اگر می توانید مرا فریب دهید: ویژگی های برگزاری یک آزمون اجتماعی-تکنیکی

تصور کنید: یک صبح سرد اکتبر در یک موسسه طراحی در مرکز منطقه‌ای یکی از مناطق روسیه. شخصی از بخش منابع انسانی به یکی از فرصت‌های شغلی موجود در وب‌سایت موسسه که چند روز پیش منتشر شده بود، سر می‌زند و عکسی از یک گربه را می‌بیند. صبح به سرعت از کسالت‌باری‌اش کم می‌شود...

در این مقاله، پاول سوپرونیوک، مدیر فنی دپارتمان حسابرسی و مشاوره گروه-آی‌بی، به نقش حملات مهندسی اجتماعی در پروژه‌های ارزیابی امنیتی عملی، اشکال غیرمعمولی که می‌توانند به خود بگیرند و نحوه محافظت در برابر آنها می‌پردازد. نویسنده توضیح می‌دهد که این مقاله یک مرور کلی است، اما اگر جنبه‌ای از آن برای خوانندگان جالب باشد، کارشناسان گروه-آی‌بی خوشحال خواهند شد که به سوالات در نظرات پاسخ دهند.

بخش ۱. چرا اینقدر جدی؟

برگردیم به گربه‌مان. بعد از مدتی، بخش منابع انسانی عکس را حذف می‌کند (اسکرین‌شات‌ها اینجا و پایین تا حدی روتوش شده‌اند تا نام‌های واقعی حفظ شوند)، اما عکس با لجاجت برمی‌گردد، دوباره حذف می‌شود و این اتفاق چندین بار دیگر تکرار می‌شود. بخش منابع انسانی متوجه می‌شود که نیت گربه جدی است و نمی‌خواهد آنجا را ترک کند، بنابراین با یک برنامه‌نویس وب تماس می‌گیرند - کسی که وب‌سایت را ایجاد کرده و آن را می‌فهمد و اکنون آن را مدیریت می‌کند. برنامه‌نویس وارد وب‌سایت می‌شود، دوباره گربه مزاحم را حذف می‌کند، متوجه می‌شود که توسط خود بخش منابع انسانی پست شده است، سپس فرض می‌کند که رمز عبور بخش منابع انسانی به برخی از اراذل و اوباش آنلاین لو رفته است و آن را تغییر می‌دهد. گربه دیگر هرگز ظاهر نمی‌شود.

واقعاً چه اتفاقی افتاد؟ متخصصان Group-IB با استفاده از قالبی مشابه Red Teaming (به عبارت ساده، این روش حملات هدفمند به شرکت شما را با استفاده از پیشرفته‌ترین روش‌ها و ابزارهای موجود برای گروه‌های هکری شبیه‌سازی می‌کند) آزمایش نفوذ را روی گروهی از شرکت‌ها، از جمله این موسسه، انجام دادند. ما Red Teaming را به تفصیل پوشش داده‌ایم. اینجالازم به ذکر است که طیف گسترده‌ای از حملات از پیش توافق‌شده، از جمله مهندسی اجتماعی، می‌توانند در طول چنین آزمایشی مورد استفاده قرار گیرند. واضح است که قرار دادن گربه هدف نهایی این آزمایش نبوده است. آنچه در این آزمایش دخیل بوده موارد زیر بوده است:

