Dychmygwch y sefyllfa hon. Bore Hydref oer, sefydliad dylunio yng nghanolfan ranbarthol un o ranbarthau Rwsia. Mae rhywun o'r adran Adnoddau Dynol yn mynd i un o'r tudalennau swyddi gwag ar wefan y sefydliad, wedi'i bostio ychydig ddyddiau yn ôl, ac yn gweld llun o gath yno. Mae'r bore yn gyflym yn peidio â bod yn ddiflas...
Yn yr erthygl hon, mae Pavel Suprunyuk, pennaeth technegol yr adran archwilio ac ymgynghori yn Group-IB, yn sôn am le ymosodiadau sociotechnegol mewn prosiectau sy'n asesu diogelwch ymarferol, pa ffurfiau anarferol y gallant eu cymryd, a sut i amddiffyn rhag ymosodiadau o'r fath. Mae'r awdur yn egluro bod yr erthygl o natur adolygu, fodd bynnag, os oes unrhyw agwedd o ddiddordeb i ddarllenwyr, bydd arbenigwyr Grŵp-IB yn barod i ateb cwestiynau yn y sylwadau.
Rhan 1. Pam mor ddifrifol?
Gadewch i ni ddychwelyd at ein cath. Ar ôl peth amser, mae'r adran AD yn dileu'r llun (mae'r sgrinluniau yma ac isod yn cael eu hail-gyffwrdd yn rhannol er mwyn peidio â datgelu enwau go iawn), ond mae'n dychwelyd yn ystyfnig, caiff ei ddileu eto, ac mae hyn yn digwydd sawl gwaith eto. Mae'r adran AD yn deall bod gan y gath y bwriadau mwyaf difrifol, nid yw am adael, ac maent yn galw am gymorth gan raglennydd gwe - person a greodd y wefan ac sy'n ei deall, ac sydd bellach yn ei gweinyddu. Mae'r rhaglennydd yn mynd i'r wefan, unwaith eto yn dileu'r gath annifyr, yn darganfod ei fod wedi'i bostio ar ran yr adran AD ei hun, yna'n rhagdybio bod cyfrinair yr adran AD wedi gollwng i rai hwliganiaid ar-lein, a'i newid. Nid yw'r gath yn ymddangos eto.
Beth ddigwyddodd mewn gwirionedd? Mewn perthynas â'r grŵp o gwmnïau a oedd yn cynnwys y sefydliad, cynhaliodd arbenigwyr Group-IB brofion treiddiad mewn fformat sy'n agos at Red Teaming (mewn geiriau eraill, mae hwn yn ddynwarediad o ymosodiadau wedi'u targedu ar eich cwmni gan ddefnyddio'r dulliau a'r offer mwyaf datblygedig o'r arsenal o grwpiau hacwyr). Buom yn siarad yn fanwl am y Tîm Coch . Mae'n bwysig gwybod, wrth gynnal prawf o'r fath, y gellir defnyddio ystod eang iawn o ymosodiadau y cytunwyd arnynt ymlaen llaw, gan gynnwys peirianneg gymdeithasol. Mae’n amlwg nad lleoliad y gath ei hun oedd nod eithaf yr hyn oedd yn digwydd. Ac roedd y canlynol:
- bod gwefan yr athrofa yn cael ei chynnal ar weinydd o fewn rhwydwaith yr athrofa ei hun, ac nid ar weinyddion trydydd parti;
- Canfuwyd gollyngiad yng nghyfrif yr adran AD (mae'r ffeil log e-bost wrth wraidd y wefan). Roedd yn amhosib gweinyddu'r safle gyda'r cyfrif hwn, ond roedd modd golygu tudalennau swyddi;
- Trwy newid y tudalennau, fe allech chi osod eich sgriptiau yn JavaScript. Fel arfer maent yn gwneud tudalennau'n rhyngweithiol, ond yn y sefyllfa hon, gallai'r un sgriptiau ddwyn o borwr yr ymwelydd yr hyn a wahaniaethodd yr adran AD oddi wrth y rhaglennydd, a'r rhaglennydd oddi wrth ymwelydd syml - y dynodwr sesiwn ar y wefan. Roedd y gath yn sbardun ymosodiad a llun i ddenu sylw. Yn iaith marcio gwefan HTML, roedd yn edrych fel hyn: os yw'ch delwedd wedi llwytho, mae JavaScript eisoes wedi'i weithredu ac mae ID eich sesiwn, ynghyd â data am eich porwr a'ch cyfeiriad IP, eisoes wedi'u dwyn.
