Imagínese esta situación. Fría mañana de octubre, instituto de diseño en el centro regional de una de las regiones de Rusia. Alguien del departamento de recursos humanos va a una de las páginas de vacantes en el sitio web del instituto, publicada hace un par de días, y ve allí una foto de un gato. La mañana rápidamente deja de ser aburrida...
En este artículo, Pavel Suprunyuk, jefe técnico del departamento de auditoría y consultoría del Grupo-IB, habla sobre el lugar de los ataques sociotécnicos en los proyectos que evalúan la seguridad práctica, qué formas inusuales pueden adoptar y cómo protegerse contra tales ataques. El autor aclara que el artículo tiene carácter de revisión, pero si algún aspecto interesa a los lectores, los expertos del Grupo IB responderán fácilmente sus preguntas en los comentarios.
Parte 1. ¿Por qué tan serio?
Volvamos a nuestro gato. Después de un tiempo, el departamento de recursos humanos borra la foto (las capturas de pantalla aquí y abajo están parcialmente retocadas para no revelar nombres reales), pero regresa obstinadamente, se borra nuevamente y esto sucede varias veces más. El departamento de recursos humanos se da cuenta de que el gato tiene intenciones muy serias, no quiere irse y pide ayuda a un programador web, la persona que creó el sitio, lo entiende y ahora lo administra. El programador va al sitio, una vez más borra el molesto gato, descubre que fue publicado en nombre del propio departamento de recursos humanos, luego supone que la contraseña del departamento de recursos humanos se ha filtrado a algunos hooligans en línea y la cambia. El gato no vuelve a aparecer.
¿Lo que realmente sucedió? En relación al grupo de empresas que formaba parte del instituto, los especialistas de Group-IB realizaron pruebas de penetración en un formato cercano al Red Teaming (en otras palabras, se trata de una imitación de ataques dirigidos a su empresa utilizando los métodos y herramientas más avanzados del sector). arsenal de grupos de hackers). Hablamos en detalle sobre Red Teaming . Es importante saber que al realizar una prueba de este tipo se puede utilizar una amplia gama de ataques previamente acordados, incluida la ingeniería social. Está claro que la colocación del gato en sí no era el objetivo final de lo que estaba sucediendo. Y estaba lo siguiente:
- el sitio web del instituto estaba alojado en un servidor dentro de la propia red del instituto y no en servidores de terceros;
- Se encontró una fuga en la cuenta del departamento de recursos humanos (el archivo de registro de correo electrónico se encuentra en la raíz del sitio). Era imposible administrar el sitio con esta cuenta, pero era posible editar las páginas de trabajo;
- Al cambiar las páginas, puede colocar sus scripts en JavaScript. Por lo general, hacen que las páginas sean interactivas, pero en esta situación, los mismos scripts podrían robar del navegador del visitante lo que distinguía al departamento de recursos humanos del programador y al programador de un simple visitante: el identificador de sesión en el sitio. El gato era un detonante de ataque y un cuadro para llamar la atención. En el lenguaje de marcado del sitio web HTML, se veía así: si su imagen se cargó, JavaScript ya se ejecutó y su ID de sesión, junto con los datos sobre su navegador y su dirección IP, ya fueron robados.
- Con una identificación de sesión de administrador robada, sería posible obtener acceso completo al sitio, alojar páginas ejecutables en PHP y, por lo tanto, obtener acceso al sistema operativo del servidor y luego a la red local misma, lo cual era un objetivo intermedio importante de el proyecto.
El ataque tuvo un éxito parcial: robaron el ID de sesión del administrador, pero estaba vinculado a una dirección IP. No pudimos evitar esto; no pudimos aumentar los privilegios de nuestro sitio a privilegios de administrador, pero sí mejoramos nuestro estado de ánimo. El resultado final finalmente se obtuvo en otro tramo del perímetro de la red.
Parte 2. Te escribo, ¿qué más? También llamo y me quedo en tu oficina, dejando caer unidades flash.
Lo que ocurrió en la situación con el gato es un ejemplo de ingeniería social, aunque no del todo clásico. De hecho, hubo más eventos en esta historia: había un gato, un instituto, un departamento de personal y un programador, pero también hubo correos electrónicos con preguntas aclaratorias que supuestamente los "candidatos" escribieron al propio departamento de personal y personalmente. al programador para provocar que vaya a la página del sitio.
