اگر می توانید مرا فریب دهید: ویژگی های برگزاری یک آزمون اجتماعی-تکنیکی

این وضعیت را تصور کنید. صبح سرد اکتبر، موسسه طراحی در مرکز منطقه ای یکی از مناطق روسیه. شخصی از بخش منابع انسانی به یکی از صفحات خالی در وب سایت موسسه می رود، چند روز پیش پست شده است و عکس یک گربه را در آنجا می بیند. صبح زود خسته کننده نیست...

در این مقاله، Pavel Suprunyuk، رئیس فنی بخش حسابرسی و مشاوره در Group-IB، در مورد جایگاه حملات اجتماعی-تکنیکی در پروژه‌هایی که امنیت عملی را ارزیابی می‌کنند، اشکال غیرمعمولی که می‌توانند داشته باشند و نحوه محافظت در برابر چنین حملاتی صحبت می‌کند. نویسنده تصریح می کند که مقاله ماهیت مروری دارد، با این حال، اگر جنبه ای مورد علاقه خوانندگان باشد، کارشناسان Group-IB به راحتی به سوالات در نظرات پاسخ خواهند داد.

قسمت 1. چرا اینقدر جدی؟

بیایید به گربه خود برگردیم. پس از مدتی، بخش منابع انسانی عکس را حذف می کند (تصویرهای اینجا و پایین تا حدی روتوش شده اند تا نام های واقعی مشخص نشود) اما سرسختانه برمی گردد، دوباره حذف می شود و چندین بار دیگر این اتفاق می افتد. بخش منابع انسانی می‌داند که گربه جدی‌ترین نیت را دارد، او نمی‌خواهد آن را ترک کند، و از یک برنامه‌نویس وب کمک می‌خواهند - شخصی که سایت را ایجاد کرده و آن را درک می‌کند و اکنون آن را مدیریت می‌کند. برنامه نویس به سایت مراجعه می کند، یک بار دیگر گربه مزاحم را حذف می کند، متوجه می شود که از طرف خود دپارتمان منابع انسانی پست شده است، سپس فرض می کند رمز عبور بخش منابع انسانی به برخی از هولیگان های آنلاین درز کرده است و آن را تغییر می دهد. گربه دیگر ظاهر نمی شود.

واقعا چه اتفاقی افتاد؟ در رابطه با گروه شرکت‌هایی که این موسسه را شامل می‌شد، متخصصان Group-IB تست نفوذ را در قالبی نزدیک به Red Teaming انجام دادند (به عبارت دیگر، این یک تقلید از حملات هدفمند به شرکت شما با استفاده از پیشرفته‌ترین روش‌ها و ابزارها است. زرادخانه گروه های هکر). در مورد تیم قرمز مفصل صحبت کردیم اینجا. دانستن این نکته مهم است که هنگام انجام چنین آزمایشی می توان از طیف بسیار گسترده ای از حملات از پیش توافق شده از جمله مهندسی اجتماعی استفاده کرد. واضح است که قرار دادن گربه به خودی خود هدف نهایی اتفاقی نبوده است. و موارد زیر وجود داشت:

• وب سایت مؤسسه بر روی سروری در شبکه خود مؤسسه میزبانی می شد و نه روی سرورهای شخص ثالث.
• یک نشت در حساب بخش منابع انسانی پیدا شد (فایل گزارش ایمیل در ریشه سایت است). مدیریت سایت با این حساب غیرممکن بود، اما امکان ویرایش صفحات شغلی وجود داشت.
• با تغییر صفحات، می توانید اسکریپت های خود را در جاوا اسکریپت قرار دهید. معمولاً آنها صفحات را تعاملی می کنند، اما در این شرایط، همان اسکریپت ها می توانند از مرورگر بازدیدکننده آنچه را که بخش منابع انسانی را از برنامه نویس و برنامه نویس را از یک بازدیدکننده ساده متمایز می کند - شناسه جلسه در سایت، به سرقت ببرند. گربه محرک حمله و تصویری برای جلب توجه بود. در زبان نشانه گذاری وب سایت HTML، به این صورت بود: اگر تصویر شما بارگذاری شده است، جاوا اسکریپت قبلاً اجرا شده است و شناسه جلسه شما به همراه اطلاعات مربوط به مرورگر و آدرس IP شما قبلاً به سرقت رفته است.
• با یک شناسه جلسه مدیر به سرقت رفته، امکان دسترسی کامل به سایت، میزبانی صفحات اجرایی در PHP و در نتیجه دسترسی به سیستم عامل سرور و سپس به خود شبکه محلی وجود دارد که این یک هدف میانی مهم بود. پروژه.