- Gydag ID sesiwn gweinyddwr wedi'i ddwyn, byddai'n bosibl cael mynediad llawn i'r wefan, cynnal tudalennau gweithredadwy yn PHP, ac felly cael mynediad i system weithredu'r gweinydd, ac yna i'r rhwydwaith lleol ei hun, a oedd yn nod canolradd pwysig o y prosiect.
Roedd yr ymosodiad yn rhannol lwyddiannus: cafodd ID sesiwn y gweinyddwr ei ddwyn, ond cafodd ei glymu i gyfeiriad IP. Ni allem fynd o gwmpas hyn; ni allem godi ein breintiau gwefan i freintiau gweinyddwr, ond fe wnaethom wella ein hwyliau. Yn y pen draw, cafwyd y canlyniad terfynol mewn rhan arall o berimedr y rhwydwaith.
Rhan 2. Rwy'n ysgrifennu atoch - beth arall? Rwyf hefyd yn galw ac yn hongian o gwmpas yn eich swyddfa, gan ollwng gyriannau fflach.
Mae'r hyn a ddigwyddodd yn y sefyllfa gyda'r gath yn enghraifft o beirianneg gymdeithasol, er nad yw'n hollol glasurol. Mewn gwirionedd, roedd mwy o ddigwyddiadau yn y stori hon: roedd yna gath, ac athrofa, ac adran bersonél, a rhaglennydd, ond roedd yna hefyd e-byst gyda chwestiynau eglurhaol a oedd i fod i "ymgeiswyr" ysgrifennu at yr adran bersonél ei hun ac yn bersonol. i'r rhaglennydd er mwyn eu pryfocio i fynd i dudalen y safle.
Wrth siarad am lythyrau. Nid yw e-bost cyffredin, y prif gyfrwng ar gyfer cyflawni peirianneg gymdeithasol yn ôl pob tebyg, wedi colli ei berthnasedd ers cwpl o ddegawdau ac weithiau'n arwain at y canlyniadau mwyaf anarferol.
Yr ydym yn aml yn adrodd yr hanes canlynol yn ein digwyddiadau, gan ei fod yn ddadlennol iawn.
Fel arfer, yn seiliedig ar ganlyniadau prosiectau peirianneg gymdeithasol, rydym yn llunio ystadegau, sydd, fel y gwyddom, yn beth sych a diflas. Agorodd cymaint y cant o dderbynwyr yr atodiad o'r llythyr, roedd cymaint yn dilyn y ddolen, ond mewn gwirionedd roedd y tri hyn wedi nodi eu henw defnyddiwr a'u cyfrinair. Mewn un prosiect, cawsom fwy na 100% o'r cyfrineiriau a gofnodwyd - hynny yw, daeth mwy allan nag a anfonwyd gennym.
Digwyddodd fel hyn: anfonwyd llythyr gwe-rwydo, yn ôl pob sôn gan CISO corfforaeth y wladwriaeth, gyda galw i “brofi newidiadau yn y gwasanaeth post ar frys.” Cyrhaeddodd y llythyr bennaeth adran fawr a oedd yn delio â chymorth technegol. Roedd y rheolwr yn ddiwyd iawn yn cyflawni cyfarwyddiadau gan awdurdodau uchel ac yn eu hanfon ymlaen at yr holl is-weithwyr. Trodd y ganolfan alwadau ei hun yn eithaf mawr. Yn gyffredinol, mae sefyllfaoedd lle mae rhywun yn anfon e-byst gwe-rwydo “diddorol” ymlaen at eu cydweithwyr ac maen nhw hefyd yn cael eu dal yn ddigwyddiad eithaf cyffredin. I ni, dyma'r adborth gorau ar ansawdd ysgrifennu llythyr.
