Představte si tuto situaci. Chladné říjnové ráno, designový ústav v regionálním centru jednoho z regionů Ruska. Někdo z HR oddělení přejde na jednu ze stránek o volném místě na webu institutu, zveřejněnou před pár dny, a uvidí tam fotku kočky. Ráno rychle přestává být nudné...
Pavel Suprunyuk, technický vedoucí oddělení auditu a poradenství Group-IB, v tomto článku hovoří o místě sociotechnických útoků v projektech hodnotících praktickou bezpečnost, jaké mohou mít neobvyklé formy a jak se proti takovým útokům chránit. Autor upřesňuje, že článek je recenzního charakteru, nicméně pokud čtenáře nějaký aspekt zaujme, odborníci Group-IB ochotně zodpoví dotazy v komentářích.
Část 1. Proč tak vážně?
Vraťme se k naší kočce. Po nějaké době HR oddělení fotku smaže (screenshoty zde a níže jsou částečně vyretušované, aby neodhalily skutečná jména), ale tvrdošíjně se vrací, je znovu smazána a to se stane ještě několikrát. Personální oddělení pochopí, že kočka má nejvážnější úmysly, nechce odejít a zavolá na pomoc webového programátora - člověka, který web vytvořil, rozumí mu a nyní ho spravuje. Programátor jde na stránku, ještě jednou smaže otravnou kočku, zjistí, že byla zveřejněna jménem samotného HR oddělení, pak předpokládá, že heslo HR oddělení uniklo nějakým online chuligánům, a změní ho. Kočka se znovu neobjeví.
co se vlastně stalo? Ve vztahu ke skupině společností, které institut zahrnovaly, provedli specialisté Group-IB penetrační testování ve formátu blízkém Red Teaming (jinými slovy jde o imitaci cílených útoků na vaši společnost pomocí nejmodernějších metod a nástrojů z arzenál hackerských skupin). Mluvili jsme podrobně o Red Teaming . Je důležité vědět, že při provádění takového testu lze použít velmi širokou škálu předem dohodnutých útoků, včetně sociálního inženýrství. Je jasné, že samotné umístění kočky nebylo konečným cílem toho, co se dělo. A bylo tam následující:
- webové stránky ústavu byly hostovány na serveru v rámci vlastní sítě ústavu, nikoli na serverech třetích stran;
- Byl nalezen únik v účtu personálního oddělení (soubor e-mailového protokolu je v kořenovém adresáři webu). S tímto účtem nebylo možné spravovat stránky, ale bylo možné upravovat stránky práce;
- Změnou stránek můžete umístit své skripty do JavaScriptu. Obvykle dělají stránky interaktivní, ale v této situaci by stejné skripty mohly ukrást z prohlížeče návštěvníka to, co odlišovalo HR oddělení od programátora a programátora od jednoduchého návštěvníka – identifikátor relace na webu. Kočka byla spouštěčem útoku a obrázkem k upoutání pozornosti. Ve značkovacím jazyce webových stránek HTML to vypadalo takto: pokud se váš obrázek načetl, JavaScript již byl spuštěn a vaše ID relace spolu s údaji o vašem prohlížeči a IP adrese již bylo ukradeno.
- S odcizeným ID relace administrátora by bylo možné získat plný přístup k webu, hostit spustitelné stránky v PHP, a proto získat přístup k operačnímu systému serveru a poté k samotné místní síti, což byl důležitý přechodný cíl projekt.
Útok byl částečně úspěšný: ID relace administrátora bylo ukradeno, ale bylo vázáno na IP adresu. Nemohli jsme to obejít; nemohli jsme zvýšit oprávnění našich stránek na oprávnění správce, ale zlepšili jsme si náladu. Konečný výsledek byl nakonec získán v jiné části perimetru sítě.
Část 2. Píši vám - co jiného? Také vám volám a poflakuji se ve vaší kanceláři a vyhazuji flash disky.
To, co se stalo v situaci s kočkou, je příkladem sociálního inženýrství, i když ne zcela klasického. Ve skutečnosti bylo v tomto příběhu více událostí: byla tam kočka, ústav, personální oddělení a programátor, ale také e-maily s upřesňujícími otázkami, které údajně „kandidáti“ psali na personální oddělení samotné a osobně programátorovi, aby je vyprovokoval, aby přešli na stránku webu.
