Imagu ĉi tiun situacion. Malvarma oktobra mateno, desegna instituto en la regiona centro de unu el la regionoj de Rusio. Iu el la HR-sekcio iras al unu el la vakantpaĝoj en la retejo de la instituto, afiŝita antaŭ kelkaj tagoj, kaj vidas foton de kato tie. La mateno rapide ĉesas esti enuiga...
En ĉi tiu artikolo, Pavel Suprunyuk, teknika estro de la revizio kaj konsulta sekcio ĉe Group-IB, parolas pri la loko de sociteknikaj atakoj en projektoj taksantaj praktikan sekurecon, kiajn nekutimajn formojn ili povas preni kaj kiel protekti kontraŭ tiaj atakoj. La aŭtoro klarigas, ke la artikolo estas de recenza naturo, tamen, se iu aspekto interesas legantojn, Group-IB-fakuloj facile respondos demandojn en la komentoj.
Parto 1. Kial tiel serioze?
Ni revenu al nia kato. Post iom da tempo, la HR-fako forigas la foton (la ekrankopioj ĉi tie kaj sube estas parte retuŝitaj por ne malkaŝi verajn nomojn), sed ĝi obstine revenas, ĝi estas denove forigita, kaj tio okazas plurfoje. La HR-fako komprenas, ke la kato havas la plej seriozajn intencojn, li ne volas foriri, kaj ili postulas helpon de retejo-programisto - homo, kiu kreis la retejon kaj komprenas ĝin, kaj nun administras ĝin. La programisto iras al la retejo, denove forigas la ĝenan katon, ekscias, ke ĝi estis afiŝita nome de la HR-fako mem, tiam faras la supozon, ke la pasvorto de la HR-fako likis al iuj interretaj huliganoj, kaj ŝanĝas ĝin. La kato ne aperas denove.
Kio vere okazis? Rilate al la grupo de kompanioj, kiuj inkludis la instituton, la specialistoj de Group-IB faris penetrotestojn en formato proksima al Red Teaming (alivorte, ĉi tio estas imitaĵo de celitaj atakoj kontraŭ via kompanio uzante la plej altnivelajn metodojn kaj ilojn de la arsenalo de pirataj grupoj). Ni detale parolis pri Red Teaming . Gravas scii, ke kiam oni faras tian provon, oni povas uzi tre larĝan gamon de antaŭkonsentitaj atakoj, inkluzive de socia inĝenierado. Estas klare, ke la lokigo de la kato mem ne estis la finfina celo de kio okazis. Kaj estis la sekvanta:
- la retejo de la instituto estis gastigita sur servilo ene de la reto de la instituto mem, kaj ne sur triaj serviloj;
- Liko en la konto de HR-fako estis trovita (la retpoŝta protokolo-dosiero estas ĉe la radiko de la retejo). Estis neeble administri la retejon per ĉi tiu konto, sed eblis redakti laborpaĝojn;
- Ŝanĝante la paĝojn, vi povus meti viajn skriptojn en JavaScript. Kutime ili faras paĝojn interagaj, sed en ĉi tiu situacio, la samaj skriptoj povus ŝteli de la retumilo de la vizitanto tion, kio distingis la HR-fakon de la programisto, kaj la programiston de simpla vizitanto - la seanca identigilo en la retejo. La kato estis ataka ellasilo kaj bildo por altiri atenton. En la HTML-reteja marklingvo, ĝi aspektis jene: se via bildo ŝargis, JavaScript jam estis ekzekutita kaj via seanida ID, kune kun datumoj pri via retumilo kaj IP-adreso, jam estas ŝtelita.
- Kun ŝtelita administra sesio-ID, eblus akiri plenan aliron al la retejo, gastigi ruleblajn paĝojn en PHP, kaj tial akiri aliron al la servila operaciumo, kaj poste al la loka reto mem, kio estis grava meza celo de la projekto.