Ychydig yn ddiweddarach daethant i wybod amdanom (cymerwyd y llythyr mewn blwch post dan fygythiad):
Roedd llwyddiant yr ymosodiad o ganlyniad i'r ffaith bod y post wedi manteisio ar nifer o ddiffygion technegol yn system bost y cleient. Fe'i ffurfiwyd yn y fath fodd fel ei bod yn bosibl anfon unrhyw lythyrau ar ran unrhyw anfonwr o'r sefydliad ei hun heb awdurdod, hyd yn oed o'r Rhyngrwyd. Hynny yw, fe allech chi esgus bod yn CISO, neu'n bennaeth cymorth technegol, neu'n rhywun arall. Ar ben hynny, fe wnaeth y rhyngwyneb post, gan arsylwi llythyrau o barth “ei”, fewnosod llun o'r llyfr cyfeiriadau yn ofalus, a ychwanegodd naturioldeb i'r anfonwr.
Mewn gwirionedd, nid yw ymosodiad o'r fath yn dechnoleg arbennig o gymhleth; mae'n ecsbloetio'n llwyddiannus ar ddiffyg sylfaenol iawn mewn gosodiadau post. Mae'n cael ei adolygu'n rheolaidd ar adnoddau TG a diogelwch gwybodaeth arbenigol, ond serch hynny, mae cwmnïau sydd â hyn i gyd yn bresennol o hyd. Gan nad oes unrhyw un yn dueddol o wirio penawdau gwasanaeth protocol post SMTP yn drylwyr, mae llythyr fel arfer yn cael ei wirio am “berygl” gan ddefnyddio eiconau rhybuddio yn y rhyngwyneb post, nad ydynt bob amser yn dangos y llun cyfan.
Yn ddiddorol, mae bregusrwydd tebyg hefyd yn gweithio i'r cyfeiriad arall: gall ymosodwr anfon e-bost ar ran eich cwmni at dderbynnydd trydydd parti. Er enghraifft, gall ffugio anfoneb am daliad rheolaidd ar eich rhan, gan nodi manylion eraill yn lle'ch rhai chi. Ar wahân i faterion gwrth-dwyll ac arian parod, mae'n debyg mai dyma un o'r ffyrdd hawsaf o ddwyn arian trwy beirianneg gymdeithasol.
Yn ogystal â dwyn cyfrineiriau trwy we-rwydo, mae ymosodiad cymdeithasol-dechnegol clasurol yn anfon atodiadau gweithredadwy. Os yw'r buddsoddiadau hyn yn goresgyn yr holl fesurau diogelwch, y mae gan gwmnïau modern lawer ohonynt fel arfer, bydd sianel mynediad o bell yn cael ei chreu i gyfrifiadur y dioddefwr. Er mwyn dangos canlyniadau'r ymosodiad, gellir datblygu'r teclyn rheoli o bell sy'n deillio o hynny hyd at fynediad at wybodaeth gyfrinachol arbennig o bwysig. Mae'n werth nodi bod y mwyafrif helaeth o ymosodiadau y mae'r cyfryngau yn eu defnyddio i ddychryn pawb yn cychwyn yn union fel hyn.
Yn ein hadran archwilio, er hwyl, rydym yn cyfrifo ystadegau bras: beth yw cyfanswm gwerth asedau cwmnïau yr ydym wedi cael mynediad Gweinyddwr Parth iddynt, yn bennaf trwy we-rwydo ac anfon atodiadau gweithredadwy? Eleni cyrhaeddodd tua 150 biliwn ewro.
Mae’n amlwg nad anfon e-byst pryfoclyd a phostio lluniau o gathod ar wefannau yw’r unig ddulliau o beirianneg gymdeithasol. Yn yr enghreifftiau hyn rydym wedi ceisio dangos amrywiaeth y ffurfiau ymosod a'u canlyniadau. Yn ogystal â llythyrau, gall ymosodwr posibl alw i gael y wybodaeth angenrheidiol, cyfryngau gwasgariad (er enghraifft, gyriannau fflach) gyda ffeiliau gweithredadwy yn swyddfa'r cwmni targed, cael swydd fel intern, cael mynediad corfforol i'r rhwydwaith lleol dan gochl gosodwr camera cylch cyfyng. Mae'r rhain i gyd, gyda llaw, yn enghreifftiau o'n prosiectau a gwblhawyd yn llwyddiannus.
