Zamislite ovu situaciju. Hladno listopadsko jutro, institut za dizajn u regionalnom središtu jedne od regija Rusije. Netko iz odjela za ljudske resurse ode na jednu od stranica s natječajem na web stranici instituta, postavljenu prije nekoliko dana, i tamo vidi fotografiju mačke. Jutro brzo prestaje biti dosadno...
U ovom članku Pavel Suprunyuk, tehnički voditelj odjela za reviziju i savjetovanje u Group-IB, govori o mjestu sociotehničkih napada u projektima koji procjenjuju praktičnu sigurnost, koje neobične oblike mogu poprimiti i kako se zaštititi od takvih napada. Autor pojašnjava da je članak recenzentske prirode, međutim, ako bilo koji aspekt zanima čitatelje, stručnjaci Group-IB-a spremno će odgovoriti na pitanja u komentarima.
Dio 1. Zašto tako ozbiljno?
Vratimo se našoj mački. Nakon nekog vremena kadrovska služba briše fotografiju (snimke zaslona ovdje i ispod su djelomično retuširane kako se ne bi otkrila prava imena), ali ona se tvrdoglavo vraća, opet se briše i to se događa još nekoliko puta. U odjelu ljudskih resursa shvaćaju da mačak ima najozbiljnije namjere, ne želi otići, te u pomoć pozivaju web programera - osobu koja je izradila stranicu i razumije je, a sada je i administrira. Programer odlazi na stranicu, još jednom briše dosadnu mačku, otkriva da je postavljena u ime same HR službe, zatim pretpostavlja da je lozinka HR odjela procurila do nekih online huligana i mijenja je. Mačka se više ne pojavljuje.
Što se stvarno dogodilo? U odnosu na grupu tvrtki koja je uključivala institut, stručnjaci Group-IB-a proveli su penetracijsko testiranje u formatu bliskom Red Teamingu (drugim riječima, ovo je imitacija ciljanih napada na vašu tvrtku korištenjem najnaprednijih metoda i alata iz arsenal hakerskih skupina). Detaljno smo razgovarali o Red Teamingu . Važno je znati da se prilikom provođenja takvog testa može koristiti vrlo širok raspon unaprijed dogovorenih napada, uključujući i društveni inženjering. Jasno je da samo postavljanje mačke nije bio krajnji cilj onoga što se događalo. A bilo je sljedeće:
- web stranica instituta bila je smještena na poslužitelju unutar mreže samog instituta, a ne na poslužiteljima trećih strana;
- Pronađeno je curenje u računu odjela ljudskih resursa (datoteka dnevnika e-pošte nalazi se u korijenu stranice). Bilo je nemoguće administrirati stranicu s ovim računom, ali bilo je moguće uređivati stranice poslova;
- Promjenom stranica svoje skripte možete smjestiti u JavaScript. Obično stranice čine interaktivnima, ali u ovoj situaciji, iste skripte mogle bi ukrasti iz preglednika posjetitelja ono što je razlikovalo odjel ljudskih resursa od programera, a programera od običnog posjetitelja - identifikator sesije na web mjestu. Mačka je bila okidač za napad i slika za privlačenje pažnje. U HTML jeziku za označavanje web stranica to je izgledalo ovako: ako se vaša slika učitala, JavaScript je već izvršen i vaš ID sesije, zajedno s podacima o vašem pregledniku i IP adresi, već je ukraden.
- S ukradenim ID-om administratorske sesije bilo bi moguće dobiti potpuni pristup stranici, ugostiti izvršne stranice u PHP-u i time dobiti pristup operacijskom sustavu poslužitelja, a potom i samoj lokalnoj mreži, što je bio važan međucilj projekt.
Napad je bio djelomično uspješan: ID sesije administratora je ukraden, ali je bio vezan uz IP adresu. Nismo mogli zaobići ovo; nismo mogli podići privilegije naše stranice na administratorske, ali smo popravili svoje raspoloženje. Konačni rezultat na kraju je dobiven u drugom dijelu perimetra mreže.
Dio 2. Pišem ti - što još? Također zovem i visim u tvom uredu, ispuštam flash diskove.
Ono što se dogodilo u situaciji s mačkom primjer je socijalnog inženjeringa, iako ne sasvim klasičnog. Zapravo, bilo je više događaja u ovoj priči: postojala je i mačka, i institut, i kadrovska služba, i programer, ali bilo je i e-mailova s razjašnjavajućim pitanjima koje su navodno "kandidati" pisali samoj kadrovskoj službi i osobno programerima kako bi ih potakli da odu na stranicu stranice.
