Imaginez cette situation. Matin froid d'octobre, institut de design dans le centre régional d'une des régions de Russie. Un membre du service RH consulte l’une des pages d’offres d’emploi publiées il y a quelques jours sur le site Internet de l’institut et y voit la photo d’un chat. La matinée cesse vite d'être ennuyeuse...
Dans cet article, Pavel Suprunyuk, responsable technique du département d'audit et de conseil du Groupe-IB, évoque la place des attaques sociotechniques dans les projets évaluant la sécurité pratique, les formes inhabituelles qu'elles peuvent prendre et comment se protéger contre de telles attaques. L'auteur précise que l'article est de nature critique, cependant, si un aspect intéresse les lecteurs, les experts du Groupe-IB répondront volontiers aux questions dans les commentaires.
Partie 1. Pourquoi si sérieux ?
Revenons à notre chat. Après un certain temps, le service RH supprime la photo (les captures d'écran ici et ci-dessous sont partiellement retouchées pour ne pas révéler les vrais noms), mais elle revient obstinément, elle est à nouveau supprimée, et cela se reproduit plusieurs fois. Le service RH comprend que le chat a les intentions les plus sérieuses, il ne veut pas partir, et ils font appel à l'aide d'un programmeur Web - une personne qui a créé le site, le comprend et l'administre maintenant. Le programmeur se rend sur le site, supprime à nouveau le chat ennuyeux, découvre qu'il a été publié au nom du service RH lui-même, puis suppose que le mot de passe du service RH a été divulgué à des hooligans en ligne et le modifie. Le chat ne réapparaît plus.
Que s'est-il vraiment passé? En ce qui concerne le groupe d'entreprises qui comprenait l'institut, les spécialistes du Groupe-IB ont réalisé des tests d'intrusion dans un format proche du Red Teaming (en d'autres termes, il s'agit d'une imitation d'attaques ciblées contre votre entreprise en utilisant les méthodes et outils les plus avancés du arsenal des groupes de hackers). Nous avons parlé en détail de Red Teaming . Il est important de savoir que lors de la réalisation d’un tel test, un très large éventail d’attaques préalablement convenues peut être utilisé, y compris l’ingénierie sociale. Il est clair que le placement du chat lui-même n’était pas le but ultime de ce qui se passait. Et il y avait ceci :
- le site Internet de l'institut était hébergé sur un serveur au sein du réseau de l'institut lui-même, et non sur des serveurs tiers ;
- Une fuite a été constatée dans le compte du service RH (le fichier journal des emails à la racine du site). Il était impossible d'administrer le site avec ce compte, mais il était possible d'éditer les pages d'emploi ;
- En changeant les pages, vous pourriez placer vos scripts en JavaScript. Habituellement, ils rendent les pages interactives, mais dans cette situation, les mêmes scripts pourraient voler au navigateur du visiteur ce qui distinguait le service RH du programmeur, et le programmeur d'un simple visiteur - l'identifiant de session sur le site. Le chat était un déclencheur d’attaque et une image pour attirer l’attention. Dans le langage de balisage HTML des sites Web, cela ressemblait à ceci : si votre image est chargée, JavaScript a déjà été exécuté et votre identifiant de session, ainsi que les données sur votre navigateur et votre adresse IP, ont déjà été volés.
- Avec un identifiant de session administrateur volé, il serait possible d'obtenir un accès complet au site, d'héberger des pages exécutables en PHP, et donc d'accéder au système d'exploitation du serveur, puis au réseau local lui-même, ce qui était un objectif intermédiaire important de le projet.
L'attaque a été partiellement réussie : l'identifiant de session de l'administrateur a été volé, mais il était lié à une adresse IP. Nous ne pouvions pas contourner ce problème ; nous ne pouvions pas élever les privilèges de notre site au rang de privilèges d'administrateur, mais nous avons amélioré notre humeur. Le résultat final a finalement été obtenu dans une autre section du périmètre du réseau.
Partie 2. Je vous écris - quoi d'autre ? J'appelle aussi et je traîne dans votre bureau, je laisse tomber des clés USB.
Ce qui s’est passé dans la situation du chat est un exemple d’ingénierie sociale, même s’il n’est pas tout à fait classique. En fait, il y avait plus d'événements dans cette histoire : il y avait un chat, et un institut, et un service du personnel, et un programmeur, mais il y avait aussi des e-mails avec des questions de clarification que les soi-disant « candidats » écrivaient au service du personnel lui-même et personnellement au programmeur afin de l'inciter à se rendre sur la page du site.
En parlant de lettres. Le courrier électronique ordinaire, probablement le principal instrument d’ingénierie sociale, n’a pas perdu de sa pertinence depuis une vingtaine d’années et entraîne parfois les conséquences les plus inhabituelles.
