Forestil dig denne situation. Kold oktobermorgen, designinstitut i det regionale centrum af en af regionerne i Rusland. Nogen fra HR-afdelingen går ind på en af de ledige stillinger på instituttets hjemmeside, som blev slået op for et par dage siden, og ser et foto af en kat der. Morgenen holder hurtigt op med at være kedelig...
I denne artikel fortæller Pavel Suprunyuk, teknisk leder af revisions- og rådgivningsafdelingen hos Group-IB, om stedet for sociotekniske angreb i projekter, der vurderer praktisk sikkerhed, hvilke usædvanlige former de kan tage, og hvordan man beskytter mod sådanne angreb. Forfatteren præciserer, at artiklen er af gennemgående karakter, men hvis noget aspekt interesserer læsere, vil Group-IB-eksperter let besvare spørgsmål i kommentarerne.
Del 1. Hvorfor så alvorligt?
Lad os vende tilbage til vores kat. Efter noget tid sletter HR-afdelingen billedet (skærmbillederne her og nedenfor er delvist retoucheret for ikke at afsløre rigtige navne), men det vender stædigt tilbage, det slettes igen, og det sker flere gange. HR-afdelingen forstår, at katten har de mest seriøse hensigter, han vil ikke forlade, og de kalder på hjælp fra en webprogrammør - en person, der har oprettet siden og forstår den, og som nu administrerer den. Programmøren går ind på siden, sletter endnu en gang den irriterende kat, finder ud af, at den blev lagt ud på vegne af HR-afdelingen selv, og antager derefter, at HR-afdelingens adgangskode er lækket til nogle online-hooligans, og ændrer den. Katten dukker ikke op igen.
Hvad skete der egentlig? I forhold til gruppen af virksomheder, der omfattede instituttet, gennemførte Group-IB specialister penetrationstest i et format tæt på Red Teaming (det er med andre ord en efterligning af målrettede angreb på din virksomhed ved hjælp af de mest avancerede metoder og værktøjer fra arsenal af hackergrupper). Vi talte detaljeret om Red Teaming . Det er vigtigt at vide, at når man udfører en sådan test, kan en meget bred vifte af forud aftalte angreb bruges, herunder social engineering. Det er klart, at placeringen af katten i sig selv ikke var det ultimative mål for, hvad der skete. Og der var følgende:
- Instituttets hjemmeside var hostet på en server inden for selve instituttets netværk og ikke på tredjepartsservere;
- Der blev fundet en lækage i HR-afdelingens konto (e-mail-logfilen er i roden af webstedet). Det var umuligt at administrere webstedet med denne konto, men det var muligt at redigere jobsider;
- Ved at ændre siderne kan du placere dine scripts i JavaScript. Normalt gør de sider interaktive, men i denne situation kunne de samme scripts stjæle fra den besøgendes browser, hvad der adskilte HR-afdelingen fra programmøren og programmøren fra en simpel besøgende - sessionsidentifikatoren på webstedet. Katten var en angrebsudløser og et billede for at tiltrække opmærksomhed. I HTML-webstedets markupsprog så det sådan ud: Hvis dit billede er indlæst, er JavaScript allerede blevet udført, og dit sessions-id, sammen med data om din browser og IP-adresse, er allerede blevet stjålet.
- Med et stjålet administratorsessions-id ville det være muligt at få fuld adgang til siden, hoste eksekverbare sider i PHP og dermed få adgang til serveroperativsystemet og derefter til selve det lokale netværk, hvilket var et vigtigt delmål for projektet.
Angrebet lykkedes delvist: administratorens sessions-id blev stjålet, men det var bundet til en IP-adresse. Vi kunne ikke komme udenom dette; vi kunne ikke hæve vores webstedsrettigheder til administratorrettigheder, men vi forbedrede vores humør. Det endelige resultat blev til sidst opnået i en anden sektion af netværkets perimeter.
Del 2. Jeg skriver til dig - hvad ellers? Jeg ringer også og hænger rundt på dit kontor og taber flashdrev.
Det, der skete i situationen med katten, er et eksempel på social engineering, omend ikke helt klassisk. Faktisk var der flere begivenheder i denne historie: der var en kat og et institut og en personaleafdeling og en programmør, men der var også e-mails med opklarende spørgsmål, som angiveligt "kandidater" skrev til personaleafdelingen selv og personligt til programmøren for at provokere dem til at gå til webstedets side.
