Hunahunaa kini nga sitwasyon. Bugnaw nga buntag sa Oktubre, design institute sa rehiyonal nga sentro sa usa sa mga rehiyon sa Russia. Usa ka tawo gikan sa departamento sa HR miadto sa usa sa mga pahina sa bakante sa website sa institute, gi-post pipila ka adlaw ang milabay, ug nakakita og litrato sa usa ka iring didto. Ang kabuntagon dali nga mihunong sa pagkalaay ...
Niini nga artikulo, si Pavel Suprunyuk, teknikal nga pinuno sa departamento sa pag-audit ug pagkonsulta sa Group-IB, naghisgot bahin sa lugar sa mga pag-atake sa sociotechnical sa mga proyekto nga nagtimbang-timbang sa praktikal nga seguridad, unsa nga dili kasagaran nga mga porma ang mahimo nila, ug kung giunsa ang pagpanalipod batok sa ingon nga mga pag-atake. Giklaro sa tagsulat nga ang artikulo usa ka kinaiya sa pagrepaso, bisan pa, kung adunay bisan unsang aspeto nga makapainteres sa mga magbabasa, ang mga eksperto sa Group-IB dali nga motubag sa mga pangutana sa mga komento.
Part 1. Nganong seryoso kaayo?
Balik ta sa atong iring. Pagkahuman sa pila ka oras, gitangtang sa departamento sa HR ang litrato (ang mga screenshot dinhi ug sa ubos kay partially retouched aron dili ibutyag ang tinuod nga mga ngalan), apan kini gahi nga mibalik, kini gitangtang pag-usab, ug kini mahitabo sa daghang mga higayon. Ang departamento sa HR nakasabut nga ang iring adunay labing seryoso nga mga katuyoan, dili niya gusto nga mobiya, ug nanawagan sila alang sa tabang gikan sa usa ka web programmer - usa ka tawo nga naghimo sa site ug nakasabut niini, ug karon nagdumala niini. Ang programmer moadto sa site, sa makausa pa nagtangtang sa makalagot nga iring, nahibal-an nga kini gi-post sa ngalan sa departamento sa HR mismo, dayon naghimo sa pangagpas nga ang password sa departamento sa HR na-leak sa pipila ka mga online hooligans, ug giusab kini. Ang iring dili na magpakita pag-usab.
Unsa man gyud ang nahitabo? Kalabot sa grupo sa mga kompanya nga naglakip sa institute, ang mga espesyalista sa Group-IB nagpahigayon ug penetration testing sa usa ka format nga duol sa Red Teaming (sa laing pagkasulti, kini usa ka pagsundog sa gipunting nga mga pag-atake sa imong kompanya gamit ang labing abante nga mga pamaagi ug mga himan gikan sa arsenal sa mga grupo sa hacker). Naghisgot kami sa detalye bahin sa Red Teaming . Mahinungdanon nga mahibal-an nga kung magpahigayon sa ingon nga pagsulay, usa ka halapad kaayo nga mga pag-atake nga giuyonan nang daan ang magamit, lakip ang social engineering. Klaro nga ang pagbutang sa iring mismo dili ang katapusang katuyoan sa nahitabo. Ug dihay mosunod:
- ang website sa institute gi-host sa server sa sulod mismo sa network sa institute, ug dili sa mga third-party server;
- Nakit-an ang usa ka leak sa HR department account (ang email log file naa sa gamut sa site). Imposible nga madumala ang site gamit kini nga account, apan posible ang pag-edit sa mga panid sa trabaho;
- Pinaagi sa pagbag-o sa mga panid, mahimo nimong ibutang ang imong mga script sa JavaScript. Kasagaran naghimo sila nga mga panid nga interactive, apan sa kini nga sitwasyon, ang parehas nga mga script mahimong mangawat gikan sa browser sa bisita kung unsa ang nagpalahi sa departamento sa HR gikan sa programmer, ug ang programmer gikan sa usa ka yano nga bisita - ang tig-ila sa sesyon sa site. Ang iring usa ka tigpasiugda sa pag-atake ug usa ka hulagway aron madani ang atensyon. Sa HTML nga website nga markup language, kini tan-awon: kung ang imong imahe na-load na, ang JavaScript na-execute na ug ang imong session ID, uban ang data bahin sa imong browser ug IP address, gikawat na.