حمله تا حدی موفقیت آمیز بود: شناسه جلسه مدیر به سرقت رفت، اما به یک آدرس IP گره خورده بود. ما نتوانستیم از این موضوع عبور کنیم؛ نمی‌توانیم امتیازات سایت خود را به امتیازات سرپرست افزایش دهیم، اما روحیه خود را بهبود بخشیم. نتیجه نهایی در نهایت در بخش دیگری از محیط شبکه به دست آمد.

قسمت 2. من برای شما می نویسم - چه چیز دیگری؟ من هم زنگ می زنم و در دفتر شما می چرخم و فلش مموری ها را می ریزم.

آنچه در موقعیت گربه اتفاق افتاد نمونه ای از مهندسی اجتماعی است، البته نه کاملاً کلاسیک. در واقع، رویدادهای بیشتری در این داستان وجود داشت: یک گربه، یک مؤسسه، و یک بخش پرسنل و یک برنامه نویس، اما ایمیل هایی با سؤالات روشنگر نیز وجود داشت که ظاهراً «کاندیداها» به خود بخش پرسنل و شخصاً نوشتند. به برنامه نویس برای تحریک آنها برای رفتن به صفحه سایت.

صحبت از نامه. ایمیل معمولی، احتمالاً وسیله اصلی برای انجام مهندسی اجتماعی، برای چند دهه ارتباط خود را از دست نداده است و گاهی اوقات منجر به غیرمعمول ترین عواقب می شود.

ما اغلب داستان زیر را در رویدادهایمان تعریف می کنیم، زیرا بسیار افشاگر است.

معمولا بر اساس نتایج پروژه های مهندسی اجتماعی آماری را تهیه می کنیم که همانطور که می دانیم کار خشک و خسته کننده ای است. درصد زیادی از گیرندگان پیوست نامه را باز کردند، بسیاری از آنها پیوند را دنبال کردند، اما این سه نفر در واقع نام کاربری و رمز عبور خود را وارد کردند. در یک پروژه، ما بیش از 100٪ رمزهای عبور وارد شده را دریافت کردیم - یعنی بیشتر از آنچه که ارسال کردیم بیرون آمد.

به این صورت اتفاق افتاد: یک نامه فیشینگ، ظاهراً از CISO یک شرکت دولتی، با درخواست "تست فوری تغییرات در سرویس پستی" ارسال شد. نامه به دست رئیس بخش بزرگی رسید که با پشتیبانی فنی سروکار داشت. مدیر در اجرای دستورات مقامات عالی بسیار کوشا بود و آنها را به کلیه زیردستان ارسال می کرد. مرکز تماس خود بسیار بزرگ بود. به طور کلی، موقعیت‌هایی که شخصی ایمیل‌های فیشینگ «جالب» را برای همکارانش فوروارد می‌کند و آنها نیز گرفتار می‌شوند، یک اتفاق نسبتاً رایج است. برای ما، این بهترین بازخورد در مورد کیفیت نوشتن نامه است.