Když už jsme u dopisů. Obyčejný e-mail, pravděpodobně hlavní nástroj pro provádění sociálního inženýrství, neztratil svůj význam již několik desetiletí a někdy vede k nejneobvyklejším důsledkům.
Na našich akcích často vyprávíme následující příběh, protože je velmi objevný.
Obvykle na základě výsledků projektů sociálního inženýrství sestavujeme statistiky, které, jak známo, jsou suchopárnou a nudnou záležitostí. Tolik procent příjemců otevřelo přílohu z dopisu, takže mnozí následovali odkaz, ale tito tři ve skutečnosti zadali své uživatelské jméno a heslo. V jednom projektu jsme obdrželi více než 100 % zadaných hesel – tedy více vyšlo, než jsme rozeslali.
Stalo se to takto: byl zaslán phishingový dopis, údajně od CISO státní korporace, s požadavkem „urychleně otestovat změny v poštovní službě“. Dopis se dostal k vedoucímu velkého oddělení, které se zabývalo technickou podporou. Manažer velmi svědomitě plnil pokyny od vysokých úřadů a předával je všem podřízeným. Samotné call centrum se ukázalo být poměrně velké. Obecně platí, že situace, kdy někdo přeposílá „zajímavé“ phishingové e-maily svým kolegům a oni se také nechají chytit, jsou poměrně běžným jevem. Pro nás je to nejlepší zpětná vazba na kvalitu psaní dopisu.
O něco později se o nás dozvěděli (dopis byl přijat v prolomené poštovní schránce):
Úspěch útoku byl způsoben tím, že mailing zneužil řadu technických nedostatků v poštovním systému klienta. Byl nakonfigurován tak, aby bylo možné bez autorizace odesílat jakékoli dopisy jménem jakéhokoli odesílatele samotné organizace, a to i z internetu. To znamená, že byste mohli předstírat, že jste CISO, vedoucí technické podpory nebo někdo jiný. Poštovní rozhraní navíc, pozorující dopisy ze „své“ domény, pečlivě vložilo fotografii z adresáře, což dodávalo odesílateli přirozenost.
Ve skutečnosti takový útok není nijak zvlášť složitá technologie, je to úspěšné využití velmi základní chyby v nastavení pošty. Je pravidelně revidován na specializovaných zdrojích IT a informační bezpečnosti, ale přesto se stále najdou společnosti, které toto vše mají. Protože nikdo není nakloněn důkladné kontrole hlaviček služeb poštovního protokolu SMTP, je dopis obvykle kontrolován na „nebezpečí“ pomocí varovných ikon v poštovním rozhraní, které ne vždy zobrazují celý obrázek.
Zajímavé je, že podobná zranitelnost funguje i v opačném směru: útočník může jménem vaší společnosti poslat e-mail příjemci třetí strany. Může například zfalšovat fakturu za pravidelnou platbu vaším jménem a uvést jiné údaje místo vašich. Kromě problémů s bojem proti podvodům a výběru peněz je to pravděpodobně jeden z nejjednodušších způsobů, jak krást peníze prostřednictvím sociálního inženýrství.
Kromě krádeží hesel prostřednictvím phishingu je klasickým sociotechnickým útokem odesílání spustitelných příloh. Pokud tyto investice překonají všechna bezpečnostní opatření, kterých mají moderní společnosti obvykle mnoho, vytvoří se kanál vzdáleného přístupu k počítači oběti. K demonstraci následků útoku lze výsledné dálkové ovládání rozvinout až po přístup k obzvláště důležitým důvěrným informacím. Je pozoruhodné, že naprostá většina útoků, kterými média všechny vyděsí, začíná přesně takto.
V našem auditním oddělení pro zábavu vypočítáváme přibližné statistiky: jaká je celková hodnota majetku společností, ke kterým jsme získali přístup Správce domény, zejména prostřednictvím phishingu a zasílání spustitelných příloh? Letos dosáhla přibližně 150 miliard eur.
Je jasné, že posílání provokativních e-mailů a zveřejňování fotografií koček na webových stránkách nejsou jedinou metodou sociálního inženýrství. Na těchto příkladech jsme se pokusili ukázat rozmanitost forem útoků a jejich důsledky. Kromě dopisů může potenciální útočník zavolat, aby získal potřebné informace, rozházet média (například flash disky) se spustitelnými soubory v kanceláři cílové společnosti, získat práci stážisty, získat fyzický přístup k místní síti pod rouškou instalátoru CCTV kamer. To vše jsou mimochodem příklady z našich úspěšně realizovaných projektů.