Nous racontons souvent l’histoire suivante lors de nos événements, car elle est très révélatrice.
Habituellement, sur la base des résultats de projets d’ingénierie sociale, nous établissons des statistiques qui, comme nous le savons, sont une chose aride et ennuyeuse. Tant de pour cent des destinataires ont ouvert la pièce jointe de la lettre, tant ont suivi le lien, mais ces trois-là ont en fait saisi leur nom d'utilisateur et leur mot de passe. Dans un projet, nous avons reçu plus de 100 % des mots de passe saisis, c'est-à-dire qu'il en est sorti davantage que nous n'en avons envoyé.
Cela s'est produit ainsi : une lettre de phishing a été envoyée, soi-disant par le RSSI d'une société d'État, avec une demande de "tester de toute urgence les changements dans le service de messagerie". La lettre est parvenue au chef d'un grand département chargé du support technique. Le directeur exécutait avec beaucoup de diligence les instructions des hautes autorités et les transmettait à tous ses subordonnés. Le centre d’appels lui-même s’est avéré assez grand. En général, les situations dans lesquelles quelqu'un transmet des e-mails de phishing « intéressants » à ses collègues et se fait également prendre sont un phénomène assez courant. Pour nous, c'est le meilleur retour sur la qualité de la rédaction d'une lettre.
Un peu plus tard, ils ont découvert notre existence (la lettre a été récupérée dans une boîte aux lettres compromise) :
Le succès de l'attaque était dû au fait que le mailing exploitait un certain nombre de déficiences techniques du système de messagerie du client. Il a été configuré de telle manière qu'il était possible d'envoyer n'importe quelle lettre au nom de n'importe quel expéditeur de l'organisation elle-même sans autorisation, même depuis Internet. Autrement dit, vous pouvez prétendre être un RSSI, un responsable du support technique ou quelqu'un d'autre. De plus, l'interface de messagerie, observant les lettres de « son » domaine, a soigneusement inséré une photo du carnet d'adresses, ce qui a ajouté du naturel à l'expéditeur.
En réalité, une telle attaque n’est pas une technologie particulièrement complexe ; il s’agit d’une exploitation réussie d’une faille très basique dans les paramètres de messagerie. Il est régulièrement revu sur des ressources spécialisées en informatique et en sécurité de l'information, mais il existe néanmoins encore des entreprises qui ont tout cela présent. Étant donné que personne n'est enclin à vérifier minutieusement les en-têtes de service du protocole de messagerie SMTP, le « danger » d'une lettre est généralement vérifié à l'aide d'icônes d'avertissement dans l'interface de messagerie, qui n'affichent pas toujours une image complète.
Il est intéressant de noter qu’une vulnérabilité similaire fonctionne également dans l’autre sens : un attaquant peut envoyer un e-mail au nom de votre entreprise à un destinataire tiers. Par exemple, il peut falsifier une facture de paiement régulier en votre nom, en indiquant d'autres détails au lieu des vôtres. Outre les problèmes de lutte contre la fraude et d’encaissement, il s’agit probablement de l’un des moyens les plus simples de voler de l’argent grâce à l’ingénierie sociale.
En plus du vol de mots de passe par phishing, une attaque sociotechnique classique consiste à envoyer des pièces jointes exécutables. Si ces investissements surmontent toutes les mesures de sécurité, dont les entreprises modernes disposent généralement de nombreuses, un canal d’accès à distance à l’ordinateur de la victime sera créé. Pour démontrer les conséquences de l'attaque, le contrôle à distance qui en résulte peut être développé jusqu'à accéder à des informations confidentielles particulièrement importantes. Il est à noter que la grande majorité des attaques utilisées par les médias pour effrayer tout le monde commencent exactement ainsi.
Dans notre service d'audit, nous calculons, pour nous amuser, des statistiques approximatives : quelle est la valeur totale des actifs des entreprises auxquelles nous avons obtenu un accès administrateur de domaine, principalement via le phishing et l'envoi de pièces jointes exécutables ? Cette année, il a atteint environ 150 milliards d'euros.
Il est clair que l’envoi d’e-mails provocateurs et la publication de photos de chats sur des sites Web ne sont pas les seules méthodes d’ingénierie sociale. Dans ces exemples, nous avons essayé de montrer la diversité des formes d'attaque et leurs conséquences. En plus des lettres, un attaquant potentiel peut appeler pour obtenir les informations nécessaires, disperser des supports (par exemple, des clés USB) contenant des fichiers exécutables dans le bureau de l'entreprise cible, obtenir un emploi de stagiaire, obtenir un accès physique au réseau local. sous le couvert d'un installateur de caméras de vidéosurveillance. Soit dit en passant, tous ces éléments sont des exemples de nos projets réalisés avec succès.