Kad smo već kod slova. Obična elektronska pošta, vjerojatno glavno sredstvo za provođenje društvenog inženjeringa, već nekoliko desetljeća ne gubi na važnosti i ponekad dovodi do najneobičnijih posljedica.
Često pričamo sljedeću priču na našim događajima, jer je vrlo razotkrivajuća.
Obično na temelju rezultata projekata društvenog inženjeringa sastavljamo statistiku, koja je, kao što znamo, suhoparna i dosadna stvar. Toliki postotak primatelja otvorilo je privitak iz pisma, toliko ih je išlo na poveznicu, no ovo troje zapravo je unijelo svoje korisničko ime i lozinku. U jednom projektu dobili smo više od 100% unesenih lozinki – odnosno više ih je izašlo nego što smo ih poslali.
Dogodilo se ovako: poslano je phishing pismo, navodno iz CISO-a državne korporacije, sa zahtjevom da se "hitno testiraju promjene u poštanskoj usluzi". Pismo je stiglo voditelju velikog odjela koji se bavio tehničkom podrškom. Upravitelj je vrlo revno izvršavao upute visokih vlasti i prosljeđivao ih svim podređenima. Sam pozivni centar pokazao se prilično velikim. Općenito, situacije u kojima netko proslijedi “zanimljive” phishing e-mailove svojim kolegama i oni također budu uhvaćeni prilično je česta pojava. Za nas je to najbolja povratna informacija o kvaliteti pisanja pisma.
Nešto kasnije saznali su za nas (pismo je uzeto u kompromitiranom sandučiću):
Uspjeh napada bio je posljedica činjenice da je slanje iskorištavalo niz tehničkih nedostataka u klijentovom sustavu pošte. Bio je konfiguriran na takav način da je bilo moguće neovlašteno slati bilo koja pisma u ime bilo kojeg pošiljatelja same organizacije, čak i s interneta. Odnosno, možete se pretvarati da ste CISO, ili voditelj tehničke podrške, ili netko treći. Štoviše, sučelje e-pošte, promatrajući pisma sa "svoje" domene, pažljivo je ubacilo fotografiju iz adresara, što je pošiljatelju dodalo prirodnost.
Istina, takav napad nije posebno složena tehnologija; to je uspješno iskorištavanje vrlo osnovne greške u postavkama pošte. Redovito se revidira na specijaliziranim informatičkim i informacijsko-sigurnosnim resursima, no unatoč tome još uvijek postoje tvrtke koje sve to imaju. Budući da nitko nije sklon temeljitoj provjeri servisnih zaglavlja SMTP protokola e-pošte, pismo se obično provjerava na “opasnost” pomoću ikona upozorenja u sučelju pošte, koje ne prikazuju uvijek cijelu sliku.
Zanimljivo je da slična ranjivost djeluje i u drugom smjeru: napadač može poslati e-poštu u ime vaše tvrtke primatelju treće strane. Primjerice, može krivotvoriti fakturu za redovno plaćanje u vaše ime, navodeći druge podatke umjesto vaših. Osim problema protiv prijevara i isplate novca, ovo je vjerojatno jedan od najlakših načina za krađu novca kroz društveni inženjering.
Osim krađe lozinki phishingom, klasični sociotehnički napad je slanje izvršnih privitaka. Ako ta ulaganja prevladaju sve sigurnosne mjere, kojih moderne tvrtke obično imaju mnogo, stvorit će se kanal za daljinski pristup računalu žrtve. Kako bi se prikazale posljedice napada, rezultirajući daljinski upravljač može se razviti do pristupa posebno važnim povjerljivim informacijama. Zanimljivo je da velika većina napada kojima mediji plaše sve počinje upravo ovako.
U našem odjelu za reviziju, iz zabave, izračunavamo približnu statistiku: koja je ukupna vrijednost imovine tvrtki kojima smo stekli pristup administratora domene, uglavnom kroz phishing i slanje izvršnih privitaka? Ove je godine dosegao približno 150 milijardi eura.
Jasno je da slanje provokativnih e-mailova i objavljivanje fotografija mačaka na web stranicama nisu jedine metode društvenog inženjeringa. Ovim smo primjerima pokušali prikazati raznolikost oblika napada i njihovih posljedica. Osim pisama, potencijalni napadač može nazvati kako bi dobio potrebne informacije, razbacati medije (na primjer, flash diskove) s izvršnim datotekama u uredu ciljane tvrtke, zaposliti se kao pripravnik, dobiti fizički pristup lokalnoj mreži pod krinkom instalatera CCTV kamera. Sve su to, inače, primjeri iz naših uspješno odrađenih projekata.