Část 3. Učení je světlo, ale neučení je tma
Nabízí se rozumná otázka: dobře, dobře, existuje sociální inženýrství, vypadá to nebezpečně, ale co by s tím měly firmy dělat? Kapitán Obvious přichází na pomoc: musíte se bránit, a to komplexním způsobem. Část ochrany bude směřovat do již klasických bezpečnostních opatření, jako jsou technické prostředky ochrany informací, monitoring, organizační a právní podpora procesů, ale hlavní část by podle našeho názoru měla směřovat do přímé práce se zaměstnanci jako nejslabší článek. Koneckonců, bez ohledu na to, jak moc posilujete technologii nebo píšete tvrdé předpisy, vždy se najde uživatel, který objeví nový způsob, jak všechno prolomit. Navíc ani předpisy, ani technologie neudrží krok s úletem kreativity uživatele, zvláště pokud je vyzván kvalifikovaným útočníkem.
Nejprve je důležité uživatele proškolit: vysvětlit, že i při jeho běžné práci mohou nastat situace související se sociálním inženýrstvím. Pro naše klienty často provádíme o digitální hygieně – akce, která obecně učí základní dovednosti v boji proti útokům.
Mohu dodat, že jedním z nejlepších ochranných opatření by nebylo vůbec se učit nazpaměť pravidla informační bezpečnosti, ale hodnotit situaci trochu odtažitě:
- Kdo je můj partner?
- Odkud se vzal jeho návrh nebo požadavek (to se ještě nikdy nestalo a teď se to objevilo)?
- Co je na této žádosti neobvyklé?
Dokonce i neobvyklý typ písma nebo styl řeči, který je pro odesílatele neobvyklý, může spustit řetězec pochybností, který zastaví útok. Potřebné jsou také předepsané pokyny, které však fungují jinak a nemohou specifikovat všechny možné situace. Správci zabezpečení informací v nich například píší, že nemůžete zadat heslo na zdroje třetích stran. Co když „váš“, „firemní“ síťový zdroj požádá o heslo? Uživatel si myslí: „Naše společnost má již dvě desítky služeb s jedním účtem, proč nemít další?“ To vede k dalšímu pravidlu: dobře strukturovaný pracovní proces také přímo ovlivňuje bezpečnost: pokud od vás sousední oddělení může požadovat informace pouze písemně a pouze prostřednictvím vašeho manažera, osoba „od důvěryhodného partnera společnosti“ určitě nebude moci požádat o to telefonicky - to je pro vás to bude nesmysl. Měli byste být obzvláště opatrní, pokud váš partner požaduje, abyste udělali všechno hned, nebo „ASAP“, jak je módní psát. Ani v běžné práci tato situace často není zdravá a tváří v tvář případným atakům je silným spouštěčem. Není čas na vysvětlování, spusťte můj soubor!
Všimli jsme si, že uživatelé jsou vždy terčem jako legendy sociotechnického útoku tématy souvisejícími s penězi v té či oné podobě: sliby povýšení, preference, dárky a také informace s údajně místními drby a intriky. Jinými slovy, působí banální „smrtelné hříchy“: žízeň po zisku, chamtivost a přehnaná zvědavost.
Dobrý trénink by měl vždy zahrnovat praxi. Zde mohou pomoci odborníci na penetrační testování. Další otázka zní: co a jak budeme testovat? My ve Group-IB navrhujeme následující přístup: okamžitě zvolit zaměření testování: buď posoudit připravenost na útoky pouze samotných uživatelů, nebo zkontrolovat bezpečnost společnosti jako celku. A testovat pomocí metod sociálního inženýrství, simulovat skutečné útoky – tedy stejný phishing, odesílání spustitelných dokumentů, volání a další techniky.