Rhan 3. Y mae dysgeidiaeth yn oleuni, ond yr annysgedig yn dywyllwch
Mae cwestiwn rhesymol yn codi: wel, iawn, mae yna beirianneg gymdeithasol, mae'n edrych yn beryglus, ond beth ddylai cwmnïau ei wneud am hyn i gyd? Daw Capten Amlwg i'r adwy: mae angen i chi amddiffyn eich hun, ac mewn modd cynhwysfawr. Bydd rhywfaint o'r amddiffyniad yn cael ei anelu at fesurau diogelwch sydd eisoes yn glasurol, megis dulliau technegol o ddiogelu gwybodaeth, monitro, cefnogaeth sefydliadol a chyfreithiol i brosesau, ond yn ein barn ni, dylid cyfeirio'r brif ran at waith uniongyrchol gyda gweithwyr fel y cyswllt gwannaf. Wedi'r cyfan, ni waeth faint rydych chi'n cryfhau'r dechnoleg neu'n ysgrifennu rheoliadau llym, bydd defnyddiwr bob amser a fydd yn darganfod ffordd newydd o dorri popeth. Ar ben hynny, ni fydd rheoliadau na thechnoleg yn cadw i fyny â rhediad creadigrwydd y defnyddiwr, yn enwedig os caiff ei ysgogi gan ymosodwr cymwys.
Yn gyntaf oll, mae'n bwysig hyfforddi'r defnyddiwr: eglurwch, hyd yn oed yn ei waith arferol, y gall sefyllfaoedd sy'n ymwneud â pheirianneg gymdeithasol godi. Ar gyfer ein cleientiaid rydym yn aml yn cynnal ar hylendid digidol - digwyddiad sy'n dysgu sgiliau sylfaenol i atal ymosodiadau yn gyffredinol.
Gallaf ychwanegu nad cofio rheolau diogelwch gwybodaeth o gwbl fyddai un o’r mesurau diogelu gorau, ond yn hytrach asesu’r sefyllfa mewn ffordd ychydig yn ddatgysylltiedig:
- Pwy yw fy interlocutor?
- O ble y daeth ei gynnig neu ei gais (nid yw hyn erioed wedi digwydd o'r blaen, ac yn awr mae wedi ymddangos)?
- Beth sy'n anarferol am y cais hwn?
Gall hyd yn oed math anarferol o ffont llythyr neu arddull lleferydd sy'n anarferol i'r anfonwr gychwyn cadwyn o amheuaeth a fydd yn atal ymosodiad. Mae angen cyfarwyddiadau rhagnodedig hefyd, ond maent yn gweithio'n wahanol ac ni allant nodi pob sefyllfa bosibl. Er enghraifft, mae gweinyddwyr diogelwch gwybodaeth yn ysgrifennu ynddynt na allwch nodi'ch cyfrinair ar adnoddau trydydd parti. Beth os yw adnodd rhwydwaith “eich”, “corfforaethol” yn gofyn am gyfrinair? Mae'r defnyddiwr yn meddwl: "Mae gan ein cwmni ddau ddwsin o wasanaethau gydag un cyfrif yn barod, beth am gael un arall?" Mae hyn yn arwain at reol arall: mae proses waith sydd wedi'i strwythuro'n dda hefyd yn effeithio'n uniongyrchol ar ddiogelwch: os gall adran gyfagos ofyn am wybodaeth gennych chi yn ysgrifenedig yn unig a dim ond trwy eich rheolwr, yn sicr ni fydd person “oddi wrth bartner dibynadwy yn y cwmni” gallu gofyn amdano dros y ffôn - mae hyn i chi bydd yn nonsens. Dylech fod yn arbennig o wyliadwrus os yw eich interlocutor yn mynnu gwneud popeth ar hyn o bryd, neu “cyn gynted â phosibl”, gan ei fod yn ffasiynol i ysgrifennu. Hyd yn oed mewn gwaith arferol, nid yw'r sefyllfa hon yn aml yn iach, ac yn wyneb ymosodiadau posibl, mae'n sbardun cryf. Dim amser i esbonio, rhedeg fy ffeil!