La atako estis parte sukcesa: la seanca ID de la administranto estis ŝtelita, sed ĝi estis ligita al IP-adreso. Ni ne povis ĉirkaŭiri ĉi tion; ni ne povis altigi niajn retejajn privilegiojn al administranto privilegioj, sed ni ja plibonigis nian humoron. La fina rezulto estis poste akirita en alia sekcio de la retperimetro.
Parto 2. Mi skribas al vi - kio alia? Mi ankaŭ vokas kaj rondiras en via oficejo, faligante poŝmemorojn.
Kio okazis en la situacio kun la kato estas ekzemplo de socia inĝenierado, kvankam ne tute klasika. Fakte, estis pli da eventoj en ĉi tiu rakonto: estis kato, kaj instituto, kaj personara fako, kaj programisto, sed ankaŭ estis retmesaĝoj kun klarigantaj demandoj, kiujn supozeble "kandidatoj" skribis al la personara fako mem kaj persone. al la programisto por instigi ilin iri al la retejo-paĝo.
Parolante pri leteroj. Ordinara retpoŝto, verŝajne la ĉefa veturilo por realigi socian inĝenieradon, ne perdis sian gravecon dum kelkaj jardekoj kaj foje kondukas al la plej nekutimaj konsekvencoj.
Ni ofte rakontas la sekvan historion ĉe niaj eventoj, ĉar ĝi estas tre malkaŝema.
Kutime, surbaze de la rezultoj de sociaj inĝenieraj projektoj, ni kompilas statistikojn, kiuj, kiel ni scias, estas seka kaj enuiga afero. Tiom da procentoj de ricevantoj malfermis la aldonaĵon de la letero, tiom multaj sekvis la ligilon, sed ĉi tiuj tri fakte enmetis sian uzantnomon kaj pasvorton. En unu projekto, ni ricevis pli ol 100% de pasvortoj enigitaj - tio estas, pli eliris ol ni sendis.
Okazis jene: fiŝida letero estis sendita, supozeble de la CISO de ŝtata korporacio, kun postulo "urĝe testi ŝanĝojn en la poŝta servo." La letero atingis la estron de granda departemento, kiu okupiĝis pri teknika subteno. La manaĝero estis tre diligenta plenumi instrukciojn de altaj aŭtoritatoj kaj plusendis ilin al ĉiuj subuloj. La telefoncentro mem montriĝis sufiĉe granda. Ĝenerale, situacioj kie iu plusendas "interesajn" phishing retpoŝtojn al siaj kolegoj kaj ili ankaŭ estas kaptitaj estas sufiĉe ofta okazo. Por ni, ĉi tio estas la plej bona retrosciigo pri la kvalito de skribado de letero.
Iom poste ili eksciis pri ni (la letero estis prenita en kompromitita leterkesto):
La sukceso de la atako ŝuldiĝis al la fakto, ke la dissendo ekspluatis kelkajn teknikajn mankojn en la poŝtsistemo de la kliento. Ĝi estis agordita tiel, ke eblis sendi ajnajn leterojn en la nomo de iu ajn sendinto de la organizo mem sen rajtigo, eĉ de la Interreto. Tio estas, vi povus ŝajnigi esti CISO, aŭ la estro de teknika subteno, aŭ iu alia. Krome, la poŝta interfaco, observante leterojn de "sia" domajno, zorge enmetis foton el la adresaro, kio aldonis naturecon al la sendinto.
Vere, tia atako ne estas precipe kompleksa teknologio; ĝi estas sukcesa ekspluato de tre baza difekto en poŝtagordoj. Ĝi estas regule reviziita pri specialaj IT kaj informaj sekurecaj rimedoj, sed tamen ankoraŭ ekzistas kompanioj, kiuj havas ĉion ĉi ĉeestanta. Ĉar neniu emas ĝisfunde kontroli la servtitolojn de la SMTP-poŝta protokolo, letero estas kutime kontrolita por "danĝero" uzante avertajn ikonojn en la poŝta interfaco, kiuj ne ĉiam montras la tutan bildon.