V prvním případě je útok pečlivě připraven společně se zástupci zákazníka, především s jeho specialisty na IT a informační bezpečnost. Legendy, nástroje a techniky útoku jsou konzistentní. Zákazník sám poskytuje focus groups a seznamy uživatelů pro útok, které obsahují všechny potřebné kontakty. Jsou vytvořeny výjimky z bezpečnostních opatření, protože zprávy a spustitelné soubory se musí dostat k příjemci, protože v takovém projektu jsou zajímavé pouze reakce lidí. Volitelně můžete do útoku zahrnout značky, podle kterých uživatel uhodne, že se jedná o útok – můžete například udělat pár pravopisných chyb ve zprávách nebo zanechat nepřesnosti v kopírování firemního stylu. Na konci projektu jsou získány stejné „suché statistiky“: které fokusní skupiny reagovaly na scénáře a do jaké míry.
Ve druhém případě je útok proveden s nulovými počátečními znalostmi pomocí metody „černé skříňky“. Nezávisle sbíráme informace o firmě, jejích zaměstnancích, perimetru sítě, vytváříme legendy útoků, vybíráme metody, hledáme možná bezpečnostní opatření používaná v cílové firmě, přizpůsobujeme nástroje a vytváříme scénáře. Naši specialisté využívají jak klasické metody open source inteligence (OSINT), tak i vlastní produkt Group-IB - Threat Intelligence, systém, který při přípravě na phishing dokáže dlouhodobě fungovat jako agregátor informací o firmě, včetně utajovaných informací. Aby se útok nestal nepříjemným překvapením, jsou samozřejmě se zákazníkem domluveny i jeho detaily. Ukazuje se, že jde o plnohodnotný penetrační test, který však bude založen na pokročilém sociálním inženýrství. Logickou možností je v tomto případě vyvinout útok v rámci sítě až po získání nejvyšších práv v interních systémech. Mimochodem, podobným způsobem používáme sociotechnické útoky a v některých penetračních testech. Zákazník tak získá nezávislou komplexní vizi svého zabezpečení proti určitému typu sociotechnických útoků a také ukázku účinnosti (nebo naopak neúčinnosti) vybudované linie obrany proti vnějším hrozbám.
Toto školení doporučujeme provádět alespoň dvakrát ročně. Za prvé, v každé společnosti dochází k fluktuaci zaměstnanců a předchozí zkušenosti zaměstnanci postupně zapomínají. Za druhé, metody a techniky útoků se neustále mění a to vede k nutnosti přizpůsobovat bezpečnostní procesy a ochranné nástroje.
Pokud mluvíme o technických opatřeních na ochranu před útoky, nejvíce pomáhají následující:
- Přítomnost povinné dvoufaktorové autentizace u služeb zveřejněných na internetu. Uvolnit takové služby v roce 2019 bez systémů Single Sign On, bez ochrany před hrubou silou heslem a bez dvoufaktorové autentizace ve společnosti několika stovek lidí se rovná otevřené výzvě „zlomte mě“. Správně implementovaná ochrana znemožní rychlé použití ukradených hesel a poskytne čas na odstranění následků phishingového útoku.
- Řízení řízení přístupu, minimalizace uživatelských práv v systémech a dodržování pokynů pro bezpečnou konfiguraci produktů, které vydal každý hlavní výrobce. Často jsou to jednoduchá, ale velmi účinná a obtížně realizovatelná opatření, která každý v té či oné míře zanedbává kvůli rychlosti. A některé jsou tak potřebné, že bez nich žádný ochranný prostředek nezachrání.
- Dobře postavená linka pro filtrování e-mailů. Antispam, celkové skenování příloh na škodlivý kód, včetně dynamického testování prostřednictvím sandboxů. Dobře připravený útok znamená, že spustitelná příloha nebude detekována antivirovými nástroji. Sandbox si naopak vše otestuje sám, pomocí souborů stejným způsobem, jakým je používá člověk. V důsledku toho bude možná škodlivá komponenta odhalena změnami provedenými uvnitř sandboxu.
- Prostředky ochrany proti cíleným útokům. Jak již bylo řečeno, klasické antivirové nástroje v případě dobře připraveného útoku škodlivé soubory neodhalí. Nejpokročilejší produkty by měly automaticky monitorovat celkový počet událostí vyskytujících se v síti – jak na úrovni jednotlivého hostitele, tak na úrovni provozu v rámci sítě. V případě útoků se objevují velmi charakteristické řetězce událostí, které lze sledovat a zastavit, pokud máte monitoring zaměřený na události tohoto druhu.
Původní článek v časopise „Informační bezpečnost / Informační bezpečnost“ #6, 2019.
Zdroj: www.habr.com