• وب‌سایت مؤسسه به جای سرورهای شخص ثالث، روی سروری در شبکه خود مؤسسه میزبانی می‌شد؛
• یک نشت اطلاعاتی در حساب کاربری منابع انسانی (یک فایل لاگ ایمیل در ریشه سایت) کشف شد. این حساب کاربری اجازه مدیریت سایت را نداشت، اما امکان ویرایش صفحات آگهی‌های شغلی وجود داشت؛
• با تغییر صفحات، امکان درج اسکریپت‌های جاوا اسکریپت سفارشی وجود داشت. اسکریپت‌های جاوا اسکریپت معمولاً صفحات را تعاملی می‌کنند، اما در این شرایط، همین اسکریپت‌ها می‌توانستند از مرورگر بازدیدکننده چیزی را که بخش منابع انسانی را از یک برنامه‌نویس و برنامه‌نویس را از یک بازدیدکننده معمولی متمایز می‌کرد، بدزدند - شناسه جلسه سایت. گربه عامل حمله و تصویری بود که برای جلب توجه استفاده می‌شد. در HTML، اینگونه به نظر می‌رسید: اگر تصویر بارگذاری می‌شد، جاوا اسکریپت قبلاً اجرا شده بود و شناسه جلسه شما، همراه با مرورگر و آدرس IP شما، قبلاً به سرقت رفته بود.
• با شناسه‌ی نشستِ به سرقت رفته‌ی مدیر، امکان دسترسی کامل به سایت، میزبانی صفحات اجرایی در PHP و در نتیجه دسترسی به سیستم عامل سرور و سپس به خود شبکه‌ی محلی فراهم می‌شد که این یکی از اهداف میانی مهم پروژه بود.

این حمله تا حدی موفقیت‌آمیز بود - شناسه جلسه مدیر به سرقت رفت، اما به یک آدرس IP متصل بود. ما نتوانستیم از این مانع عبور کنیم و نتوانستیم امتیازات خود را در سایت به سطح مدیر ارتقا دهیم، اما احساس خوبی نسبت به آن داشتیم. نتیجه نهایی در نهایت در بخش دیگری از محیط شبکه حاصل شد.

بخش ۲. دارم برایت می‌نویسم—دیگر چه می‌خواهم؟ و همچنین دارم به دفترت زنگ می‌زنم و پرسه می‌زنم، فلش مموری می‌گذارم.

اتفاقی که برای گربه افتاد، نمونه‌ای از مهندسی اجتماعی است، البته نه کاملاً کلاسیک. در واقع، این داستان چیزهای بیشتری را در بر می‌گرفت: گربه، موسسه، بخش منابع انسانی و برنامه‌نویس وجود داشت، اما ایمیل‌هایی با سوالات روشن‌کننده نیز وجود داشت که توسط «کاندیداهای» فرضی به بخش منابع انسانی و شخصاً به برنامه‌نویس ارسال شده بود، که برای ترغیب آنها به بازدید از وب‌سایت طراحی شده بود.

صحبت از نامه‌ها شد، ایمیل‌های معمولی - که احتمالاً ابزار اصلی مهندسی اجتماعی هستند - برای چند دهه همچنان مورد استفاده قرار گرفته‌اند و گاهی اوقات منجر به غیرمعمول‌ترین عواقب می‌شوند.

ما اغلب داستان زیر را در رویدادهایمان تعریف می‌کنیم، چون بسیار آموزنده است.

ما معمولاً آمار پروژه‌های مهندسی اجتماعی را جمع‌آوری می‌کنیم که همانطور که همه ما می‌دانیم، خشک و کسل‌کننده است. درصد زیادی از گیرندگان پیوست ایمیل را باز کردند، بسیاری روی لینک کلیک کردند و فقط سه نفر نام کاربری و رمز عبور خود را وارد کردند. در یک پروژه، ما بیش از ۱۰۰٪ ورودی‌های رمز عبور را مشاهده کردیم - به این معنی که ما بیشتر از آنچه ارسال کرده‌ایم، ارسال کرده‌ایم.

ماجرا به این شکل اتفاق افتاد: یک ایمیل فیشینگ، ظاهراً از طرف یک مدیر ارشد امنیت اطلاعات در یک شرکت دولتی، ارسال شد که خواستار «آزمایش فوری تغییرات در سرویس ایمیل» بود. این ایمیل به رئیس یک بخش بزرگ مسئول پشتیبانی فنی رسید. مدیر در انجام دستورات مدیریت ارشد بسیار کوشا بود و ایمیل را برای همه زیردستان ارسال کرد. خود مرکز تماس بسیار بزرگ از آب درآمد. به طور کلی، موقعیت‌هایی که کسی ایمیل‌های فیشینگ «جالب» را برای همکارانش ارسال می‌کند و آنها نیز گیر می‌افتند، بسیار رایج است. برای ما، این بهترین بازخورد در مورد کیفیت ایمیل است.