Dio 3. Učenje je svjetlo, a neučeno je tama
Postavlja se razumno pitanje: dobro, dobro, postoji društveni inženjering, izgleda opasno, ali što bi tvrtke trebale učiniti u vezi svega toga? Captain Obvious dolazi u pomoć: morate se obraniti, i to na sveobuhvatan način. Dio zaštite bit će usmjeren na već klasične sigurnosne mjere, poput tehničkih sredstava zaštite informacija, praćenja, organizacijske i pravne podrške procesima, no glavni dio, po našem mišljenju, treba usmjeriti na neposredni rad sa zaposlenicima kao najslabija karika. Uostalom, koliko god pojačali tehnologiju ili napisali oštre propise, uvijek će postojati korisnik koji će otkriti novi način da sve prekrši. Štoviše, ni propisi ni tehnologija neće pratiti polet kreativnosti korisnika, pogotovo ako ga potakne kvalificirani napadač.
Prije svega, važno je uvježbati korisnika: objasniti da se čak iu njegovom rutinskom radu mogu pojaviti situacije vezane uz društveni inženjering. Za naše klijente često provodimo o digitalnoj higijeni - događaj koji podučava osnovne vještine suprotstavljanja napadima općenito.
Mogu dodati da jedna od najboljih mjera zaštite ne bi bila uopće naučiti napamet pravila informacijske sigurnosti, već malo distancirano procijeniti situaciju:
- Tko je moj sugovornik?
- Odakle njegov prijedlog ili molba (to se nikad prije nije dogodilo, a sada se pojavilo)?
- Što je neobično u ovom zahtjevu?
Čak i neobična vrsta slova ili stil govora koji je neobičan za pošiljatelja može pokrenuti lanac sumnje koji će zaustaviti napad. Potrebne su i propisane upute, ali one rade drugačije i ne mogu specificirati sve moguće situacije. Na primjer, administratori informacijske sigurnosti pišu u njima da ne možete unijeti svoju lozinku na resurse trećih strana. Što ako "vaš", "korporacijski" mrežni resurs traži lozinku? Korisnik misli: "Naša tvrtka već ima dvadesetak usluga s jednim računom, zašto ne bismo imali još jedan?" Iz toga proizlazi još jedno pravilo: dobro strukturiran radni proces također izravno utječe na sigurnost: ako susjedni odjel od vas može zatražiti podatke samo u pisanom obliku i samo preko vašeg voditelja, osoba “od povjerljivog partnera tvrtke” sigurno neće biti možete to zatražiti telefonom - to je za vas to će biti besmislica. Posebno biste trebali biti oprezni ako vaš sugovornik zahtijeva da sve učinite odmah, ili “ASAP”, kako je moderno pisati. Čak i u normalnom radu, ova situacija često nije zdrava, a pred mogućim napadima jak je okidač. Nemam vremena za objašnjavanje, pokreni moju datoteku!
Primjećujemo da su korisnici uvijek ciljani kao legende za sociotehnički napad temama vezanim uz novac u ovom ili onom obliku: obećanja promocija, preferencija, darova, kao i informacije s navodno lokalnim tračevima i spletkama. Drugim riječima, na djelu su banalni “smrtni grijesi”: žeđ za zaradom, pohlepa i pretjerana znatiželja.
Dobar trening uvijek treba uključivati praksu. Ovdje stručnjaci za testiranje prodora mogu priskočiti u pomoć. Sljedeće pitanje je: što i kako ćemo testirati? Mi u Group-IB predlažemo sljedeći pristup: odmah odaberite fokus testiranja: ili procijenite spremnost na napade samo samih korisnika ili provjerite sigurnost tvrtke u cjelini. I testirajte koristeći metode društvenog inženjeringa, simulirajući stvarne napade - to jest, isti phishing, slanje izvršnih dokumenata, pozive i druge tehnike.
