Forestil dig denne situation. En kold oktobermorgen på et designinstitut i det regionale centrum af en af Ruslands regioner. En person fra HR-afdelingen går til en af stillingssiderne på instituttets hjemmeside, som blev lagt op for et par dage siden, og ser et billede af en kat der. Morgenen holder hurtigt op med at være kedelig...
I denne artikel taler Pavel Suprunyuk, teknisk direktør for revisions- og rådgivningsafdelingen hos Group-IB, om social engineering-angrebs plads i projekter for at vurdere den praktiske sikkerhed, hvilke usædvanlige former de kan antage, og hvordan man beskytter sig mod sådanne angreb. Forfatteren specificerer, at artiklen er af oversigtsmæssig karakter, men hvis der er aspekter, der interesserer læserne, vil Group-IB-eksperter med glæde besvare spørgsmål i kommentarerne.
Del 1. Hvorfor så alvorligt?
Lad os vende tilbage til vores kat. Efter et stykke tid sletter HR-afdelingen billedet (skærmbillederne her og nedenfor er delvist retoucheret for ikke at afsløre de rigtige navne), men det vender stædigt tilbage, det slettes igen, og dette sker flere gange. HR-afdelingen forstår, at kattens intentioner er meget alvorlige, den vil ikke forlade stedet og tilkalder hjælp fra en webprogrammør - en person, der har lavet siden og forstår den, og nu administrerer den. Programmøren går til siden, sletter den irriterende kat igen, finder ud af, at den blev lagt ud på vegne af HR-afdelingen selv, antager derefter, at HR-adgangskoden er lækket til nogle online bøller og ændrer den. Katten dukker ikke op igen.
Hvad skete der egentlig? I forhold til gruppen af virksomheder, som omfattede instituttet, udførte Group-IB-specialister penetrationstest i et format, der mindede om Red Teaming (kort sagt er det en efterligning af målrettede angreb på din virksomhed ved hjælp af de mest avancerede metoder og værktøjer fra hackergruppernes arsenal). Vi talte om Red Teaming i detaljer. Det er vigtigt at vide, at når man udfører en sådan test, kan man bruge en meget bred vifte af angreb ud over dem, der er aftalt på forhånd, herunder social engineering. Det er tydeligt, at selve placeringen af katten ikke var det endelige mål med det, der skete. Men følgende var:
- Instituttets hjemmeside blev hostet på en server i instituttets eget netværk i stedet for på tredjepartsservere;
- Der blev fundet en lækage af HR-kontoen (mail-logfil i roden af webstedet). Det var umuligt at administrere webstedet med denne konto, men det var muligt at redigere jobannoncerne.
- Ved at ændre siderne kunne du placere dine egne JavaScript-scripts. Normalt gør de siderne interaktive, men i denne situation kunne de samme scripts stjæle det fra den besøgendes browser, der adskilte HR-afdelingen fra programmøren og programmøren fra den gennemsnitlige besøgende - sessions-ID'et på webstedet. Katten var udløseren for angrebet og billedet for at tiltrække opmærksomhed. I HTML så det sådan ud: Hvis du har indlæst billedet, er JavaScript allerede blevet udført, og dit sessions-ID er sammen med data om din browser og IP-adresse allerede blevet stjålet.
- Med det stjålne administratorsessions-ID ville det være muligt at få fuld adgang til webstedet, placere eksekverbare sider i PHP og dermed få adgang til serverens operativsystem og derefter til selve det lokale netværk, hvilket var et vigtigt delmål for projektet.
Angrebet endte med delvis succes - administratorens sessions-ID blev stjålet, men det var knyttet til en IP-adresse. Vi kunne ikke omgå dette, vi kunne ikke øge privilegierne på webstedet til administratorrettigheder, men vi fik dog forbedret vores humør. Slutresultatet blev til sidst opnået på en anden del af netværksperimeteren.
Del 2. Jeg skriver til dig - hvad mere? Og jeg ringer også og hænger rundt på dit kontor og smider USB-drev.
Det, der skete i situationen med katten, er et eksempel på social engineering, omend ikke helt klassisk. Faktisk var der flere begivenheder i denne historie: der var en kat, og et institut, og en HR-afdeling, og en programmør, men der var også e-mails med opklarende spørgsmål, som de påståede "kandidater" skrev til selve HR-afdelingen og personligt til programmøren for at provokere dem til at besøge hjemmesiden.