کمی بعد آنها متوجه ما شدند (نامه در یک صندوق پستی در معرض خطر گرفته شده است):

موفقیت این حمله به این دلیل بود که این پست از تعدادی نقص فنی در سیستم پست مشتری استفاده کرد. پیکربندی آن به گونه ای بود که امکان ارسال هرگونه نامه از طرف هر فرستنده خود سازمان بدون مجوز حتی از طریق اینترنت وجود داشت. یعنی می توانید وانمود کنید که یک CISO یا رئیس پشتیبانی فنی یا شخص دیگری هستید. علاوه بر این، رابط ایمیل، با مشاهده حروف از دامنه "خود"، یک عکس از دفترچه آدرس را با دقت درج می کند، که طبیعی بودن را به فرستنده می بخشد.

در حقیقت، چنین حمله ای یک فناوری پیچیده نیست، بلکه یک سوء استفاده موفقیت آمیز از یک نقص اساسی در تنظیمات ایمیل است. این به طور مرتب در منابع تخصصی فناوری اطلاعات و امنیت اطلاعات بررسی می شود، اما با این وجود، هنوز هم شرکت هایی هستند که همه اینها را در اختیار دارند. از آنجایی که هیچ کس تمایلی به بررسی کامل هدرهای سرویس پروتکل ایمیل SMTP ندارد، یک نامه معمولاً با استفاده از نمادهای هشدار در رابط ایمیل، که همیشه کل تصویر را نمایش نمی دهند، برای "خطر" بررسی می شود.

جالب اینجاست که آسیب‌پذیری مشابه در جهت دیگر نیز کار می‌کند: یک مهاجم می‌تواند از طرف شرکت شما ایمیلی را برای یک گیرنده شخص ثالث ارسال کند. به عنوان مثال، او می تواند یک فاکتور برای پرداخت منظم از طرف شما جعل کند و به جای شما، جزئیات دیگری را نشان دهد. جدای از مسائل ضد کلاهبرداری و پول نقد، این احتمالا یکی از ساده ترین راه ها برای سرقت پول از طریق مهندسی اجتماعی است.

علاوه بر سرقت رمزهای عبور از طریق فیشینگ، یک حمله اجتماعی تکنیکال کلاسیک، پیوست های اجرایی را ارسال می کند. اگر این سرمایه‌گذاری‌ها بر تمام اقدامات امنیتی، که شرکت‌های مدرن معمولاً بسیاری از آنها را دارند، غلبه کند، یک کانال دسترسی از راه دور به رایانه قربانی ایجاد می‌شود. برای نشان دادن عواقب حمله، کنترل از راه دور حاصل را می توان برای دسترسی به اطلاعات محرمانه بسیار مهم توسعه داد. قابل توجه است که اکثریت قریب به اتفاق حملاتی که رسانه ها برای ترساندن همه از آنها استفاده می کنند دقیقاً به همین شکل شروع می شوند.

در بخش حسابرسی خود، برای سرگرمی، آمارهای تقریبی را محاسبه می‌کنیم: ارزش کل دارایی‌های شرکت‌هایی که عمدتاً از طریق فیشینگ و ارسال پیوست‌های اجرایی به آن‌ها دسترسی به Domain Administrator کسب کرده‌ایم چقدر است؟ امسال به حدود 150 میلیارد یورو رسید.

واضح است که ارسال ایمیل های تحریک آمیز و ارسال عکس گربه ها در وب سایت ها تنها روش های مهندسی اجتماعی نیستند. در این مثال ها سعی شده است تا انواع اشکال حمله و پیامدهای آن را نشان دهیم. علاوه بر نامه ها، یک مهاجم بالقوه می تواند برای به دست آوردن اطلاعات لازم تماس بگیرد، رسانه ها (به عنوان مثال، درایوهای فلش) را با فایل های اجرایی در دفتر شرکت مورد نظر پراکنده کند، به عنوان کارآموز شغلی پیدا کند، به شبکه محلی دسترسی فیزیکی پیدا کند. تحت عنوان نصاب دوربین مداربسته. اتفاقاً همه اینها نمونه هایی از پروژه های با موفقیت انجام شده ما هستند.