U prvom slučaju, napad se pažljivo priprema zajedno s predstavnicima korisnika, uglavnom s njegovim IT stručnjacima i stručnjacima za informacijsku sigurnost. Legende, alati i tehnike napada su dosljedni. Kupac sam osigurava fokus grupe i popise korisnika za napad koji uključuju sve potrebne kontakte. Iznimke su stvorene na sigurnosnim mjerama, budući da poruke i izvršna opterećenja moraju doći do primatelja, jer su u takvom projektu od interesa samo reakcije ljudi. Po želji, možete uključiti markere u napad, pomoću kojih korisnik može pogoditi da se radi o napadu - na primjer, možete napraviti nekoliko pravopisnih pogrešaka u porukama ili ostaviti netočnosti u kopiranju korporativnog stila. Na kraju projekta dobiva se ista “suha statistika”: koje su fokus grupe odgovorile na scenarije i u kojoj mjeri.
U drugom slučaju, napad se izvodi bez inicijalnog znanja, metodom "crne kutije". Samostalno prikupljamo informacije o tvrtki, zaposlenicima, perimetru mreže, kreiramo legende napada, odabiremo metode, tražimo moguće sigurnosne mjere koje se koriste u ciljnoj tvrtki, prilagođavamo alate i kreiramo scenarije. Naši stručnjaci koriste i klasične metode open source intelligence (OSINT) i vlastiti proizvod Group-IB-a - Threat Intelligence, sustav koji, kada se priprema za krađu identiteta, može djelovati kao agregator informacija o tvrtki tijekom dugog razdoblja, uključujući klasificirane podatke. Naravno, kako napad ne bi bio neugodno iznenađenje, njegovi detalji se također dogovaraju s kupcem. Ispostavilo se da je to potpuni penetracijski test, ali će se temeljiti na naprednom društvenom inženjeringu. Logična opcija u ovom slučaju je razvoj napada unutar mreže, sve do dobivanja najviših prava u internim sustavima. Usput, na sličan način koristimo sociotehničke napade u , te u nekim testovima penetracije. Kao rezultat, kupac će dobiti neovisnu sveobuhvatnu viziju svoje sigurnosti protiv određene vrste sociotehničkih napada, kao i demonstraciju učinkovitosti (ili, obrnuto, neučinkovitosti) izgrađene linije obrane od vanjskih prijetnji.
Preporučujemo da ovu obuku provedete najmanje dva puta godišnje. Prvo, u svakoj tvrtki postoji fluktuacija osoblja i zaposlenici postupno zaboravljaju prethodno iskustvo. Drugo, metode i tehnike napada se stalno mijenjaju i to dovodi do potrebe za prilagodbom sigurnosnih procesa i zaštitnih alata.
Ako govorimo o tehničkim mjerama zaštite od napada, najviše pomažu sljedeće:
- Prisutnost obavezne dvofaktorske autentifikacije na uslugama objavljenim na Internetu. Pustiti takve usluge u 2019. bez sustava jedinstvene prijave, bez zaštite od brutalne sile lozinke i bez dvofaktorske autentifikacije u tvrtki od nekoliko stotina ljudi jednako je otvorenom pozivu da me "slomiš". Ispravno implementirana zaštita onemogućit će brzo korištenje ukradenih lozinki i dati vremena za uklanjanje posljedica phishing napada.
- Kontrola kontrole pristupa, minimiziranje korisničkih prava u sustavima i praćenje smjernica za sigurnu konfiguraciju proizvoda koje izdaje svaki veći proizvođač. Često su to jednostavne, ali vrlo učinkovite i teško provedive mjere koje svatko, u ovoj ili onoj mjeri, zanemaruje zbog brzine. A neki su toliko potrebni da bez njih nijedno sredstvo zaštite neće spasiti.
- Dobro izgrađena linija za filtriranje e-pošte. Antispam, potpuno skeniranje privitaka na zlonamjerni kod, uključujući dinamičko testiranje kroz sandboxove. Dobro pripremljen napad znači da antivirusni alati neće otkriti izvršni privitak. Pješčanik će, naprotiv, testirati sve za sebe, koristeći datoteke na isti način na koji ih koristi osoba. Kao rezultat toga, moguća zlonamjerna komponenta bit će otkrivena promjenama unutar sandboxa.
- Sredstva zaštite od ciljanih napada. Kao što je već navedeno, klasični antivirusni alati neće otkriti zlonamjerne datoteke u slučaju dobro pripremljenog napada. Najnapredniji proizvodi trebali bi automatski pratiti sveukupnost događaja koji se događaju na mreži – kako na razini pojedinog hosta tako i na razini prometa unutar mreže. U slučaju napada pojavljuju se vrlo karakteristični lanci događaja koji se mogu pratiti i zaustaviti ako imate nadzor usmjeren na događaje ove vrste.
Orginalni članak u časopisu “Informacijska sigurnost/ Information Security” #6, 2019.
Izvor: www.habr.com