- Uban sa usa ka gikawat nga administrator session ID, kini mahimong posible nga makakuha og bug-os nga access sa site, host executable mga panid sa PHP, ug busa makaangkon og access sa server operating system, ug unya ngadto sa lokal nga network sa iyang kaugalingon, nga mao ang usa ka importante nga intermediate tumong sa ang proyekto.
Ang pag-atake partially malampuson: ang session ID sa tagdumala gikawat, apan kini gihigot sa usa ka IP address. Dili namo kini mahimo; dili namo mapataas ang among mga pribilehiyo sa site ngadto sa mga pribilehiyo sa tigdumala, apan among gipauswag ang among pagbati. Ang katapusan nga resulta sa katapusan nakuha sa laing seksyon sa network perimeter.
Part 2. Nagsulat ko nimo - unsa pa? Nagtawag man ko ug nag-istambay sa imong opisina, naghulog sa mga flash drive.
Ang nahitabo sa sitwasyon sa iring usa ka pananglitan sa social engineering, bisan dili kaayo klasikal. Sa tinuud, adunay daghang mga panghitabo sa kini nga istorya: adunay usa ka iring, ug usa ka institute, ug usa ka departamento sa personahe, ug usa ka programmer, apan adunay usab mga email nga adunay mga pangutana nga nagpatin-aw nga giingon nga "mga kandidato" nagsulat sa departamento sa mga personahe mismo ug personal. ngadto sa programmer aron sa paghagit kanila sa pag-adto sa panid sa site.
Naghisgot bahin sa mga sulat. Ordinaryo nga email, tingali ang nag-unang sakyanan alang sa pagpatuman sa sosyal nga engineering, wala mawad-an sa iyang kalabutan alang sa usa ka magtiayon nga sa mga dekada ug usahay modala ngadto sa labing talagsaon nga mga sangputanan.
Kanunay namong isulti ang mosunod nga istorya sa among mga panghitabo, tungod kay kini nagpadayag kaayo.
Kasagaran, base sa mga resulta sa mga proyekto sa social engineering, nag-compile kami sa mga estadistika, nga, ingon sa nahibal-an namon, usa ka uga ug makalaay nga butang. Daghang porsyento sa mga nakadawat ang nagbukas sa attachment gikan sa sulat, daghan kaayo ang misunod sa link, apan kining tulo nakasulod gyud sa ilang username ug password. Sa usa ka proyekto, nakadawat kami labaw sa 100% sa mga password nga gisulod - nga mao, mas daghan ang migawas kaysa among gipadala.
Nahitabo kini sama niini: gipadala ang usa ka sulat sa phishing, nga gikan kuno sa CISO sa usa ka korporasyon sa estado, nga adunay usa ka hangyo nga "dinalian nga sulayan ang mga pagbag-o sa serbisyo sa koreo." Ang sulat nakaabot sa ulo sa usa ka dako nga departamento nga naghisgot sa teknikal nga suporta. Ang manedyer kugihan kaayo sa pagtuman sa mga instruksiyon gikan sa taas nga awtoridad ug gipasa kini ngadto sa tanang sakop. Ang call center mismo nahimong dako. Sa kinatibuk-an, ang mga sitwasyon diin ang usa ka tawo nagpasa sa "makapaikag" nga mga email sa phishing sa ilang mga kauban ug sila usab nadakpan usa ka kasagaran nga panghitabo. Alang kanamo, kini ang labing kaayo nga feedback sa kalidad sa pagsulat sa usa ka sulat.