کمی بعد ما لو رفتیم (نامه در یک صندوق پستی هک شده فیلمبرداری شده بود):

موفقیت این حمله به این دلیل بود که ارسال ایمیل از تعدادی نقص فنی در سیستم ایمیل کلاینت سوءاستفاده می‌کرد. این سیستم به گونه‌ای پیکربندی شده بود که هر ایمیلی می‌توانست از هر فرستنده‌ای در داخل سازمان بدون مجوز، حتی از طریق اینترنت، ارسال شود. این بدان معنا بود که شخصی می‌توانست وانمود کند که یک CISO یا رئیس پشتیبانی فنی یا هر کس دیگری است. علاوه بر این، رابط ایمیل، هنگام تشخیص ایمیل‌ها از دامنه "خود"، به طور حساب‌شده‌ای عکسی از دفترچه آدرس کاربر را درج می‌کرد و به اصالت فرستنده می‌افزود.

در حقیقت، این حمله چندان پیچیده نیست؛ بلکه سوءاستفاده‌ای موفقیت‌آمیز از یک نقص بسیار اساسی در پیکربندی ایمیل است. این حمله مرتباً در منابع تخصصی فناوری اطلاعات و امنیت مورد تجزیه و تحلیل قرار می‌گیرد، با این حال هنوز شرکت‌هایی وجود دارند که از آن استفاده می‌کنند. از آنجایی که هیچ‌کس تمایلی به بررسی کامل هدرهای SMTP ندارد، ایمیل‌ها معمولاً بر اساس آیکون‌های هشدار رابط ایمیل، از نظر «خطر» بررسی می‌شوند، که همیشه تصویر کاملی ارائه نمی‌دهند.

جالب اینجاست که این آسیب‌پذیری در جهت مخالف نیز عمل می‌کند: یک مهاجم می‌تواند ایمیلی را ارسال کند که هویت شرکت شما را برای گیرنده شخص ثالث جعل می‌کند. به عنوان مثال، آنها می‌توانند یک فاکتور پرداخت دوره‌ای به نام شما جعل کنند و از جزئیاتی متفاوت از اطلاعات شما استفاده کنند. بدون در نظر گرفتن مسائل مربوط به ضد کلاهبرداری و برداشت وجه، این احتمالاً یکی از ساده‌ترین راه‌ها برای سرقت پول با استفاده از مهندسی اجتماعی است.

علاوه بر سرقت رمزهای عبور از طریق فیشینگ، یک حمله مهندسی اجتماعی کلاسیک، ارسال پیوست‌های اجرایی است. اگر این پیوست‌ها بر تمام اقدامات امنیتی که شرکت‌های مدرن معمولاً تعداد زیادی از آنها را دارند، غلبه کنند، یک کانال دسترسی از راه دور به رایانه قربانی ایجاد می‌کنند. برای نشان دادن عواقب حمله، این کنترل از راه دور می‌تواند برای دسترسی به اطلاعات محرمانه بسیار حساس ارتقا یابد. قابل توجه است که اکثر قریب به اتفاق حملاتی که رسانه‌ها همه را از آن می‌ترساند، به این روش آغاز می‌شوند.

در بخش حسابرسی ما، برای سرگرمی داریم آمار تقریبی تهیه می‌کنیم: ارزش کل دارایی شرکت‌هایی که به آنها دسترسی سطح مدیر دامنه، عمدتاً از طریق فیشینگ و پیوست‌های اجرایی، داده‌ایم، چقدر است؟ امسال، این رقم تقریباً به ۱۵۰ میلیارد یورو رسیده است.

واضح است که ارسال ایمیل‌های تحریک‌آمیز و انتشار عکس‌های گربه در وب‌سایت‌ها تنها روش‌های مهندسی اجتماعی نیستند. در این مثال‌ها، سعی کرده‌ایم انواع اشکال حمله و پیامدهای آنها را برجسته کنیم. علاوه بر ایمیل، یک مهاجم بالقوه می‌تواند برای به دست آوردن اطلاعات مورد نظر تماس بگیرد، رسانه‌هایی (مانند فلش مموری‌ها) حاوی فایل‌های اجرایی را در اطراف دفتر شرکت هدف رها کند، به عنوان کارآموز استخدام شود یا با معرفی خود به عنوان نصاب دوربین مداربسته، به شبکه محلی دسترسی فیزیکی پیدا کند. به هر حال، همه اینها نمونه‌هایی از پروژه‌های با موفقیت انجام شده ما هستند.