Rydym yn sylwi bod defnyddwyr bob amser yn cael eu targedu fel chwedlau ar gyfer ymosodiad cymdeithasol-dechnegol gan bynciau sy'n ymwneud ag arian mewn rhyw ffurf neu'i gilydd: addewidion o hyrwyddiadau, hoffterau, anrhegion, yn ogystal â gwybodaeth gyda chlecs a chynllwyn lleol i fod. Mewn geiriau eraill, y “pechodau marwol” banal sydd ar waith: syched am elw, trachwant a chwilfrydedd gormodol.
Dylai hyfforddiant da gynnwys arfer bob amser. Dyma lle gall arbenigwyr profi treiddiad ddod i'r adwy. Y cwestiwn nesaf yw: beth a sut y byddwn yn ei brofi? Rydym ni yn Group-IB yn cynnig y dull canlynol: dewiswch ffocws y profion ar unwaith: naill ai asesu parodrwydd y defnyddwyr eu hunain yn unig ar gyfer ymosodiadau, neu wirio diogelwch y cwmni cyfan. A phrofwch gan ddefnyddio dulliau peirianneg cymdeithasol, gan efelychu ymosodiadau go iawn - hynny yw, yr un gwe-rwydo, anfon dogfennau gweithredadwy, galwadau a thechnegau eraill.
Yn yr achos cyntaf, mae'r ymosodiad yn cael ei baratoi'n ofalus ynghyd â chynrychiolwyr y cwsmer, yn bennaf gyda'i arbenigwyr TG a diogelwch gwybodaeth. Mae chwedlau, offer a thechnegau ymosod yn gyson. Mae'r cwsmer ei hun yn darparu grwpiau ffocws a rhestrau o ddefnyddwyr ar gyfer ymosodiad, sy'n cynnwys yr holl gysylltiadau angenrheidiol. Crëir eithriadau ar fesurau diogelwch, gan fod yn rhaid i negeseuon a llwythi gweithredadwy gyrraedd y derbynnydd, oherwydd mewn prosiect o'r fath dim ond ymatebion pobl sydd o ddiddordeb. Yn ddewisol, gallwch chi gynnwys marcwyr yn yr ymosodiad, lle gall y defnyddiwr ddyfalu mai ymosodiad yw hwn - er enghraifft, gallwch chi wneud cwpl o wallau sillafu mewn negeseuon neu adael anghywirdebau wrth gopïo'r arddull gorfforaethol. Ar ddiwedd y prosiect, ceir yr un “ystadegau sych”: pa grwpiau ffocws a ymatebodd i’r senarios ac i ba raddau.
Yn yr ail achos, cynhelir yr ymosodiad heb unrhyw wybodaeth gychwynnol, gan ddefnyddio'r dull “blwch du”. Rydym yn casglu gwybodaeth yn annibynnol am y cwmni, ei weithwyr, perimedr y rhwydwaith, creu chwedlau ymosod, dewis dulliau, edrych am fesurau diogelwch posibl a ddefnyddir yn y cwmni targed, addasu offer, a chreu senarios. Mae ein harbenigwyr yn defnyddio dulliau deallusrwydd ffynhonnell agored clasurol (OSINT) a chynnyrch Group-IB ei hun - Threat Intelligence, system sydd, wrth baratoi ar gyfer gwe-rwydo, yn gallu gweithredu fel cydgrynhoad gwybodaeth am gwmni dros gyfnod hir, gan gynnwys gwybodaeth ddosbarthiadol. Wrth gwrs, fel na fydd yr ymosodiad yn dod yn syndod annymunol, cytunir ar ei fanylion hefyd gyda'r cwsmer. Mae'n troi allan i fod yn brawf treiddiad llawn, ond bydd yn seiliedig ar beirianneg gymdeithasol uwch. Yr opsiwn rhesymegol yn yr achos hwn yw datblygu ymosodiad o fewn y rhwydwaith, hyd at gael yr hawliau uchaf mewn systemau mewnol. Gyda llaw, mewn ffordd debyg rydyn ni'n defnyddio ymosodiadau sociotechnegol i mewn , ac mewn rhai profion treiddiad. O ganlyniad, bydd y cwsmer yn derbyn gweledigaeth gynhwysfawr annibynnol o'u diogelwch yn erbyn math penodol o ymosodiadau sociotechnegol, yn ogystal ag arddangosiad o effeithiolrwydd (neu, i'r gwrthwyneb, aneffeithiolrwydd) y llinell amddiffyn adeiledig yn erbyn bygythiadau allanol.