Sa wala madugay nahibal-an nila ang bahin kanamo (ang sulat gikuha sa usa ka nakompromiso nga mailbox):
Ang kalampusan sa pag-atake tungod sa kamatuoran nga ang pagpadala nagpahimulos sa daghang mga kakulangan sa teknikal sa sistema sa koreo sa kliyente. Gi-configure kini sa paagi nga posible nga magpadala bisan unsang mga sulat alang sa bisan kinsa nga nagpadala sa organisasyon mismo nga wala’y pagtugot, bisan gikan sa Internet. Kana mao, mahimo kang magpakaaron-ingnon nga usa ka CISO, o ang pangulo sa teknikal nga suporta, o uban pa. Dugang pa, ang interface sa mail, nga nag-obserbar sa mga sulat gikan sa "iya" nga domain, mabinantayon nga gisal-ot ang usa ka litrato gikan sa address book, nga nagdugang naturalidad sa nagpadala.
Sa tinuud, ang ingon nga pag-atake dili usa ka labi ka komplikado nga teknolohiya; kini usa ka malampuson nga pagpahimulos sa usa ka sukaranan nga sayup sa mga setting sa mail. Kanunay kini nga gisusi sa espesyal nga IT ug mga kapanguhaan sa seguridad sa kasayuran, apan bisan pa niana, adunay mga kompanya nga adunay tanan niini nga karon. Tungod kay walay usa nga hilig sa hingpit nga pagsusi sa mga header sa serbisyo sa SMTP mail protocol, ang usa ka sulat kasagaran nga gisusi alang sa "peligro" gamit ang mga icon sa pasidaan sa mail interface, nga dili kanunay magpakita sa tibuok nga hulagway.
Makapainteres, ang usa ka susama nga kahuyangan nagtrabaho usab sa lain nga direksyon: ang usa ka tig-atake mahimong magpadala usa ka email alang sa imong kompanya sa usa ka tigdawat sa ikatulo nga partido. Pananglitan, mahimo niyang palsipikado ang usa ka invoice alang sa regular nga pagbayad alang kanimo, nga nagpaila sa ubang mga detalye imbes sa imo. Gawas sa mga isyu sa anti-fraud ug cash-out, tingali kini usa sa labing kadali nga paagi aron mangawat salapi pinaagi sa social engineering.
Dugang sa pagpangawat sa mga password pinaagi sa phishing, usa ka klasiko nga sociotechnical nga pag-atake mao ang pagpadala sa mga executable attachment. Kung kini nga mga pamuhunan makabuntog sa tanan nga mga lakang sa seguridad, diin ang mga modernong kompanya kasagaran adunay daghan, usa ka hilit nga agianan sa pag-access ang himuon sa kompyuter sa biktima. Aron ipakita ang mga sangputanan sa pag-atake, ang resulta nga remote control mahimong maugmad aron ma-access ang labi ka hinungdanon nga kompidensyal nga kasayuran. Mamatikdan nga ang kadaghanan sa mga pag-atake nga gigamit sa media aron mahadlok ang tanan nagsugod nga sama niini.
Sa among departamento sa pag-audit, alang sa kalingawan, among gikalkula ang gibanabana nga estadistika: unsa ang kinatibuk-ang kantidad sa mga kabtangan sa mga kompanya diin nakuha namon ang pag-access sa Domain Administrator, labi na pinaagi sa phishing ug pagpadala mga executable attachment? Karong tuiga miabot kini sa gibana-bana nga 150 bilyon nga euro.
Klaro nga ang pagpadala sa mga makapukaw nga email ug pag-post sa mga litrato sa mga iring sa mga website dili lamang ang mga pamaagi sa social engineering. Niini nga mga pananglitan gisulayan namon nga ipakita ang lainlaing mga porma sa pag-atake ug ang mga sangputanan niini. Dugang pa sa mga sulat, ang usa ka potensyal nga tig-atake mahimong makatawag aron makuha ang kinahanglan nga kasayuran, isabwag ang media (pananglitan, mga flash drive) nga adunay mga executable nga file sa opisina sa target nga kompanya, makakuha usa ka trabaho ingon usa ka intern, makakuha pisikal nga pag-access sa lokal nga network. ubos sa takos sa usa ka CCTV camera installer. Kining tanan, sa ato pa, mga ehemplo gikan sa among malampusong nahuman nga mga proyekto.