Apropos breve, så er almindelig e-mail sandsynligvis det primære redskab til social engineering, og den har ikke mistet sin relevans i et par årtier nu, og den fører nogle gange til de mest usædvanlige konsekvenser.
Vi fortæller ofte følgende historie ved vores arrangementer, fordi den er meget illustrativ.
Normalt udarbejder vi statistikker baseret på resultaterne fra social engineering-projekter, hvilket, som bekendt, er en tør og kedelig ting. Så mange procent af modtagerne åbnede den vedhæftede fil fra brevet, så mange fulgte linket, og disse tre indtastede endda deres login og adgangskode. I ét projekt modtog vi mere end 100% af de indtastede adgangskoder - det vil sige flere, end vi sendte ud.
Sådan skete det: En phishing-e-mail blev sendt, angiveligt fra en ITSO i en statslig virksomhed, med et krav om "hurtigt at teste ændringer i posttjenesten". E-mailen blev sendt til lederen af en stor afdeling, der beskæftigede sig med teknisk support. Lederen var meget omhyggelig med at udføre ordrer fra den øverste ledelse og videresendte den til alle underordnede. Selve callcenteret viste sig at være ret stort. Generelt er situationer, hvor nogen videresender "interessante" phishing-e-mails til sine kolleger, og de også bliver opdaget, ret almindelige. For os er dette den bedste feedback på brevets kvalitet.
Lidt senere blev vi opdaget (brevet blev filmet i en kompromitteret postkasse):
Angrebet var så vellykket, fordi forsendelsen udnyttede en række tekniske mangler i klientens mailsystem. Det var konfigureret på en sådan måde, at alle breve kunne sendes på vegne af enhver afsender i organisationen selv uden autorisation, selv fra internettet. Det vil sige, at det var muligt at foregive at være en CISO, en chef for teknisk support eller en anden. Desuden erstattede mailgrænsefladen, der observerede breve fra "sit" domæne, omhyggeligt et foto fra adressebogen, hvilket tilføjede afsenderens ægthed.
I virkeligheden hører et sådant angreb ikke til særligt komplekse teknologier, det er en vellykket udnyttelse af en meget grundlæggende mailkonfigurationsfejl. Det analyseres regelmæssigt på specialiserede IT- og informationssikkerhedsressourcer, men ikke desto mindre er der stadig virksomheder, der har alt dette. Da ingen er tilbøjelige til at kontrollere serviceheaderne i SMTP-mailprotokollen grundigt, kontrolleres brevet normalt for "fare" ved hjælp af advarselsikoner i mailgrænsefladen, som ikke altid viser hele billedet.
Interessant nok virker denne sårbarhed også i den anden retning: en angriber kan sende et brev på vegne af din virksomhed til en tredjepartsmodtager. For eksempel kan de forfalske en almindelig betalingsfaktura på dine vegne og angive andre oplysninger i stedet for dine. Hvis vi ser bort fra problemerne med bekæmpelse af svindel og udbetaling af penge, er dette sandsynligvis en af de nemmeste måder at stjæle penge på ved hjælp af social engineering.
Udover at stjæle adgangskoder via phishing, er et klassisk social engineering-angreb at sende eksekverbare vedhæftede filer. Hvis disse vedhæftede filer overvinder alle beskyttelsesværktøjer, som moderne virksomheder normalt har mange af, oprettes en fjernadgangskanal til offerets computer. For at demonstrere konsekvenserne af angrebet kan den opnåede fjernbetjening udvikles til at give adgang til særligt vigtige fortrolige oplysninger. Det er bemærkelsesværdigt, at langt de fleste angreb, som medierne skræmmer alle med, starter præcis sådan.
I vores revisionsafdeling beregner vi grove statistikker for sjov: Hvad er den samlede værdi af aktiver i virksomheder, som vi har fået adgang til som "Domæneadministrator", primært gennem phishing og afsendelse af eksekverbare vedhæftede filer? I år er den nået op på cirka 150 milliarder euro.
Det er tydeligt, at det at sende provokerende e-mails og poste kattebilleder på hjemmesider ikke er de eneste metoder til social engineering. I disse eksempler har vi forsøgt at vise mangfoldigheden af angrebsformer og deres konsekvenser. Ud over e-mails kan en potentiel angriber ringe for at indhente de nødvendige oplysninger, sprede medier (f.eks. flashdrev) med eksekverbare filer på målvirksomhedens kontor, få et job som praktikant, få fysisk adgang til det lokale netværk under dække af at være CCTV-kamerainstallatør. Alt dette er i øvrigt eksempler fra vores succesfuldt gennemførte projekter.