Rydym yn argymell cynnal yr hyfforddiant hwn o leiaf ddwywaith y flwyddyn. Yn gyntaf, mewn unrhyw gwmni mae trosiant staff ac mae profiad blaenorol yn cael ei anghofio'n raddol gan weithwyr. Yn ail, mae dulliau a thechnegau ymosodiadau yn newid yn gyson ac mae hyn yn arwain at yr angen i addasu prosesau diogelwch ac offer amddiffyn.
Os byddwn yn siarad am fesurau technegol i amddiffyn rhag ymosodiadau, mae'r canlynol yn helpu fwyaf:
- Presenoldeb dilysu dau ffactor gorfodol ar wasanaethau a gyhoeddir ar y Rhyngrwyd. Mae rhyddhau gwasanaethau o’r fath yn 2019 heb systemau Sign On Sengl, heb amddiffyniad rhag grym ‘n Ysgrublaidd cyfrinair a heb ddilysiad dau-ffactor mewn cwmni o gannoedd o bobl yn gyfystyr â galwad agored i “torri fi.” Bydd amddiffyniad a weithredir yn gywir yn ei gwneud hi'n amhosibl defnyddio cyfrineiriau wedi'u dwyn yn gyflym a bydd yn rhoi amser i ddileu canlyniadau ymosodiad gwe-rwydo.
- Rheoli rheolaeth mynediad, lleihau hawliau defnyddwyr mewn systemau, a dilyn y canllawiau ar gyfer cyfluniad cynnyrch diogel a ryddheir gan bob gwneuthurwr mawr. Mae'r rhain yn aml yn syml eu natur, ond yn effeithiol iawn ac yn anodd eu gweithredu mesurau, y mae pawb, i ryw raddau, yn eu hesgeuluso er mwyn cyflymder. Ac mae rhai mor angenrheidiol fel na fydd unrhyw fodd o amddiffyn yn arbed hebddynt.
- Llinell hidlo e-bost wedi'i hadeiladu'n dda. Antispam, sganio atodiadau yn gyfan gwbl ar gyfer cod maleisus, gan gynnwys profion deinamig trwy flychau tywod. Mae ymosodiad wedi'i baratoi'n dda yn golygu na fydd yr atodiad gweithredadwy yn cael ei ganfod gan offer gwrthfeirws. Bydd y blwch tywod, i'r gwrthwyneb, yn profi popeth drosto'i hun, gan ddefnyddio ffeiliau yn yr un modd ag y mae person yn eu defnyddio. O ganlyniad, bydd cydran faleisus bosibl yn cael ei datgelu gan newidiadau a wneir y tu mewn i'r blwch tywod.
- Dulliau o amddiffyn rhag ymosodiadau wedi'u targedu. Fel y nodwyd eisoes, ni fydd offer gwrthfeirws clasurol yn canfod ffeiliau maleisus os bydd ymosodiad wedi'i baratoi'n dda. Dylai'r cynhyrchion mwyaf datblygedig fonitro'n awtomatig gyfanswm y digwyddiadau sy'n digwydd ar y rhwydwaith - ar lefel gwesteiwr unigol ac ar lefel traffig o fewn y rhwydwaith. Yn achos ymosodiadau, mae cadwyni nodweddiadol iawn o ddigwyddiadau yn ymddangos y gellir eu holrhain a'u hatal os oes gennych fonitro sy'n canolbwyntio ar ddigwyddiadau o'r math hwn.
Erthygl wreiddiol yn y cylchgrawn “Information Security / Information Security” #6, 2019.
Ffynhonnell: hab.com