Apropos bogstaver. Almindelig e-mail, sandsynligvis det vigtigste middel til at udføre social engineering, har ikke mistet sin relevans i et par årtier og fører nogle gange til de mest usædvanlige konsekvenser.
Vi fortæller ofte følgende historie ved vores arrangementer, da den er meget afslørende.
Normalt udarbejder vi på baggrund af resultaterne af social engineering-projekter statistikker, der som bekendt er en tør og kedelig ting. Så mange procent af modtagerne åbnede den vedhæftede fil fra brevet, så mange fulgte linket, men disse tre indtastede faktisk deres brugernavn og adgangskode. I et projekt fik vi mere end 100 % indtastede adgangskoder – det vil sige, at der kom mere ud, end vi sendte ud.
Det skete sådan her: Et phishing-brev blev sendt, angiveligt fra CISO for et statsligt selskab, med et krav om "hurtigt at teste ændringer i posttjenesten." Brevet nåede lederen af en stor afdeling, der beskæftigede sig med teknisk support. Lederen var meget flittig med at udføre instruktioner fra høje myndigheder og videresendte dem til alle underordnede. Selve callcentret viste sig at være ret stort. Generelt er situationer, hvor nogen videresender "interessante" phishing-e-mails til deres kolleger, og de også bliver fanget, en ret almindelig hændelse. For os er dette den bedste feedback på kvaliteten af at skrive et brev.
Lidt senere fandt de ud af os (brevet blev taget i en kompromitteret postkasse):
Succesen med angrebet skyldtes, at forsendelsen udnyttede en række tekniske mangler i klientens mailsystem. Det var konfigureret på en sådan måde, at det var muligt at sende alle breve på vegne af enhver afsender af organisationen selv uden tilladelse, selv fra internettet. Det vil sige, at du kan udgive dig for at være en CISO eller chef for teknisk support eller en anden. Desuden indsatte mailgrænsefladen, der observerede breve fra "dens" domæne, omhyggeligt et foto fra adressebogen, hvilket tilføjede naturlighed til afsenderen.
I virkeligheden er et sådant angreb ikke en særlig kompleks teknologi; det er en vellykket udnyttelse af en meget grundlæggende fejl i mailindstillinger. Det bliver jævnligt gennemgået på specialiserede it- og informationssikkerhedsressourcer, men ikke desto mindre er der stadig virksomheder, der har alt dette til stede. Da ingen er tilbøjelig til grundigt at tjekke serviceoverskrifterne for SMTP-mailprotokollen, kontrolleres et brev normalt for "fare" ved hjælp af advarselsikoner i mailgrænsefladen, som ikke altid viser hele billedet.
Interessant nok virker en lignende sårbarhed også i den anden retning: en angriber kan sende en e-mail på vegne af din virksomhed til en tredjepartsmodtager. For eksempel kan han forfalske en faktura for regelmæssig betaling på dine vegne og angive andre detaljer i stedet for dine. Bortset fra anti-svig og udbetalingsproblemer, er dette sandsynligvis en af de nemmeste måder at stjæle penge gennem social engineering.
Ud over at stjæle adgangskoder gennem phishing, er et klassisk socioteknisk angreb at sende eksekverbare vedhæftede filer. Hvis disse investeringer overvinder alle sikkerhedsforanstaltninger, som moderne virksomheder normalt har mange af, vil der blive oprettet en fjernadgangskanal til ofrets computer. For at demonstrere konsekvenserne af angrebet kan den resulterende fjernbetjening udvikles op til adgang til særligt vigtige fortrolige oplysninger. Det er bemærkelsesværdigt, at langt de fleste angreb, som medierne bruger til at skræmme alle, starter præcis sådan.
I vores revisionsafdeling beregner vi for sjovs skyld omtrentlige statistikker: hvad er den samlede værdi af aktiverne i virksomheder, som vi har fået domæneadministratoradgang til, hovedsageligt gennem phishing og afsendelse af eksekverbare vedhæftede filer? I år nåede den op på omkring 150 milliarder euro.
Det er klart, at det ikke er de eneste metoder til social engineering at sende provokerende e-mails og poste billeder af katte på hjemmesider. I disse eksempler har vi forsøgt at vise de mange forskellige angrebsformer og deres konsekvenser. Ud over breve kan en potentiel angriber ringe for at få de nødvendige oplysninger, sprede medier (for eksempel flashdrev) med eksekverbare filer på målvirksomhedens kontor, få et job som praktikant, få fysisk adgang til det lokale netværk under dække af en CCTV-kamerainstallatør. Alle disse er i øvrigt eksempler fra vores succesfuldt gennemførte projekter.