Hablando de letras. El correo electrónico ordinario, probablemente el principal vehículo para la ingeniería social, no ha perdido su relevancia desde hace un par de décadas y, en ocasiones, conduce a las consecuencias más inusuales.
A menudo contamos la siguiente historia en nuestros eventos, ya que es muy reveladora.
Normalmente, a partir de los resultados de los proyectos de ingeniería social, elaboramos estadísticas que, como sabemos, son algo aburrido y aburrido. Un porcentaje tan grande de destinatarios abrió el archivo adjunto de la carta, muchos siguieron el enlace, pero estos tres en realidad ingresaron su nombre de usuario y contraseña. En un proyecto, recibimos más del 100% de las contraseñas ingresadas, es decir, salieron más de las que enviamos.
Sucedió así: se envió una carta de phishing, supuestamente del CISO de una corporación estatal, exigiendo "probar urgentemente cambios en el servicio de correo". La carta llegó al jefe de un gran departamento que se ocupaba del soporte técnico. El gerente cumplió con mucha diligencia las instrucciones de las altas autoridades y las transmitió a todos los subordinados. El centro de llamadas resultó ser bastante grande. En general, las situaciones en las que alguien reenvía correos electrónicos de phishing “interesantes” a sus colegas y también son descubiertos son bastante comunes. Para nosotros, esta es la mejor reseña sobre la calidad de escribir una carta.
Un poco más tarde se enteraron de nosotros (la carta fue llevada a un buzón comprometido):
El éxito del ataque se debió a que el correo aprovechó una serie de deficiencias técnicas en el sistema de correo del cliente. Estaba configurado de tal manera que era posible enviar cualquier carta en nombre de cualquier remitente de la propia organización sin autorización, incluso desde Internet. Es decir, podrías pretender ser un CISO, un jefe de soporte técnico o cualquier otra persona. Además, la interfaz de correo, al observar las letras de “su” dominio, insertó cuidadosamente una foto de la libreta de direcciones, lo que añadió naturalidad al remitente.
En verdad, un ataque de este tipo no es una tecnología particularmente compleja; es una explotación exitosa de una falla muy básica en la configuración del correo. Se revisa periódicamente sobre recursos especializados en TI y seguridad de la información, pero sin embargo, todavía hay empresas que tienen todo esto presente. Como nadie está dispuesto a comprobar minuciosamente los encabezados de servicio del protocolo de correo SMTP, normalmente se comprueba si una carta presenta "peligro" mediante iconos de advertencia en la interfaz de correo, que no siempre muestran la imagen completa.
Curiosamente, una vulnerabilidad similar también funciona en la otra dirección: un atacante puede enviar un correo electrónico en nombre de su empresa a un destinatario externo. Por ejemplo, puede falsificar una factura de pago regular en su nombre, indicando otros detalles en lugar de los suyos. Aparte de las cuestiones antifraude y de retiro de efectivo, esta es probablemente una de las formas más fáciles de robar dinero mediante ingeniería social.
Además del robo de contraseñas mediante phishing, un ataque sociotécnico clásico es el envío de archivos adjuntos ejecutables. Si estas inversiones superan todas las medidas de seguridad, de las que suelen disponer muchas empresas modernas, se creará un canal de acceso remoto al ordenador de la víctima. Para demostrar las consecuencias del ataque, se puede desarrollar el control remoto resultante hasta el acceso a información confidencial especialmente importante. Es de destacar que la gran mayoría de los ataques que utilizan los medios para asustar a todo el mundo empiezan exactamente así.
En nuestro departamento de auditoría, por diversión, calculamos estadísticas aproximadas: ¿cuál es el valor total de los activos de las empresas a las que hemos obtenido acceso de Administrador de Dominio, principalmente mediante phishing y envío de archivos adjuntos ejecutables? Este año alcanzó aproximadamente 150 mil millones de euros.
Está claro que enviar correos electrónicos provocativos y publicar fotos de gatos en sitios web no son los únicos métodos de ingeniería social. En estos ejemplos hemos intentado mostrar la variedad de formas de ataque y sus consecuencias. Además de las cartas, un atacante potencial puede llamar para obtener la información necesaria, distribuir medios (por ejemplo, unidades flash) con archivos ejecutables en la oficina de la empresa objetivo, conseguir un trabajo como pasante y obtener acceso físico a la red local. bajo la apariencia de un instalador de cámaras CCTV. Todos estos son, por cierto, ejemplos de nuestros proyectos realizados con éxito.