Kurioze, simila vundebleco ankaŭ funkcias en la alia direkto: atakanto povas sendi retmesaĝon nome de via kompanio al tria-partia ricevanto. Ekzemple, li povas falsi fakturon por regula pago en via nomo, indikante aliajn detalojn anstataŭ la vian. Krom kontraŭ-fraŭdaj kaj mon-elprenaj aferoj, ĉi tio verŝajne estas unu el la plej facilaj manieroj ŝteli monon per socia inĝenierado.
Krom ŝtelado de pasvortoj per phishing, klasika sociteknika atako sendas plenumeblajn aldonaĵojn. Se ĉi tiuj investoj venkas ĉiujn sekurecajn mezurojn, el kiuj modernaj kompanioj kutime havas multajn, fora alirkanalo estos kreita al la komputilo de la viktimo. Por pruvi la sekvojn de la atako, la rezulta teleregilo povas esti evoluigita ĝis aliro al precipe gravaj konfidencaj informoj. Estas rimarkinde, ke la granda plimulto de atakoj, kiujn amaskomunikiloj uzas por timigi ĉiujn, komenciĝas ĝuste tiel.
En nia revizia fako, por amuzo, ni kalkulas proksimumajn statistikojn: kia estas la totala valoro de la aktivoj de kompanioj, al kiuj ni akiris aliron de Domajna Administranto, ĉefe per phishing kaj sendado de plenumeblaj aldonaĵoj? Ĉi-jare ĝi atingis proksimume 150 miliardojn da eŭroj.
Estas klare, ke sendi provokemajn retpoŝtojn kaj afiŝi fotojn de katoj en retejoj ne estas la solaj metodoj de socia inĝenierado. En ĉi tiuj ekzemploj ni provis montri la varion de atakformoj kaj iliajn sekvojn. Krom leteroj, ebla atakanto povas voki por akiri la necesajn informojn, disvastigi amaskomunikilaron (ekzemple fulmdiskoj) kun ruleblaj dosieroj en la oficejo de la cela kompanio, akiri laboron kiel staĝanto, akiri fizikan aliron al la loka reto. sub la alivestiĝo de instalilo de CCTV-fotilo. Ĉiuj ĉi, cetere, estas ekzemploj de niaj sukcese plenumitaj projektoj.
Parto 3. Instruado estas lumo, sed nelernulo estas mallumo
Racia demando estiĝas: nu, bone, ekzistas socia inĝenierado, ĝi aspektas danĝera, sed kion kompanioj faru pri ĉio ĉi? Kapitano Obvious venas al la savo: vi devas defendi vin, kaj en ampleksa maniero. Iu parto de la protekto celos jam klasikajn sekurecajn mezurojn, kiel teknikajn rimedojn de informa protekto, monitorado, organiza kaj jura subteno de procezoj, sed la ĉefa parto, laŭ nia opinio, devus esti direktita al direkti laboron kun dungitoj kiel la plej malforta ligilo. Post ĉio, kiom ajn vi plifortigas la teknologion aŭ verkas severajn regularojn, ĉiam estos uzanto, kiu malkovros novan manieron rompi ĉion. Krome, nek regularoj nek teknologio daŭrigos la flugon de la kreemo de la uzanto, precipe se li estas instigita de kvalifikita atakanto.
Antaŭ ĉio, gravas trejni la uzanton: klarigu, ke eĉ en lia rutina laboro povas aperi situacioj rilataj al socia inĝenierado. Por niaj klientoj ni ofte kondukas pri cifereca higieno - evento kiu instruas bazajn kapablojn por kontraŭstari atakojn ĝenerale.
Mi povas aldoni, ke unu el la plej bonaj protektaj rimedoj tute ne estus parkerigi regulojn pri informa sekureco, sed iom disvastigi la situacion:
- Kiu estas mia interparolanto?
- De kie venis lia propono aŭ peto (tio neniam antaŭe okazis, kaj nun ĝi aperis)?
- Kio estas nekutima pri ĉi tiu peto?