Bahin 3. Ang pagtudlo kahayag, apan ang walay kahibalo mao ang kangitngit
Usa ka makatarunganon nga pangutana ang mitungha: maayo, okay, adunay social engineering, kini tan-awon nga peligro, apan unsa ang kinahanglan buhaton sa mga kompanya bahin niining tanan? Si Kapitan Obvious moabut aron sa pagluwas: kinahanglan nimo nga panalipdan ang imong kaugalingon, ug sa usa ka komprehensibo nga paagi. Ang pipila ka bahin sa pagpanalipod gitumong sa na klasiko nga mga lakang sa seguridad, sama sa teknikal nga paagi sa pagpanalipod sa kasayuran, pag-monitor, organisasyonal ug ligal nga suporta sa mga proseso, apan ang panguna nga bahin, sa among opinyon, kinahanglan nga idirekta sa pagdumala sa trabaho sa mga empleyado ingon ang pinakahuyang nga sumpay. Human sa tanan, bisan unsa pa nimo pagpalig-on ang teknolohiya o pagsulat sa mapintas nga mga regulasyon, adunay kanunay nga usa ka tiggamit nga makadiskobre og bag-ong paagi sa pagbungkag sa tanan. Dugang pa, ang mga regulasyon o teknolohiya dili mopadayon sa paglupad sa pagkamamugnaon sa tiggamit, labi na kung giaghat siya sa usa ka kwalipikado nga tig-atake.
Una sa tanan, importante ang pagbansay sa tiggamit: ipasabut nga bisan sa iyang naandan nga trabaho, ang mga sitwasyon nga may kalabutan sa social engineering mahimong motumaw. Alang sa among mga kliyente kanunay kami nagpahigayon sa digital hygiene - usa ka panghitabo nga nagtudlo sa mga batakang kahanas sa pagsumpo sa mga pag-atake sa kinatibuk-an.
Makadugang ako nga usa sa labing kaayo nga mga lakang sa pagpanalipod dili mao ang pagsag-ulo sa mga lagda sa seguridad sa kasayuran, apan aron mahibal-an ang kahimtang sa usa ka gamay nga pagkabulag nga paagi:
- Kinsa ang akong interlocutor?
- Diin gikan ang iyang sugyot o hangyo (wala pa kini mahitabo kaniadto, ug karon mitungha na)?
- Unsa ang talagsaon niini nga hangyo?
Bisan ang usa ka dili kasagaran nga tipo sa letra nga font o usa ka istilo sa sinultihan nga dili kasagaran alang sa nagpadala mahimo’g hinungdan sa usa ka kutay sa pagduhaduha nga mohunong sa usa ka pag-atake. Gikinahanglan usab ang gireseta nga mga instruksyon, apan lahi ang pagtrabaho niini ug dili matino ang tanan nga posible nga mga sitwasyon. Pananglitan, ang mga tigdumala sa seguridad sa impormasyon nagsulat niini nga dili ka makasulod sa imong password sa mga kapanguhaan sa ikatulo nga partido. Unsa kaha kung ang "imong", "kumpanya" nga kapanguhaan sa network nangayo og password? Naghunahuna ang tiggamit: "Ang among kompanya adunay duha ka dosena nga mga serbisyo nga adunay usa ka account, nganong wala'y lain?" Kini modala ngadto sa lain nga lagda: ang usa ka maayo nga pagkahan-ay nga proseso sa trabaho direkta usab nga makaapekto sa seguridad: kung ang usa ka silingan nga departamento makahangyo sa kasayuran gikan kanimo pinaagi lamang sa pagsulat ug pinaagi lamang sa imong manager, ang usa ka tawo "gikan sa usa ka kasaligan nga kauban sa kompanya" siguradong dili. makahimo sa paghangyo niini pinaagi sa telepono - kini alang kanimo kini mahimong walay pulos. Kinahanglan ka labi nga mabinantayon kung ang imong interlocutor naghangyo nga buhaton ang tanan karon, o "ASAP", tungod kay uso ang pagsulat. Bisan sa normal nga trabaho, kini nga sitwasyon sa kasagaran dili himsog, ug sa atubang sa posible nga mga pag-atake, kini usa ka kusog nga hinungdan. Walay panahon sa pagpasabot, padagana ang akong file!