Parte 3. La enseñanza es luz, pero lo ignorante es oscuridad
Surge una pregunta razonable: bueno, está bien, existe la ingeniería social, parece peligrosa, pero ¿qué deberían hacer las empresas al respecto? El Capitán Obvio viene al rescate: debes defenderte y de manera integral. Una parte de la protección estará dirigida a medidas de seguridad ya clásicas, como medios técnicos de protección de la información, seguimiento, soporte organizativo y legal de los procesos, pero la parte principal, en nuestra opinión, debería dirigirse al trabajo directo con los empleados como eslabón más débil. Después de todo, no importa cuánto fortalezcas la tecnología o escribas regulaciones estrictas, siempre habrá un usuario que descubrirá una nueva forma de romperlo todo. Además, ni las regulaciones ni la tecnología podrán seguir el ritmo de la creatividad del usuario, especialmente si lo solicita un atacante calificado.
En primer lugar, es importante capacitar al usuario: explicarle que incluso en su trabajo rutinario pueden surgir situaciones relacionadas con la ingeniería social. Para nuestros clientes a menudo realizamos sobre higiene digital: un evento que enseña habilidades básicas para contrarrestar ataques en general.
Puedo agregar que una de las mejores medidas de protección no sería memorizar las reglas de seguridad de la información, sino evaluar la situación con cierta imparcialidad:
- ¿Quién es mi interlocutor?
- ¿De dónde surgió su propuesta o petición (esto nunca antes había sucedido y ahora ha aparecido)?
- ¿Qué tiene de inusual esta solicitud?
Incluso un tipo de letra inusual o un estilo de discurso inusual para el remitente pueden desencadenar una cadena de dudas que detendrá un ataque. También se necesitan instrucciones prescritas, pero funcionan de manera diferente y no pueden especificar todas las situaciones posibles. Por ejemplo, los administradores de seguridad de la información escriben en ellos que no puede ingresar su contraseña en recursos de terceros. ¿Qué pasa si "su" recurso de red "corporativo" solicita una contraseña? El usuario piensa: “Nuestra empresa ya tiene dos docenas de servicios con una sola cuenta, ¿por qué no tener otra?” Esto lleva a otra regla: un proceso de trabajo bien estructurado también afecta directamente a la seguridad: si un departamento vecino puede solicitarle información sólo por escrito y únicamente a través de su jefe, una persona "de un socio de confianza de la empresa" seguramente no será admitida. poder solicitarlo por teléfono; esto para usted será una tontería. Debes tener especial cuidado si tu interlocutor te exige hacer todo ahora mismo, o “lo antes posible”, como está de moda escribir. Incluso en el trabajo normal, esta situación muchas veces no es saludable, y ante posibles ataques, es un fuerte desencadenante. ¡No hay tiempo para explicar, ejecuta mi archivo!
Notamos que los usuarios siempre son blanco de ataques sociotécnicos como leyendas por temas relacionados con el dinero de una forma u otra: promesas de promociones, preferencias, regalos, así como información con chismes e intrigas supuestamente locales. En otras palabras, están en juego los banales “pecados capitales”: sed de ganancias, avaricia y curiosidad excesiva.
Una buena formación siempre debe incluir práctica. Aquí es donde los expertos en pruebas de penetración pueden acudir al rescate. La siguiente pregunta es: ¿qué y cómo probaremos? En Group-IB proponemos el siguiente enfoque: seleccionar inmediatamente el enfoque de las pruebas: evaluar la preparación para ataques solo de los propios usuarios o verificar la seguridad de la empresa en su conjunto. Y pruebe utilizando métodos de ingeniería social, simulando ataques reales, es decir, el mismo phishing, envío de documentos ejecutables, llamadas y otras técnicas.