بخش ۳. یادگیری نور است، اما نادانسته‌ها تاریکی هستند

یک سوال منطقی مطرح می‌شود: خب، مهندسی اجتماعی وجود دارد و خطرناک به نظر می‌رسد، اما شرکت‌ها باید در مورد آن چه کنند؟ کاپیتان آبویوز به کمک می‌آید: ما باید از خودمان دفاع کنیم و باید این کار را به طور جامع انجام دهیم. بخشی از حفاظت بر اقدامات امنیتی کلاسیک، مانند ابزارهای فنی حفاظت از اطلاعات، نظارت و پشتیبانی سازمانی و قانونی از فرآیندها متمرکز خواهد بود، اما به نظر ما، بخش عمده آن باید بر رسیدگی مستقیم به کارمندان به عنوان ضعیف‌ترین حلقه متمرکز شود. از این گذشته، مهم نیست فناوری شما چقدر مقاوم باشد یا مقررات شما چقدر سختگیرانه باشد، همیشه کاربری وجود خواهد داشت که راه جدیدی برای هک کردن همه چیز کشف کند. علاوه بر این، نه مقررات و نه فناوری با خلاقیت کاربر همگام نخواهند بود، به خصوص اگر توسط یک مهاجم ماهر به آنها هشدار داده شود.

اول و مهمتر از همه، آموزش کاربر مهم است: توضیح دهید که حتی در کارهای روزمره آنها، موقعیت‌های مرتبط با مهندسی اجتماعی ممکن است پیش بیاید. ما اغلب این موارد را برای مشتریان خود انجام می‌دهیم. دوره های آموزشی بهداشت دیجیتال رویدادی است که مهارت‌های اولیه برای مقابله با حملات را به طور کلی آموزش می‌دهد.

می‌توانم اضافه کنم که یکی از بهترین اقدامات دفاعی، به خاطر سپردن قوانین امنیت اطلاعات نیست، بلکه ارزیابی کمی بی‌طرفانه از وضعیت است:

1. مخاطب من کیست؟
2. پیشنهاد یا درخواست او از کجا آمده است (به هر حال، این قبلاً هرگز اتفاق نیفتاده بود و حالا ظاهر شد)؟
3. چه چیز غیرمعمولی در مورد این درخواست وجود دارد؟

حتی یک نوع فونت غیرمعمول یا سبک گفتار غیرمعمول از فرستنده می‌تواند زنجیره‌ای از شک و تردیدها را ایجاد کند که حمله را متوقف می‌کند. دستورالعمل‌های کتبی نیز ضروری هستند، اما عملکرد آنها متفاوت است و نمی‌توانند به طور خاص به هر موقعیت ممکن بپردازند. به عنوان مثال، مدیران امنیت اطلاعات در دستورالعمل‌های خود می‌نویسند که شما نباید رمز عبور خود را روی منابع شخص ثالث وارد کنید. اما اگر رمز عبوری برای منبع شبکه "خودتان" یا "شرکت" درخواست شود، چه می‌شود؟ کاربر فکر می‌کند: "شرکت ما در حال حاضر دو دوجین سرویس با یک حساب کاربری واحد دارد، چرا یکی دیگر اضافه نکنیم؟" این به یک قانون دیگر منجر می‌شود: یک گردش کار ساختار یافته نیز مستقیماً بر امنیت تأثیر می‌گذارد: اگر یک بخش همسایه فقط می‌تواند اطلاعات را به صورت کتبی و فقط از طریق مدیر شما از شما درخواست کند، کسی "از یک شریک قابل اعتماد شرکت" مطمئناً نمی‌تواند آن را از طریق تلفن درخواست کند - برای شما بی‌معنی خواهد بود. به خصوص اگر طرف مقابل شما درخواست کند که همه چیز همین الان یا همانطور که دوست دارد بگوید "در اسرع وقت" انجام شود، محتاط باشید. حتی در کارهای روزمره، چنین وضعیتی اغلب ناسالم است و در مواجهه با حملات احتمالی، یک محرک قدرتمند است. وقت توضیح دادن نیست، فایل من را اجرا کن!