Eĉ nekutima tipo de litertiparo aŭ stilo de parolo nekutima por la sendinto povas ekigi ĉenon de dubo, kiu ĉesigos atakon. Ankaŭ necesas preskribitaj instrukcioj, sed ili funkcias alimaniere kaj ne povas specifi ĉiujn eblajn situaciojn. Ekzemple, administrantoj pri informa sekureco skribas en ili, ke vi ne povas enigi vian pasvorton en triaj rimedoj. Kio se "via", "kompania" reto-rimedo petas pasvorton? La uzanto pensas: "Nia kompanio jam havas du dekduojn da servoj kun ununura konto, kial ne havi alian?" Ĉi tio kondukas al alia regulo: bone strukturita laborprocezo ankaŭ rekte influas sekurecon: se najbara fako povas peti informojn de vi nur skribe kaj nur per via administranto, persono "de fidinda partnero de la firmao" certe ne estos. povas peti ĝin per telefono - ĉi tio estas por vi tio estos sensencaĵo. Vi devus esti speciale singarda, se via interparolanto postulas fari ĉion ĝuste nun, aŭ "Apenaŭ eble", ĉar estas laŭmode skribi. Eĉ en normala laboro, ĉi tiu situacio ofte ne estas sana, kaj antaŭ eblaj atakoj, ĝi estas forta ellasilo. Ne estas tempo por klarigi, rulu mian dosieron!
Ni rimarkas, ke uzantoj ĉiam estas celitaj kiel legendoj por sociteknika atako per temoj rilataj al mono en unu aŭ alia formo: promesoj de promocioj, preferoj, donacoj, same kiel informoj kun supozeble lokaj klaĉoj kaj intrigo. Alivorte, la banalaj "mortaj pekoj" funkcias: soifo je profito, avideco kaj troa scivolemo.
Bona trejnado ĉiam devus inkluzivi praktikon. Jen kie spertuloj pri penetrado-testado povas veni al la savo. La sekva demando estas: kion kaj kiel ni provos? Ni ĉe Group-IB proponas la sekvan aliron: tuj elektu la fokuson de testado: aŭ taksu la pretecon por atakoj de nur la uzantoj mem, aŭ kontrolu la sekurecon de la kompanio entute. Kaj provu uzante sociajn inĝenierajn metodojn, simulante verajn atakojn - tio estas, la saman phishing, sendante efektivigeblajn dokumentojn, alvokojn kaj aliajn teknikojn.
En la unua kazo, la atako estas zorge preparita kune kun reprezentantoj de la kliento, ĉefe kun ĝiaj IT kaj informa sekureco specialistoj. Legendoj, iloj kaj atakteknikoj estas konsekvencaj. La kliento mem provizas fokusajn grupojn kaj listojn de uzantoj por atako, kiuj inkluzivas ĉiujn necesajn kontaktojn. Esceptoj estas kreitaj pri sekurecaj mezuroj, ĉar mesaĝoj kaj plenumeblaj ŝarĝoj devas atingi la ricevanton, ĉar en tia projekto interesas nur la reagoj de homoj. Laŭvole, vi povas inkluzivi markilojn en la atako, per kiuj la uzanto povas diveni, ke tio estas atako - ekzemple, vi povas fari kelkajn literumajn erarojn en mesaĝoj aŭ lasi erarojn en kopiado de la kompania stilo. Ĉe la fino de la projekto, la samaj "sekaj statistikoj" estas akiritaj: kiuj fokusgrupoj respondis al la scenaroj kaj kiomgrade.