بخش 3. آموزش نور است، اما ناآموخته ها تاریکی است

یک سوال منطقی مطرح می شود: خوب، خوب، مهندسی اجتماعی وجود دارد، خطرناک به نظر می رسد، اما شرکت ها در مورد همه اینها چه باید بکنند؟ کاپیتان آشکار به کمک می آید: شما باید از خود دفاع کنید و به شیوه ای جامع. بخشی از حفاظت در جهت اقدامات امنیتی کلاسیک از جمله ابزارهای فنی حفاظت از اطلاعات، نظارت، پشتیبانی سازمانی و قانونی فرآیندها خواهد بود، اما بخش اصلی، به نظر ما، باید به سمت مستقیم کار با کارکنان باشد. ضعیف ترین پیوند از این گذشته، مهم نیست که چقدر فناوری را تقویت کنید یا قوانین سختگیرانه بنویسید، همیشه کاربری پیدا می شود که راه جدیدی برای شکستن همه چیز پیدا می کند. علاوه بر این، نه مقررات و نه فناوری با خلاقیت کاربر سازگاری ندارند، به خصوص اگر توسط یک مهاجم واجد شرایط از او خواسته شود.

اول از همه، آموزش کاربر مهم است: توضیح دهید که حتی در کار معمولی او، ممکن است موقعیت های مرتبط با مهندسی اجتماعی ایجاد شود. برای مشتریان خود ما اغلب انجام می دهیم دوره های آموزشی در مورد بهداشت دیجیتال - رویدادی که به طور کلی مهارت های اساسی برای مقابله با حملات را آموزش می دهد.

می توانم اضافه کنم که یکی از بهترین اقدامات حفاظتی به خاطر سپردن قوانین امنیت اطلاعات نیست، بلکه ارزیابی وضعیت به روشی کمی جدا از هم خواهد بود:

1. همکار من کیست؟
2. پیشنهاد یا درخواست او از کجا آمده است (این اتفاق قبلاً رخ نداده است و اکنون ظاهر شده است)؟
3. چه چیز غیرعادی در مورد این درخواست وجود دارد؟

حتی یک نوع نامتعارف فونت حروف یا یک سبک گفتار غیرعادی برای فرستنده می تواند زنجیره ای از شک را ایجاد کند که حمله را متوقف می کند. دستورالعمل های تجویز شده نیز مورد نیاز است، اما آنها متفاوت عمل می کنند و نمی توانند همه موقعیت های ممکن را مشخص کنند. به عنوان مثال، مدیران امنیت اطلاعات در آنها می نویسند که نمی توانید رمز عبور خود را در منابع شخص ثالث وارد کنید. اگر منبع شبکه "شما"، "شرکتی" رمز عبور بخواهد چه؟ کاربر فکر می کند: "شرکت ما در حال حاضر دو دوجین سرویس با یک حساب واحد دارد، چرا یک حساب دیگر نداشته باشیم؟" این منجر به قانون دیگری می شود: یک فرآیند کار با ساختار نیز مستقیماً بر امنیت تأثیر می گذارد: اگر یک بخش همسایه بتواند اطلاعات را فقط به صورت کتبی و فقط از طریق مدیر شما از شما درخواست کند، مطمئناً شخصی "از شریک مورد اعتماد شرکت" نخواهد بود. قادر به درخواست آن از طریق تلفن - این برای شما مزخرف خواهد بود. اگر طرف مقابل شما بخواهد همه کارها را در حال حاضر انجام دهد یا همان طور که مد روز است، "ASAP" را انجام دهید، باید به ویژه محتاط باشید. حتی در کارهای عادی نیز این وضعیت اغلب سالم نیست و در مواجهه با حملات احتمالی، محرک قوی است. وقت توضیح نیست، فایل من را اجرا کنید!