ما متوجه می‌شویم که کاربران همیشه به مضامین مربوط به پول به شکلی از اشکال به عنوان پوششی برای حملات مهندسی اجتماعی جذب می‌شوند: وعده‌های تبلیغاتی، امتیازات ویژه، هدایا و همچنین اطلاعاتی که ظاهراً شایعات و دسیسه‌های محلی را فاش می‌کنند. به عبارت دیگر، «گناهان مهلک» پیش پا افتاده در کار هستند: طمع، حرص و آز و کنجکاوی بیش از حد.

آموزش خوب همیشه باید شامل تجربه عملی باشد. اینجاست که متخصصان تست نفوذ می‌توانند کمک کنند. سوال بعدی این است: چه چیزی را و چگونه آزمایش خواهیم کرد؟ در Group-IB، رویکرد زیر را پیشنهاد می‌کنیم: از ابتدا تمرکز آزمایش را انتخاب کنید: یا فقط آمادگی حمله کاربران را ارزیابی کنید، یا امنیت شرکت را به طور کلی آزمایش کنید. سپس آزمایش باید با استفاده از روش‌های مهندسی اجتماعی، شبیه‌سازی حملات واقعی - یعنی فیشینگ، ارسال اسناد اجرایی، تماس‌های تلفنی و سایر تکنیک‌ها - انجام شود.

در حالت اول، حمله با همکاری نمایندگان مشتری، در درجه اول متخصصان فناوری اطلاعات و امنیت اطلاعات آنها، با دقت برنامه‌ریزی می‌شود. سناریوها، ابزارها و تکنیک‌های حمله مورد توافق قرار می‌گیرند. مشتری گروه‌های تمرکز و فهرست کاربران را برای حمله، شامل تمام مخاطبین مربوطه، ارائه می‌دهد. استثنائاتی برای اقدامات امنیتی ایجاد می‌شود، زیرا پیام‌ها و فایل‌های اجرایی باید به گیرنده برسند، زیرا در چنین پروژه‌ای، فقط واکنش‌های انسانی مورد توجه هستند. به صورت اختیاری، می‌توان نشانگرهایی را در حمله تعبیه کرد که کاربر را از حمله آگاه کند - به عنوان مثال، چند خطای املایی در پیام‌ها یا عدم دقت در کپی کردن هویت سازمانی. پس از اتمام پروژه، "آمار خشک" به دست می‌آید: کدام گروه‌های تمرکز به سناریوها پاسخ داده‌اند و تا چه حد.

در حالت دوم، حمله بدون هیچ دانش قبلی و با استفاده از روش «جعبه سیاه» انجام می‌شود. ما به‌طور مستقل اطلاعاتی در مورد شرکت، کارمندان و محیط شبکه آن جمع‌آوری می‌کنیم، سناریوهای حمله ایجاد می‌کنیم، روش‌ها را انتخاب می‌کنیم، به دنبال دفاع‌های احتمالی مورد استفاده شرکت هدف می‌گردیم، ابزارها را تطبیق می‌دهیم و سناریوهایی ایجاد می‌کنیم. متخصصان ما هم از روش‌های کلاسیک هوش منبع باز (OSINT) و هم از محصول اختصاصی Group-IB، Threat Intelligence، استفاده می‌کنند. این سیستم، در آماده‌سازی برای فیشینگ، می‌تواند به‌عنوان جمع‌آوری‌کننده اطلاعات در مورد شرکت در یک دوره طولانی، از جمله با استفاده از اطلاعات طبقه‌بندی‌شده، عمل کند. طبیعتاً، برای اطمینان از اینکه حمله غافلگیرکننده و ناخوشایند نباشد، جزئیات آن نیز با مشتری توافق می‌شود. نتیجه یک تست نفوذ تمام‌عیار است، اما در هسته آن مهندسی اجتماعی پیشرفته خواهد بود. یک گزینه منطقی در این مورد، توسعه حمله در داخل شبکه تا دستیابی به بالاترین امتیازات در سیستم‌های داخلی است. اتفاقاً، ما از حملات مهندسی اجتماعی به روشی مشابه در ... استفاده می‌کنیم. سرخ سرخ شدنو در برخی از تست‌های نفوذ. در نتیجه، مشتری یک دیدگاه مستقل و جامع از امنیت خود در برابر نوع خاصی از حمله مهندسی اجتماعی و همچنین اثبات اثربخشی (یا برعکس، ناکارآمدی) دفاع ایجاد شده در برابر تهدیدات خارجی دریافت خواهد کرد.