Del 3. Undervisning er lys, men det ulærde er mørke
Et rimeligt spørgsmål opstår: Nå, okay, der er social engineering, det ser farligt ud, men hvad skal virksomhederne gøre ved alt dette? Kaptajn Obvious kommer til undsætning: du skal forsvare dig selv, og det på en omfattende måde. En del af beskyttelsen vil være rettet mod i forvejen klassiske sikkerhedsforanstaltninger, såsom tekniske midler til informationsbeskyttelse, overvågning, organisatorisk og juridisk understøttelse af processer, men hovedparten bør efter vores opfattelse rettes mod direkte arbejde med medarbejdere som f.eks. svageste led. Når alt kommer til alt, uanset hvor meget du styrker teknologien eller skriver hårde regler, vil der altid være en bruger, der vil opdage en ny måde at bryde alt på. Desuden vil hverken regler eller teknologi holde trit med brugerens kreativitets flugt, især hvis han bliver tilskyndet af en kvalificeret angriber.
Først og fremmest er det vigtigt at træne brugeren: forklar, at selv i hans rutinearbejde kan der opstå situationer relateret til social engineering. For vores kunder udfører vi ofte om digital hygiejne - et arrangement, der lærer grundlæggende færdigheder til at imødegå angreb generelt.
Jeg kan tilføje, at en af de bedste beskyttelsesforanstaltninger slet ikke ville være at huske informationssikkerhedsreglerne, men at vurdere situationen på en lidt løsrevet måde:
- Hvem er min samtalepartner?
- Hvor kom hans forslag eller anmodning fra (dette er aldrig sket før, og nu er det dukket op)?
- Hvad er usædvanligt ved denne anmodning?
Selv en usædvanlig type bogstavskrift eller en talemåde, der er usædvanlig for afsenderen, kan sætte gang i en kæde af tvivl, der vil stoppe et angreb. Foreskrevne instruktioner er også nødvendige, men de fungerer anderledes og kan ikke specificere alle mulige situationer. For eksempel skriver informationssikkerhedsadministratorer i dem, at du ikke kan indtaste din adgangskode på tredjepartsressourcer. Hvad hvis "din", "virksomheds" netværksressource beder om en adgangskode? Brugeren tænker: "Vores virksomhed har allerede to dusin tjenester med en enkelt konto, hvorfor ikke have en anden?" Dette fører til en anden regel: en velstruktureret arbejdsproces påvirker også sikkerheden direkte: Hvis en naboafdeling kun kan anmode om oplysninger fra dig skriftligt og kun gennem din leder, vil en person "fra en betroet partner i virksomheden" bestemt ikke være i stand til at anmode om det på telefon - dette er for dig, det vil være noget pjat. Du skal være særlig forsigtig, hvis din samtalepartner kræver at gøre alt lige nu, eller "ASAP", som det er på mode at skrive. Selv i normalt arbejde er denne situation ofte ikke sund, og i lyset af mulige angreb er det en stærk udløser. Ingen tid til at forklare, kør min fil!
Vi bemærker, at brugere altid er målrettet som legender for et socioteknisk angreb af emner relateret til penge i en eller anden form: løfter om kampagner, præferencer, gaver samt information med angiveligt lokal sladder og intriger. Med andre ord er de banale "dødssynder" i gang: profittørst, grådighed og overdreven nysgerrighed.
God træning bør altid omfatte praksis. Det er her, penetrationstesteksperter kan komme til undsætning. Det næste spørgsmål er: hvad og hvordan vil vi teste? Vi hos Group-IB foreslår følgende tilgang: Vælg straks fokus for test: enten vurdere beredskabet til angreb af kun brugerne selv, eller kontroller sikkerheden for virksomheden som helhed. Og test ved hjælp af social engineering-metoder, simulering af rigtige angreb - det vil sige den samme phishing, afsendelse af eksekverbare dokumenter, opkald og andre teknikker.
