваў па бяспечнай наладзе прадуктаў, якія выпускае кожны буйны вытворца. Гэта часта простыя па сваёй сутнасці, але вельмі эфектыўныя і складаныя ў практычнай рэалізацыі меры, якімі ўсе ў той ці іншай ступені грэбуюць дзеля хуткасці працы. А некаторыя настолькі неабходны, што без іх ніводны сродак абароны не выратуе.
- Добра выбудаваная лінія фільтрацыі электроннай пошты. Антыспам, татальная праверка укладанняў на наяўнасць шкоднаснага кода, у тым ліку дынамічнае тэсціраванне праз пясочніцы. Добра падрыхтаваная атака мае на ўвазе, што выкананае ўкладанне не будзе дэтэктавацца антывіруснымі сродкамі. Пясочніца ж, наадварот, праверыць усё на сабе, выкарыстоўваючы файлы гэтак жа, як іх выкарыстоўвае чалавек. У выніку магчымы шкоднасны складнік будзе раскрыта па змяненнях унутры пясочніцы.
- Сродкі абароны ад мэтанакіраваных нападаў. Як ужо адзначалася, класічныя антывірусныя сродкі не будуць дэтэктаваць шкоднасныя файлы пры добра падрыхтаваным нападзе. Найбольш прасунутыя прадукты павінны аўтаматычна адсочваць сукупнасць падзей, якія адбываюцца ў сетцы - як на ўзроўні асобнага хаста, так і на ўзроўні трафіку ўнутры сеткі. У выпадку нападаў выяўляюцца вельмі характэрныя ланцужкі падзей, якія можна адсачыць і спыніць, калі мець сфакусаваны на падзеі такога кшталту маніторынг.
арыгінал артыкула у часопісе «Information Security/ Інфармацыйная бяспека» #6, 2019.
Крыніца: habr.com