Namatikdan namon nga ang mga tiggamit kanunay nga gipunting ingon mga leyenda alang sa usa ka sociotechnical nga pag-atake pinaagi sa mga hilisgutan nga may kalabutan sa salapi sa usa ka porma o lain: mga saad sa mga promosyon, gusto, mga regalo, ingon man mga impormasyon nga adunay kuno lokal nga tsismis ug intriga. Sa laing pagkasulti, ang "makapatay nga mga sala" nagtrabaho: kauhaw sa ganansya, kahakog ug sobra nga pagkamausisaon.
Ang maayo nga pagbansay kinahanglan kanunay nga maglakip sa praktis. Dinhi diin ang mga eksperto sa pagsulay sa pagsulod mahimong makaluwas. Ang sunod nga pangutana mao: unsa ug unsaon nato pagsulay? Kami sa Group-IB nagsugyot sa mosunud nga pamaagi: pilia dayon ang pokus sa pagsulay: masusi ang kaandam alang sa mga pag-atake sa mga tiggamit mismo, o susihon ang seguridad sa kompanya sa kinatibuk-an. Ug pagsulay gamit ang mga pamaagi sa social engineering, pag-simulate sa tinuod nga mga pag-atake - nga mao, ang parehas nga phishing, pagpadala mga dokumento nga mahimo’g magamit, tawag ug uban pang mga pamaagi.
Sa una nga kaso, ang pag-atake giandam pag-ayo kauban ang mga representante sa kostumer, labi na sa mga espesyalista sa IT ug seguridad sa kasayuran. Ang mga leyenda, mga himan ug mga teknik sa pag-atake makanunayon. Ang kustomer mismo naghatag og mga focus nga grupo ug mga lista sa mga tiggamit alang sa pag-atake, nga naglakip sa tanan nga gikinahanglan nga mga kontak. Ang mga eksepsiyon gihimo sa mga lakang sa seguridad, tungod kay ang mga mensahe ug mga executable load kinahanglan nga makaabot sa nakadawat, tungod kay sa ingon nga proyekto ang mga reaksyon lamang sa mga tawo ang interesado. Opsyonal, mahimo nimong ilakip ang mga marker sa pag-atake, diin ang tiggamit makatag-an nga kini usa ka pag-atake - pananglitan, mahimo ka makahimo usa ka pares nga mga sayup sa spelling sa mga mensahe o magbilin mga dili tukma sa pagkopya sa istilo sa korporasyon. Sa pagtapos sa proyekto, ang parehas nga "uga nga estadistika" nakuha: kung unsang mga focus nga grupo ang mitubag sa mga senaryo ug kung unsa ang gidak-on.
Sa ikaduha nga kaso, ang pag-atake gihimo nga wala’y una nga kahibalo, gamit ang pamaagi nga "itom nga kahon". Kami independente nga nangolekta og kasayuran bahin sa kompanya, mga empleyado niini, perimeter sa network, paghimo og mga alamat sa pag-atake, pagpili og mga pamaagi, pagpangita sa posible nga mga lakang sa seguridad nga gigamit sa target nga kompanya, pagpahiangay sa mga himan, ug paghimo og mga senaryo. Gigamit sa among mga espesyalista ang parehas nga klasiko nga open source intelligence (OSINT) nga mga pamaagi ug ang kaugalingon nga produkto sa Group-IB - Threat Intelligence, usa ka sistema nga, kung nangandam alang sa phishing, mahimo’g molihok ingon usa ka aggregator sa kasayuran bahin sa usa ka kompanya sa taas nga panahon, lakip ang classified nga impormasyon. Siyempre, aron ang pag-atake dili mahimong usa ka dili maayo nga katingala, ang mga detalye niini giuyonan usab sa kustomer. Kini nahimo nga usa ka bug-os nga pagsulay sa pagsulod, apan kini ibase sa advanced social engineering. Ang lohikal nga kapilian sa kini nga kaso mao ang paghimo og usa ka pag-atake sa sulod sa network, hangtod sa pagkuha sa labing taas nga mga katungod sa internal nga mga sistema. Pinaagi sa dalan, sa parehas nga paagi gigamit namon ang mga pag-atake sa sociotechnical , ug sa pipila ka mga pagsulay sa pagsulod. Ingon usa ka sangputanan, ang kustomer makadawat usa ka independente nga komprehensibo nga panan-awon sa ilang seguridad batok sa usa ka piho nga klase sa mga pag-atake sa sociotechnical, ingon man usa ka pagpakita sa pagka-epektibo (o, sa kasukwahi, pagkadili epektibo) sa gitukod nga linya sa depensa batok sa mga hulga sa gawas.