I det første tilfælde er angrebet omhyggeligt forberedt sammen med repræsentanter for kunden, hovedsageligt med sine it- og informationssikkerhedsspecialister. Legender, værktøjer og angrebsteknikker er konsekvente. Kunden leverer selv fokusgrupper og lister over brugere til angreb, som omfatter alle nødvendige kontakter. Der oprettes undtagelser på sikkerhedsforanstaltninger, da beskeder og eksekverbare belastninger skal nå modtageren, fordi i et sådant projekt kun folks reaktioner er af interesse. Eventuelt kan du inkludere markører i angrebet, hvorved brugeren kan gætte, at der er tale om et angreb - for eksempel kan du lave et par stavefejl i beskeder eller efterlade unøjagtigheder i kopieringen af virksomhedsstilen. I slutningen af projektet opnås den samme "tørre statistik": Hvilke fokusgrupper reagerede på scenarierne og i hvilket omfang.
I det andet tilfælde udføres angrebet med nul indledende viden ved hjælp af "black box" -metoden. Vi indsamler uafhængigt information om virksomheden, dens ansatte, netværkets perimeter, opretter angrebslegender, vælger metoder, leder efter mulige sikkerhedsforanstaltninger, der bruges i målvirksomheden, tilpasser værktøjer og opretter scenarier. Vores specialister anvender både klassisk open source intelligens (OSINT) metoder og Group-IB’s eget produkt - Threat Intelligence, et system, der ved forberedelse til phishing kan fungere som en aggregator af information om en virksomhed over en længere periode, herunder klassificeret information. For at angrebet ikke skal blive en ubehagelig overraskelse, aftales dets detaljer naturligvis også med kunden. Det viser sig at være en fuldgyldig penetrationstest, men den vil være baseret på avanceret social engineering. Den logiske mulighed i dette tilfælde er at udvikle et angreb inden for netværket, op til opnåelse af de højeste rettigheder i interne systemer. I øvrigt bruger vi på lignende måde sociotekniske angreb i , og i nogle penetrationstests. Som et resultat vil kunden modtage en uafhængig omfattende vision af deres sikkerhed mod en bestemt type sociotekniske angreb, samt en demonstration af effektiviteten (eller omvendt ineffektiviteten) af den indbyggede forsvarslinje mod eksterne trusler.
Vi anbefaler at gennemføre denne uddannelse mindst to gange om året. For det første er der personaleomsætning i enhver virksomhed, og tidligere erfaringer glemmes gradvist af medarbejderne. For det andet ændres metoder og teknikker til angreb konstant, og det fører til behovet for at tilpasse sikkerhedsprocesser og beskyttelsesværktøjer.
Hvis vi taler om tekniske foranstaltninger til at beskytte mod angreb, hjælper følgende mest:
- Tilstedeværelsen af obligatorisk to-faktor autentificering på tjenester offentliggjort på internettet. At frigive sådanne tjenester i 2019 uden Single Sign On-systemer, uden beskyttelse mod password brute force og uden to-faktor autentificering i et selskab på flere hundrede mennesker er ensbetydende med en åben opfordring om at "knække mig." Korrekt implementeret beskyttelse vil gøre hurtig brug af stjålne adgangskoder umulig og vil give tid til at eliminere konsekvenserne af et phishing-angreb.
- Kontrollere adgangskontrol, minimere brugerrettigheder i systemer og følge retningslinjerne for sikker produktkonfiguration, der er udgivet af hver større producent. Disse er ofte af enkle karakter, men meget effektive og vanskelige at gennemføre tiltag, som alle i en eller anden grad forsømmer for hurtighedens skyld. Og nogle er så nødvendige, at uden dem vil ingen beskyttelsesmidler redde.
- Velbygget e-mail-filtreringslinje. Antispam, total scanning af vedhæftede filer for ondsindet kode, inklusive dynamisk test gennem sandkasser. Et velforberedt angreb betyder, at den eksekverbare vedhæftede fil ikke vil blive opdaget af antivirusværktøjer. Sandkassen vil tværtimod teste alt for sig selv ved at bruge filer på samme måde som en person bruger dem. Som et resultat vil en mulig ondsindet komponent blive afsløret af ændringer foretaget inde i sandkassen.
- Midler til beskyttelse mod målrettede angreb. Som allerede nævnt vil klassiske antivirusværktøjer ikke opdage ondsindede filer i tilfælde af et velforberedt angreb. De mest avancerede produkter bør automatisk overvåge helheden af hændelser, der finder sted på netværket - både på niveauet af en individuel vært og på niveauet af trafik inden for netværket. Ved angreb opstår der meget karakteristiske hændelseskæder, som kan spores og stoppes, hvis man har overvågning fokuseret på begivenheder af denne art.
Original artikel i magasinet “Informationssikkerhed/ Informationssikkerhed” #6, 2019.
Kilde: www.habr.com