En el primer caso, el ataque se prepara cuidadosamente junto con los representantes del cliente, principalmente con sus especialistas en TI y seguridad de la información. Las leyendas, herramientas y técnicas de ataque son consistentes. El propio cliente proporciona grupos focales y listas de usuarios para atacar, que incluyen todos los contactos necesarios. Se crean excepciones en las medidas de seguridad, ya que los mensajes y cargas ejecutables deben llegar al destinatario, porque en un proyecto de este tipo sólo interesan las reacciones de las personas. Opcionalmente, puede incluir marcadores en el ataque, mediante los cuales el usuario puede adivinar que se trata de un ataque; por ejemplo, puede cometer un par de errores ortográficos en los mensajes o dejar imprecisiones al copiar el estilo corporativo. Al final del proyecto, se obtienen las mismas “estadísticas secas”: qué grupos focales respondieron a los escenarios y en qué medida.
En el segundo caso, el ataque se lleva a cabo sin conocimiento inicial, utilizando el método de la “caja negra”. Recopilamos de forma independiente información sobre la empresa, sus empleados, el perímetro de la red, creamos leyendas de ataques, seleccionamos métodos, buscamos posibles medidas de seguridad utilizadas en la empresa objetivo, adaptamos herramientas y creamos escenarios. Nuestros especialistas utilizan tanto métodos clásicos de inteligencia de código abierto (OSINT) como el producto propio de Group-IB: Threat Intelligence, un sistema que, al prepararse para el phishing, puede actuar como un agregador de información sobre una empresa durante un largo período, incluida información clasificada. Por supuesto, para que el ataque no se convierta en una sorpresa desagradable, sus detalles también se acuerdan con el cliente. Resulta ser una prueba de penetración en toda regla, pero se basará en ingeniería social avanzada. La opción lógica en este caso es desarrollar un ataque dentro de la red, hasta obtener los máximos derechos en los sistemas internos. Por cierto, de manera similar utilizamos ataques sociotécnicos en , y en algunas pruebas de penetración. Como resultado, el cliente recibirá una visión integral e independiente de su seguridad contra un determinado tipo de ataques sociotécnicos, así como una demostración de la efectividad (o, por el contrario, la ineficacia) de la línea de defensa construida contra amenazas externas.
Recomendamos realizar esta formación al menos dos veces al año. En primer lugar, en cualquier empresa hay rotación de personal y los empleados olvidan gradualmente la experiencia previa. En segundo lugar, los métodos y técnicas de ataque cambian constantemente y esto lleva a la necesidad de adaptar los procesos de seguridad y las herramientas de protección.
Si hablamos de medidas técnicas para protegerse contra ataques, las siguientes son las que más ayudan:
- La presencia de autenticación obligatoria de dos factores en los servicios publicados en Internet. Lanzar este tipo de servicios en 2019 sin sistemas de inicio de sesión único, sin protección contra la fuerza bruta de las contraseñas y sin autenticación de dos factores en una empresa de varios cientos de personas equivale a un llamado abierto a "romperme". Una protección implementada correctamente imposibilitará el uso rápido de contraseñas robadas y dará tiempo para eliminar las consecuencias de un ataque de phishing.
- Controlar el control de acceso, minimizar los derechos de los usuarios en los sistemas y seguir las pautas para la configuración segura del producto publicadas por cada fabricante importante. A menudo se trata de medidas sencillas, pero muy eficaces y difíciles de aplicar, que todo el mundo, en un grado u otro, descuida en aras de la rapidez. Y algunos son tan necesarios que sin ellos ningún medio de protección salvará.
- Línea de filtrado de correo electrónico bien construida. Antispam, escaneo total de archivos adjuntos en busca de código malicioso, incluyendo pruebas dinámicas a través de sandboxes. Un ataque bien preparado significa que las herramientas antivirus no detectarán el archivo adjunto ejecutable. Sandbox, por el contrario, probará todo por sí mismo, utilizando archivos de la misma manera que los usa una persona. Como resultado, los cambios realizados dentro del entorno sandbox revelarán un posible componente malicioso.
- Medios de protección contra ataques dirigidos. Como ya se ha señalado, las herramientas antivirus clásicas no detectarán archivos maliciosos en caso de un ataque bien preparado. Los productos más avanzados deberían monitorear automáticamente la totalidad de los eventos que ocurren en la red, tanto a nivel de un host individual como a nivel de tráfico dentro de la red. En el caso de los ataques aparecen cadenas de eventos muy características que se pueden rastrear y detener si se tiene un seguimiento enfocado a eventos de este tipo.
Artículo original en la revista “Seguridad de la Información/ Seguridad de la Información” #6, 2019.
Fuente: habr.com