ما توصیه می‌کنیم حداقل سالی دو بار چنین آموزش‌هایی را برگزار کنید. اولاً، هر شرکتی جابجایی کارکنان را تجربه می‌کند و کارمندان به تدریج تجربیات قبلی را فراموش می‌کنند. ثانیاً، روش‌ها و تکنیک‌های حمله دائماً در حال تغییر هستند و این امر مستلزم تطبیق فرآیندهای امنیتی و دفاعی است.

وقتی صحبت از اقدامات فنی برای محافظت در برابر حملات می‌شود، موارد زیر بیشترین کمک را می‌کنند:

• احراز هویت دو مرحله‌ای اجباری برای سرویس‌های منتشر شده به صورت آنلاین. ارائه چنین سرویس‌هایی در سال ۲۰۱۹ بدون سیستم‌های ورود یکپارچه، بدون محافظت در برابر حملات جستجوی فراگیر و بدون احراز هویت دو مرحله‌ای در شرکتی با چند صد کارمند، معادل دعوت آشکار برای "شکستن من" است. حفاظت مناسب پیاده‌سازی شده، سوءاستفاده سریع از رمزهای عبور دزدیده شده را غیرممکن می‌کند و به شما زمان می‌دهد تا عواقب حمله فیشینگ را کاهش دهید.
• مدیریت کنترل دسترسی، به حداقل رساندن امتیازات کاربر در سیستم‌ها و پیروی از دستورالعمل‌های پیکربندی امن محصولات هر فروشنده‌ی اصلی. این اقدامات اغلب ماهیت ساده‌ای دارند، اما بسیار مؤثر و پیاده‌سازی آنها دشوار است، اما اغلب تا حدی به نام سرعت نادیده گرفته می‌شوند. برخی از آنها آنقدر ضروری هستند که بدون آنها، هیچ راه‌حل امنیتی از شما محافظت نخواهد کرد.
• یک سیستم فیلترینگ ایمیل به خوبی توسعه یافته. ضد هرزنامه، اسکن جامع پیوست برای کد مخرب، از جمله آزمایش پویا از طریق جعبه‌های شنی. یک حمله به خوبی آماده شده به این معنی است که پیوست اجرایی توسط نرم‌افزار آنتی ویروس شناسایی نمی‌شود. از سوی دیگر، یک جعبه شنی همه چیز را روی خودش بررسی می‌کند و از فایل‌ها به همان روشی که یک انسان انجام می‌دهد، استفاده می‌کند. در نتیجه، هرگونه محتوای مخرب بالقوه با تغییراتی که در جعبه شنی ایجاد می‌شود، آشکار می‌شود.
• دفاع در برابر حملات هدفمند. همانطور که اشاره شد، راهکارهای آنتی‌ویروس سنتی در طول یک حمله‌ی از پیش برنامه‌ریزی‌شده، فایل‌های مخرب را شناسایی نمی‌کنند. پیشرفته‌ترین محصولات باید به‌طور خودکار کل شبکه را، هم در سطح میزبان‌های منفرد و هم در سطح ترافیک شبکه، رصد کنند. حملات، زنجیره‌های بسیار مشخصی از رویدادها را ایجاد می‌کنند که می‌توان آن‌ها را با نظارت متمرکز ردیابی و متوقف کرد.

مقاله اصلی منتشر شد در مجله "امنیت اطلاعات" شماره ۶، ۲۰۱۹.

منبع: www.habr.com