Del 3. Lærdom er lys, men de ulærde er mørke
Et rimeligt spørgsmål opstår: Okay, der er social engineering, det ser farligt ud, men hvad skal virksomheder stille op med alt dette? Captain Obvious kommer i hast til undsætning: I skal beskytte jer selv, og på en omfattende måde. En del af beskyttelsen vil være rettet mod sikkerhedsforanstaltninger, der allerede er blevet klassiske, såsom tekniske midler til informationsbeskyttelse, overvågning, organisatorisk og juridisk støtte til processer, men hoveddelen bør efter vores mening være rettet mod direkte arbejde med medarbejdere som det svageste led. Uanset hvor meget I styrker udstyret eller skriver strenge regler, vil der altid være en bruger, der vil opdage en ny måde at bryde alt på. Desuden vil hverken reglerne eller udstyret kunne følge med brugerens kreativitet, især hvis han bliver bedt om det af en kvalificeret angriber.
Først og fremmest er det vigtigt at uddanne brugeren: at forklare, at selv i hans rutinemæssige arbejde kan der opstå situationer relateret til social engineering. For vores kunder udfører vi ofte om digital hygiejne - et arrangement, der lærer grundlæggende færdigheder til at modvirke angreb generelt.
Jeg kan tilføje, at en af de bedste beskyttelsesforanstaltninger ikke vil være at huske reglerne for informationssikkerhed, men en lidt upartisk vurdering af situationen:
- Hvem er min samtalepartner?
- Hvor kom hans forslag eller anmodning fra (dette var trods alt aldrig sket før, og nu dukkede det op)?
- Hvad er usædvanligt ved denne anmodning?
Selv en usædvanlig skrifttype i et brev eller en talestil, der ikke er typisk for afsenderen, kan udløse en kædereaktion af tvivl, der vil stoppe angrebet. Skriftlige instruktioner er også nødvendige, men de fungerer anderledes, og de kan ikke specificere alle mulige situationer. For eksempel skriver informationssikkerhedsadministratorer i dem, at du ikke kan indtaste din adgangskode på tredjepartsressourcer. Men hvad nu hvis adgangskoden anmodes om af "din egen", "virksomheds" netværksressource? Brugeren tænker: "Vores virksomhed har allerede to dusin tjenester med en enkelt konto, hvorfor ikke have en til?" Dette fører til en anden regel: en velstruktureret arbejdsgang påvirker også direkte sikkerheden: Hvis en tilstødende afdeling kun kan anmode om oplysninger fra dig skriftligt og kun gennem din leder, vil en person "fra en betroet partner i virksomheden" bestemt ikke kunne anmode om det telefonisk - for dig vil det være nonsens. Du bør være særlig forsigtig, hvis din samtalepartner kræver, at alt skal gøres lige nu, eller "ASAP", som man siger. Selv i almindeligt arbejde er en sådan situation ofte usund, og i tilfælde af mulige angreb er det en stærk trigger. Ingen tid til at forklare, kør min fil!
Vi bemærker, at brugerne altid er påvirket af temaer relateret til penge i en eller anden form som legender for et socioteknisk angreb: løfter om forfremmelser, præferencer, gaver, samt information med angiveligt lokal sladder og intriger. Med andre ord virker de banale "dødssynder": tørst efter profit, grådighed og overdreven nysgerrighed.
God træning bør altid omfatte øvelse. Det er her, penetrationstestspecialister kan hjælpe. Det næste spørgsmål er: hvad og hvordan vil vi teste? Hos Group-IB tilbyder vi følgende tilgang - vælg straks fokus for testen: enten vurder kun brugernes egne angrebsberedskab, eller tjek virksomhedens sikkerhed som helhed. Og test ved hjælp af social engineering-metoder, der simulerer virkelige angreb - det vil sige den samme phishing, afsendelse af eksekverbare dokumenter, opkald og andre teknikker.
I det første tilfælde forberedes angrebet omhyggeligt sammen med kundens repræsentanter, primært med deres IT- og informationssikkerhedsspecialister. Legender, værktøjer og angrebsteknikker aftales. Kunden stiller selv fokusgrupper og brugerlister til rådighed for angrebet, som inkluderer alle nødvendige kontakter. Undtagelser oprettes for beskyttelsesværktøjer, da beskeder og eksekverbare indlæsninger nødvendigvis skal nå modtageren, fordi det i et sådant projekt kun er personers reaktioner, der er af interesse. Valgfrit kan du inkludere markører i angrebet, hvormed brugeren kan gætte, at der er tale om et angreb - for eksempel kan du lave et par stavefejl i beskederne eller efterlade unøjagtigheder i kopieringen af virksomhedens stil. Ved projektets afslutning får du den samme "tørre statistik": hvilke fokusgrupper og i hvilken grad der reagerede på scenarierne.