ما متوجه می‌شویم که کاربران همیشه به عنوان افسانه‌ها برای حمله اجتماعی-تکنیکی با موضوعات مرتبط با پول در یک شکل یا شکل دیگر مورد هدف قرار می‌گیرند: وعده‌های تبلیغاتی، ترجیحات، هدایا، و همچنین اطلاعاتی با شایعات و دسیسه‌های ظاهراً محلی. به عبارت دیگر، "گناهان مرگبار" پیش پا افتاده در کار هستند: عطش سود، طمع و کنجکاوی بیش از حد.

آموزش خوب همیشه باید شامل تمرین باشد. اینجاست که کارشناسان تست نفوذ می توانند به کمک بیایند. سوال بعدی این است: چه چیزی و چگونه آزمایش کنیم؟ ما در Group-IB رویکرد زیر را پیشنهاد می کنیم: فوراً کانون آزمایش را انتخاب کنید: یا آمادگی برای حملات فقط خود کاربران را ارزیابی کنید یا امنیت شرکت را به عنوان یک کل بررسی کنید. و آزمایش با استفاده از روش های مهندسی اجتماعی، شبیه سازی حملات واقعی - یعنی همان فیشینگ، ارسال اسناد اجرایی، تماس ها و تکنیک های دیگر.

در حالت اول، حمله به همراه نمایندگان مشتری، عمدتاً با متخصصان فناوری اطلاعات و امنیت اطلاعات، با دقت آماده می شود. افسانه ها، ابزارها و تکنیک های حمله سازگار هستند. خود مشتری گروه های متمرکز و لیست هایی از کاربران را برای حمله ارائه می دهد که شامل تمام مخاطبین لازم است. استثناهایی در مورد اقدامات امنیتی ایجاد می شود، زیرا پیام ها و بارهای اجرایی باید به گیرنده برسد، زیرا در چنین پروژه ای فقط واکنش افراد مورد توجه است. به صورت اختیاری، می توانید نشانگرهایی را در حمله قرار دهید، که با استفاده از آنها کاربر می تواند حدس بزند که این یک حمله است - به عنوان مثال، می توانید چند اشتباه املایی در پیام ها ایجاد کنید یا در کپی کردن سبک شرکت اشتباه کنید. در پایان پروژه، همان «آمار خشک» به دست می‌آید: کدام گروه‌های کانونی و تا چه اندازه به سناریوها پاسخ دادند.

در مورد دوم، حمله با دانش اولیه صفر و با استفاده از روش "جعبه سیاه" انجام می شود. ما به طور مستقل اطلاعات مربوط به شرکت، کارکنان آن، محیط شبکه را جمع آوری می کنیم، افسانه های حمله ایجاد می کنیم، روش ها را انتخاب می کنیم، به دنبال اقدامات امنیتی احتمالی مورد استفاده در شرکت مورد نظر می گردیم، ابزارها را تطبیق می دهیم و سناریوهایی را ایجاد می کنیم. متخصصان ما هم از روش‌های کلاسیک اطلاعات منبع باز (OSINT) و هم از محصول خود Group-IB - Threat Intelligence استفاده می‌کنند، سیستمی که هنگام آماده شدن برای فیشینگ، می‌تواند به عنوان جمع‌آوری اطلاعات درباره یک شرکت در یک دوره طولانی، از جمله اطلاعات طبقه‌بندی شده، عمل کند. البته برای اینکه حمله به یک غافلگیری ناخوشایند تبدیل نشود، جزئیات آن نیز با مشتری توافق می شود. به نظر می رسد که این یک آزمون نفوذ کامل است، اما بر اساس مهندسی اجتماعی پیشرفته خواهد بود. گزینه منطقی در این مورد، توسعه یک حمله در داخل شبکه، تا به دست آوردن بالاترین حقوق در سیستم های داخلی است. به هر حال، ما به روشی مشابه از حملات اجتماعی-تکنیکی استفاده می کنیم سرخ سرخ شدنو در برخی از تست های نفوذ. در نتیجه، مشتری یک دید جامع مستقل از امنیت خود در برابر نوع خاصی از حملات اجتماعی و فنی و همچنین نمایشی از اثربخشی (یا برعکس، ناکارآمدی) خط دفاعی ساخته شده در برابر تهدیدهای خارجی دریافت خواهد کرد.