Partie 3. L'enseignement est la lumière, mais les ignorants sont les ténèbres
Une question raisonnable se pose : bon, d’accord, il y a de l’ingénierie sociale, ça a l’air dangereux, mais que doivent faire les entreprises face à tout ça ? Captain Obvious vient à votre secours : vous devez vous défendre, et de manière globale. Une partie de la protection visera des mesures de sécurité déjà classiques, telles que des moyens techniques de protection des informations, de surveillance, de soutien organisationnel et juridique des processus, mais l'essentiel, à notre avis, devrait être orienté vers le travail direct avec les employés, car maillon le plus faible. Après tout, peu importe à quel point vous renforcez la technologie ou rédigez des réglementations strictes, il y aura toujours un utilisateur qui découvrira une nouvelle façon de tout casser. De plus, ni la réglementation ni la technologie ne pourront suivre l’envolée de la créativité de l’utilisateur, surtout s’il est incité par un attaquant qualifié.
Tout d'abord, il est important de former l'utilisateur : lui expliquer que même dans son travail courant, des situations liées à l'ingénierie sociale peuvent survenir. Pour nos clients, nous effectuons souvent sur l'hygiène numérique - un événement qui enseigne les compétences de base pour contrer les attaques en général.
Je peux ajouter que l'une des meilleures mesures de protection ne serait pas du tout de mémoriser les règles de sécurité de l'information, mais d'évaluer la situation de manière légèrement détachée :
- Qui est mon interlocuteur ?
- D'où vient sa proposition ou sa demande (cela n'est jamais arrivé auparavant, et maintenant cela est apparu) ?
- Qu'y a-t-il d'inhabituel dans cette demande ?
Même une police de caractères inhabituelle ou un style de discours inhabituel pour l'expéditeur peut déclencher une chaîne de doutes qui mettra fin à une attaque. Des instructions prescrites sont également nécessaires, mais elles fonctionnent différemment et ne peuvent pas spécifier toutes les situations possibles. Par exemple, les administrateurs de la sécurité de l'information y écrivent que vous ne pouvez pas saisir votre mot de passe sur des ressources tierces. Que se passe-t-il si « votre » ressource réseau « d'entreprise » vous demande un mot de passe ? L'utilisateur pense : « Notre entreprise propose déjà deux douzaines de services avec un seul compte, pourquoi ne pas en avoir un autre ? Cela nous amène à une autre règle : un processus de travail bien structuré affecte aussi directement la sécurité : si un service voisin ne peut vous demander des informations que par écrit et uniquement par l'intermédiaire de votre responsable, une personne « d'un partenaire de confiance de l'entreprise » ne le sera certainement pas. pouvoir le demander par téléphone - c'est pour vous que ce sera un non-sens. Vous devez être particulièrement prudent si votre interlocuteur exige de tout faire maintenant, ou « dès que possible », comme il est de bon ton de l'écrire. Même dans le cadre d’un travail normal, cette situation n’est souvent pas saine et constitue un puissant déclencheur face à d’éventuelles attaques. Pas le temps d'expliquer, lancez mon dossier !
Nous remarquons que les utilisateurs sont toujours ciblés comme des légendes pour une attaque sociotechnique sur des sujets liés à l'argent sous une forme ou une autre : promesses de promotions, préférences, cadeaux, ainsi que des informations avec des potins et des intrigues soi-disant locales. En d’autres termes, les « péchés capitaux » banals sont à l’œuvre : la soif de profit, l’avidité et la curiosité excessive.
Une bonne formation doit toujours inclure de la pratique. C’est là que les experts en tests d’intrusion peuvent venir à la rescousse. La question suivante est : que testerons-nous et comment ? Chez Group-IB, nous proposons l'approche suivante : sélectionnez immédiatement l'objet des tests : soit évaluez l'état de préparation aux attaques des utilisateurs eux-mêmes uniquement, soit vérifiez la sécurité de l'entreprise dans son ensemble. Et testez en utilisant des méthodes d'ingénierie sociale, en simulant des attaques réelles - c'est-à-dire le même phishing, en envoyant des documents exécutables, des appels et d'autres techniques.