I det andet tilfælde udføres angrebet uden nogen indledende viden ved hjælp af "black box"-metoden. Vi indsamler uafhængigt information om virksomheden, dens medarbejdere og netværkets perimeter, opretter tegnforklaringer til angrebet, vælger metoder, leder efter mulige beskyttelsesmidler, der anvendes i målvirksomheden, tilpasser værktøjer og skaber scenarier. Vores specialister bruger både klassiske open source intelligence (OSINT)-metoder og Group-IB's eget produkt, Threat Intelligence, et system, der kan fungere som en samler af information om virksomheden over en længere periode, herunder ved hjælp af klassificerede oplysninger, når de forbereder sig på phishing. For at angrebet ikke bliver en ubehagelig overraskelse, aftales detaljerne selvfølgelig også med kunden. Det viser sig at være en fuldgyldig penetrationstest, men den vil være baseret på avanceret social engineering. En logisk mulighed i dette tilfælde er at udvikle angrebet inde i netværket, op til at opnå de højeste rettigheder i interne systemer. I øvrigt bruger vi sociotekniske angreb på en lignende måde og i , og i nogle penetrationstests. Som et resultat vil kunden modtage et uafhængigt og omfattende overblik over deres sikkerhed mod en bestemt type socioteknisk angreb, samt en demonstration af effektiviteten (eller omvendt ineffektiviteten) af den indbyggede forsvarslinje mod eksterne trusler.
Vi anbefaler at gennemføre sådan træning mindst to gange om året. For det første oplever enhver virksomhed personaleudskiftning, og tidligere erfaringer glemmes gradvist af medarbejderne. For det andet ændrer angrebsmetoder og -teknikker sig konstant, og dette fører til behovet for at tilpasse sikkerhedsprocesser og beskyttelsesværktøjer.
Hvis vi taler om tekniske foranstaltninger til beskyttelse mod angreb, er følgende mest nyttige:
- Obligatorisk tofaktorgodkendelse på tjenester offentliggjort på internettet. At frigive sådanne tjenester i 2019 uden Single Sign-On-systemer, uden beskyttelse mod gæt af adgangskoder og uden tofaktorgodkendelse i en virksomhed med flere hundrede mennesker er ensbetydende med et åbent opråb om at "knække mig". Korrekt implementeret beskyttelse vil gøre hurtig brug af stjålne adgangskoder umulig og vil give tid til at eliminere konsekvenserne af et phishing-angreb.
- Kontrol af adgangskontrol, minimering af brugerrettigheder i systemer og overholdelse af produktsikkerhedsretningslinjerne fra alle større producenter. Disse er ofte enkle i bund og grund, men meget effektive og vanskelige at implementere i praksis, foranstaltninger som alle i et vist omfang forsømmer af hensyn til hastighed. Og nogle er så nødvendige, at uden dem vil intet sikkerhedsværktøj redde dig.
- En veludviklet e-mail-filtreringslinje. Anti-spam, komplet kontrol af vedhæftede filer for skadelig kode, inklusive dynamisk testning via sandkasser. Et velforberedt angreb indebærer, at den eksekverbare vedhæftede fil ikke vil blive registreret af antivirusværktøjer. Sandkassen vil derimod kontrollere alt på sig selv ved hjælp af filer på samme måde, som en person bruger dem. Som et resultat vil en potentiel skadelig komponent blive afsløret af de ændringer, der foretages i sandkassen.
- Forsvar mod målrettede angreb. Som allerede nævnt vil klassiske antivirusværktøjer ikke registrere skadelige filer i et velforberedt angreb. De mest avancerede produkter bør automatisk overvåge alle hændelser, der forekommer i netværket - både på niveauet af en individuel vært og på niveauet af trafik i netværket. I tilfælde af angreb opstår der meget karakteristiske hændelseskæder, der kan spores og stoppes, hvis man har overvågning fokuseret på sådanne hændelser.
Original artikel i tidsskriftet "Informationssikkerhed" #6, 2019.
Kilde: www.habr.com