توصیه می کنیم این آموزش را حداقل دو بار در سال انجام دهید. اولاً، در هر شرکتی جابجایی کارکنان وجود دارد و تجربه قبلی به تدریج توسط کارمندان فراموش می شود. ثانیاً، روش‌ها و تکنیک‌های حملات دائماً در حال تغییر هستند و این امر منجر به نیاز به تطبیق فرآیندهای امنیتی و ابزارهای حفاظتی می‌شود.

اگر در مورد اقدامات فنی برای محافظت در برابر حملات صحبت کنیم، موارد زیر بیشترین کمک را می کند:

• وجود احراز هویت دو مرحله ای اجباری در سرویس های منتشر شده در اینترنت. ارائه چنین خدماتی در سال 2019 بدون سیستم‌های Single Sign On، بدون محافظت در برابر نیروی بی‌رحمانه رمز عبور و بدون احراز هویت دو مرحله‌ای در شرکتی متشکل از صدها نفر، به منزله یک فراخوان آشکار برای «شکستن من» است. اجرای صحیح حفاظت، استفاده سریع از رمزهای عبور دزدیده شده را غیرممکن می کند و زمان برای از بین بردن عواقب حمله فیشینگ را می دهد.
• کنترل کنترل دسترسی، به حداقل رساندن حقوق کاربر در سیستم ها، و پیروی از دستورالعمل های پیکربندی ایمن محصول که توسط هر سازنده بزرگ منتشر شده است. اینها اغلب ماهیت ساده ای دارند، اما بسیار مؤثر و دشوار برای اجرای اقداماتی هستند که همه، تا حدی، به خاطر سرعت، از آن غفلت می کنند. و برخی از آنها آنقدر ضروری هستند که بدون آنها هیچ وسیله محافظتی نجات نخواهد یافت.
• خط فیلتر ایمیل به خوبی ساخته شده است. آنتی اسپم، اسکن کامل پیوست ها برای کدهای مخرب، از جمله آزمایش پویا از طریق جعبه های ماسه ای. یک حمله به خوبی آماده شده به این معنی است که فایل پیوست اجرایی توسط ابزارهای آنتی ویروس شناسایی نخواهد شد. برعکس، sandbox همه چیز را برای خود آزمایش می کند و از فایل ها به همان روشی استفاده می کند که شخص از آنها استفاده می کند. در نتیجه، یک مؤلفه مخرب احتمالی با تغییرات ایجاد شده در جعبه شنی آشکار می شود.
• ابزار محافظت در برابر حملات هدفمند. همانطور که قبلا ذکر شد، ابزارهای آنتی ویروس کلاسیک در صورت حمله به خوبی آماده شده، فایل های مخرب را شناسایی نمی کنند. پیشرفته ترین محصولات باید به طور خودکار کل رویدادهای رخ داده در شبکه را - هم در سطح یک میزبان فردی و هم در سطح ترافیک داخل شبکه - نظارت کنند. در مورد حملات، زنجیره‌های بسیار مشخصی از رویدادها ظاهر می‌شوند که می‌توان آن‌ها را ردیابی و متوقف کرد، اگر نظارت بر رویدادهایی از این نوع متمرکز شده باشد.

مقاله اصلی منتشر شد در مجله "امنیت اطلاعات / امنیت اطلاعات" شماره 6، 2019.

منبع: www.habr.com