En la dua kazo, la atako estas farata kun nula komenca scio, uzante la metodon "nigra skatolo". Ni sendepende kolektas informojn pri la kompanio, ĝiaj dungitoj, la reto-perimetro, kreas ataklegendojn, elektas metodojn, serĉas eblajn sekurecajn rimedojn uzatajn en la cela kompanio, adaptas ilojn kaj kreas scenarojn. Niaj specialistoj uzas kaj klasikajn metodojn de malfermfonteca inteligenteco (OSINT) kaj la propran produkton de Group-IB - Threat Intelligence, sistemo kiu, preparinte por phishing, povas funkcii kiel agreganto de informoj pri kompanio dum longa periodo, inkluzive de konfidencaj informoj. Kompreneble, por ke la atako ne fariĝu malagrabla surprizo, ĝiaj detaloj ankaŭ estas interkonsentitaj kun la kliento. Ĝi rezultas esti plentaŭga penetrotesto, sed ĝi estos bazita sur altnivela socia inĝenierado. La logika opcio en ĉi tiu kazo estas disvolvi atakon ene de la reto, ĝis akiri la plej altajn rajtojn en internaj sistemoj. Cetere, simile ni uzas sociteknikajn atakojn en , kaj en kelkaj penetrotestoj. Kiel rezulto, la kliento ricevos sendependan ampleksan vizion de sia sekureco kontraŭ certa speco de sociteknikaj atakoj, same kiel pruvon de la efikeco (aŭ, male, neefikeco) de la konstruita defendlinio kontraŭ eksteraj minacoj.
Ni rekomendas fari ĉi tiun trejnadon almenaŭ dufoje jare. Unue, en iu ajn kompanio estas dungitaro kaj antaŭa sperto estas iom post iom forgesita de dungitoj. Due, metodoj kaj teknikoj de atakoj konstante ŝanĝiĝas kaj tio kondukas al la bezono adapti sekurecajn procezojn kaj protektajn ilojn.
Se ni parolas pri teknikaj mezuroj por protekti kontraŭ atakoj, la sekvaj plej helpas:
- La ĉeesto de deviga dufaktora aŭtentigo sur servoj publikigitaj en la Interreto. Liberigi tiajn servojn en 2019 sen Single Sign On-sistemoj, sen protekto kontraŭ pasvorta krudforto kaj sen dufaktora aŭtentigo en kompanio de plurcent homoj estas egala al malferma voko por "rompi min". Ĝuste efektivigita protekto ebligos la rapidan uzon de ŝtelitaj pasvortoj kaj donos tempon por forigi la konsekvencojn de phishing-atako.
- Kontrolante alirkontrolon, minimumigante uzantrajtojn en sistemoj, kaj sekvante la gvidliniojn por sekura produkta agordo, kiuj estas publikigitaj de ĉiu grava fabrikanto. Ĉi tiuj ofte estas simplaj nature, sed tre efikaj kaj malfacile efektivigeblaj mezuroj, kiujn ĉiu, unugrade aŭ alia, neglektas pro rapideco. Kaj iuj estas tiel necesaj, ke sen ili neniu protekto savos.
- Bone konstruita retpoŝta filtrila linio. Kontraŭspamo, totala skanado de aldonaĵoj por malica kodo, inkluzive de dinamika testado per sablokestoj. Bone preparita atako signifas, ke la plenumebla aldonaĵo ne estos detektita de antivirusaj iloj. La sablokesto, male, provos ĉion por si mem, uzante dosierojn same kiel homo uzas ilin. Kiel rezulto, ebla malica komponanto estos malkaŝita per ŝanĝoj faritaj ene de la sablokesto.
- Rimedoj de protekto kontraŭ celitaj atakoj. Kiel jam rimarkite, klasikaj antivirusaj iloj ne detektos malicajn dosierojn en la okazo de bone preparita atako. La plej altnivelaj produktoj devus aŭtomate monitori la totalon de eventoj okazantaj en la reto - kaj sur la nivelo de individua gastiganto kaj sur la nivelo de trafiko ene de la reto. En la kazo de atakoj, aperas tre karakterizaj ĉenoj de eventoj, kiuj povas esti spuritaj kaj ĉesigitaj, se vi havas monitoradon koncentrita al tiaspecaj eventoj.
Originala artikolo en la revuo "Informa Sekureco/ Informa Sekureco" #6, 2019.
fonto: www.habr.com