Dans le premier cas, l'attaque est soigneusement préparée en collaboration avec les représentants du client, principalement avec ses spécialistes en informatique et en sécurité de l'information. Les légendes, les outils et les techniques d'attaque sont cohérents. Le client fournit lui-même des groupes de discussion et des listes d'utilisateurs à attaquer, qui incluent tous les contacts nécessaires. Des exceptions sont créées en matière de mesures de sécurité, car les messages et les charges exécutables doivent parvenir au destinataire, car dans un tel projet, seules les réactions des gens sont intéressantes. En option, vous pouvez inclure des marqueurs dans l'attaque, grâce auxquels l'utilisateur peut deviner qu'il s'agit d'une attaque - par exemple, vous pouvez faire quelques fautes d'orthographe dans les messages ou laisser des inexactitudes dans la copie du style d'entreprise. A la fin du projet, les mêmes « statistiques sèches » sont obtenues : quels groupes de discussion ont répondu aux scénarios et dans quelle mesure.
Dans le second cas, l’attaque est menée sans aucune connaissance initiale, selon la méthode de la « boîte noire ». Nous collectons de manière indépendante des informations sur l'entreprise, ses employés, le périmètre du réseau, créons des légendes d'attaque, sélectionnons des méthodes, recherchons d'éventuelles mesures de sécurité utilisées dans l'entreprise cible, adaptons les outils et créons des scénarios. Nos spécialistes utilisent à la fois les méthodes classiques de renseignement open source (OSINT) et le produit propre du Groupe-IB - Threat Intelligence, un système qui, lors de la préparation au phishing, peut agir comme un agrégateur d'informations sur une entreprise sur une longue période, y compris des informations classifiées. Bien entendu, afin que l'attaque ne devienne pas une mauvaise surprise, ses détails sont également convenus avec le client. Il s’agit d’un test d’intrusion à part entière, mais il sera basé sur une ingénierie sociale avancée. L'option logique dans ce cas est de développer une attaque au sein du réseau, jusqu'à obtenir les droits les plus élevés dans les systèmes internes. Soit dit en passant, nous utilisons de la même manière des attaques sociotechniques dans , et dans certains tests d'intrusion. De ce fait, le client bénéficiera d'une vision globale et indépendante de sa sécurité contre un certain type d'attaques sociotechniques, ainsi que d'une démonstration de l'efficacité (ou, à l'inverse, de l'inefficacité) de la ligne de défense construite contre les menaces extérieures.
Nous recommandons d'effectuer cette formation au moins deux fois par an. Premièrement, dans toute entreprise, il y a un roulement de personnel et les expériences antérieures sont progressivement oubliées par les salariés. Deuxièmement, les méthodes et techniques d’attaque évoluent constamment, ce qui nécessite d’adapter les processus de sécurité et les outils de protection.
Si nous parlons de mesures techniques pour se protéger contre les attaques, les éléments suivants sont les plus utiles :
- La présence d'une authentification obligatoire à deux facteurs sur les services publiés sur Internet. Lancer de tels services en 2019 sans système d’authentification unique, sans protection contre la force brute des mots de passe et sans authentification à deux facteurs dans une entreprise de plusieurs centaines de personnes équivaut à un appel ouvert au « brise-moi ». Une protection correctement mise en œuvre rendra impossible l'utilisation rapide des mots de passe volés et donnera le temps d'éliminer les conséquences d'une attaque de phishing.
- Contrôler le contrôle d'accès, minimiser les droits d'utilisateur dans les systèmes et suivre les directives de configuration sécurisée des produits publiées par chaque grand fabricant. Il s'agit de mesures souvent simples, mais très efficaces et difficiles à mettre en œuvre, que chacun, à un degré ou à un autre, néglige au nom de la rapidité. Et certains sont si nécessaires que sans eux, aucun moyen de protection ne pourra sauver.
- Ligne de filtrage des e-mails bien construite. Antispam, analyse totale des pièces jointes à la recherche de code malveillant, y compris des tests dynamiques via des bacs à sable. Une attaque bien préparée signifie que la pièce jointe exécutable ne sera pas détectée par les outils antivirus. Le bac à sable, au contraire, testera tout par lui-même, en utilisant les fichiers de la même manière qu'une personne les utilise. En conséquence, un éventuel composant malveillant sera révélé par les modifications apportées à l’intérieur du bac à sable.
- Moyens de protection contre les attaques ciblées. Comme déjà indiqué, les outils antivirus classiques ne détecteront pas les fichiers malveillants en cas d'attaque bien préparée. Les produits les plus avancés doivent surveiller automatiquement la totalité des événements se produisant sur le réseau, à la fois au niveau d'un hôte individuel et au niveau du trafic au sein du réseau. Dans le cas d'attaques, apparaissent des chaînes d'événements très caractéristiques qui peuvent être suivies et arrêtées si l'on dispose d'une surveillance axée sur des événements de ce type.
Article original dans le magazine « Information Security/ Information Security » n°6, 2019.
Source: habr.com