Among girekomendar ang paghimo niini nga pagbansay labing menos kaduha sa usa ka tuig. Una, sa bisan unsang kompanya adunay turnover sa mga kawani ug ang miaging kasinatian anam-anam nga nakalimtan sa mga empleyado. Ikaduha, ang mga pamaagi ug pamaagi sa pag-atake kanunay nga nagbag-o ug kini nagdala sa panginahanglan nga ipahiangay ang mga proseso sa seguridad ug mga himan sa pagpanalipod.
Kung maghisgot kita bahin sa teknikal nga mga lakang aron mapanalipdan batok sa mga pag-atake, ang mga musunud makatabang kaayo:
- Ang presensya sa mandatory two-factor authentication sa mga serbisyo nga gipatik sa Internet. Ang pagpagawas sa ingon nga mga serbisyo sa 2019 nga wala’y Single Sign On system, nga wala’y proteksyon batok sa brute force sa password ug wala’y duha ka hinungdan nga pag-authenticate sa usa ka kompanya sa daghang gatos nga mga tawo parehas sa usa ka bukas nga tawag nga "buak ako." Ang saktong gipatuman nga proteksyon maghimo sa dali nga paggamit sa mga kinawat nga password nga imposible ug maghatag ug panahon sa pagwagtang sa mga sangputanan sa pag-atake sa phishing.
- Pagkontrol sa kontrol sa pag-access, pagminus sa mga katungod sa tiggamit sa mga sistema, ug pagsunod sa mga panudlo alang sa luwas nga pag-configure sa produkto nga gipagawas sa matag dagkong tiggama. Kasagaran kini yano sa kinaiyahan, apan epektibo kaayo ug lisud nga ipatuman ang mga lakang, nga ang tanan, sa usa ka degree o lain, gipasagdan alang sa katulin. Ug ang uban gikinahanglan kaayo nga kon wala sila walay paagi sa pagpanalipod nga makaluwas.
- Maayo nga pagkatukod nga linya sa pagsala sa email. Antispam, kinatibuk-ang pag-scan sa mga attachment alang sa malisyoso nga code, lakip ang dinamikong pagsulay pinaagi sa mga sandbox. Ang usa ka maayong pagkaandam nga pag-atake nagpasabut nga ang executable attachment dili makit-an sa mga gamit sa antivirus. Ang sandbox, sa kasukwahi, sulayan ang tanan alang sa iyang kaugalingon, gamit ang mga file sa parehas nga paagi sama sa paggamit sa usa ka tawo. Ingon usa ka sangputanan, usa ka posible nga makadaot nga sangkap ipadayag sa mga pagbag-o nga gihimo sa sulod sa sandbox.
- Mga paagi sa pagpanalipod batok sa gipunting nga mga pag-atake. Sama sa nahibal-an na, ang klasiko nga mga himan sa antivirus dili makamatikod sa makadaot nga mga file kung adunay usa ka maayong pagkaandam nga pag-atake. Ang labing abante nga mga produkto kinahanglan nga awtomatik nga magmonitor sa kinatibuk-an sa mga panghitabo nga nahitabo sa network - sa lebel sa usa ka indibidwal nga host ug sa lebel sa trapiko sa sulod sa network. Sa kaso sa mga pag-atake, makita ang mga kinaiya nga kadena sa mga panghitabo nga mahimong masubay ug mahunong kung naka-focus ka sa pag-monitor sa mga panghitabo nga ingon niini.
Orihinal nga artikulo sa magasin nga “Information Security/ Information Security” #6, 2019.
Source: www.habr.com