Bayangkan situasi ini. Pagi bulan Oktober yang dingin, lembaga desain di pusat regional salah satu wilayah Rusia. Seseorang dari departemen SDM membuka salah satu halaman lowongan di situs institut, yang diposting beberapa hari yang lalu, dan melihat foto seekor kucing di sana. Pagi hari dengan cepat tidak lagi membosankan...
Dalam artikel ini, Pavel Suprunyuk, kepala teknis departemen audit dan konsultasi di Group-IB, berbicara tentang lokasi serangan sosioteknik dalam proyek yang menilai keamanan praktis, bentuk tidak biasa apa yang dapat diambil, dan bagaimana melindungi dari serangan tersebut. Penulis mengklarifikasi bahwa artikel tersebut bersifat ulasan, namun jika ada aspek yang menarik minat pembaca, pakar Grup-IB akan dengan mudah menjawab pertanyaan di komentar.
Bagian 1. Mengapa begitu serius?
Mari kita kembali ke kucing kita. Setelah beberapa waktu, departemen SDM menghapus foto tersebut (tangkapan layar di sini dan di bawah sebagian diperbaiki agar tidak mengungkapkan nama aslinya), tetapi foto itu dengan keras kepala dikembalikan, dihapus lagi, dan ini terjadi beberapa kali lagi. Departemen SDM memahami bahwa kucing itu memiliki niat paling serius, dia tidak ingin pergi, dan mereka meminta bantuan dari pemrogram web - orang yang membuat situs dan memahaminya, dan sekarang mengelolanya. Pemrogram mengunjungi situs tersebut, sekali lagi menghapus kucing yang mengganggu tersebut, mengetahui bahwa itu diposting atas nama departemen SDM itu sendiri, kemudian membuat asumsi bahwa kata sandi departemen SDM telah bocor ke beberapa hooligan online, dan mengubahnya. Kucing itu tidak muncul lagi.
Apa yang sebenarnya terjadi? Sehubungan dengan grup perusahaan yang termasuk dalam institut tersebut, spesialis Grup-IB melakukan pengujian penetrasi dalam format yang mirip dengan Red Teaming (dengan kata lain, ini adalah tiruan dari serangan yang ditargetkan terhadap perusahaan Anda menggunakan metode dan alat paling canggih dari gudang kelompok peretas). Kami berbicara secara rinci tentang Tim Merah . Penting untuk diketahui bahwa saat melakukan pengujian semacam itu, berbagai macam serangan yang telah disepakati sebelumnya dapat digunakan, termasuk rekayasa sosial. Jelas bahwa penempatan kucing itu sendiri bukanlah tujuan akhir dari apa yang terjadi. Dan ada yang berikut ini:
- situs web institut dihosting di server dalam jaringan institut itu sendiri, dan bukan di server pihak ketiga;
- Ditemukan kebocoran di akun departemen SDM (file log email ada di root situs). Tidak mungkin mengelola situs dengan akun ini, tetapi halaman pekerjaan dapat diedit;
- Dengan mengubah halaman, Anda dapat menempatkan skrip Anda di JavaScript. Biasanya mereka membuat halaman menjadi interaktif, tetapi dalam situasi ini, skrip yang sama dapat mencuri dari browser pengunjung yang membedakan departemen SDM dari pemrogram, dan pemrogram dari pengunjung sederhana - pengidentifikasi sesi di situs. Kucing merupakan pemicu serangan dan gambaran untuk menarik perhatian. Dalam bahasa markup situs web HTML, tampilannya seperti ini: jika gambar Anda telah dimuat, JavaScript telah dijalankan dan ID sesi Anda, beserta data tentang browser dan alamat IP Anda, telah dicuri.
- Dengan ID sesi administrator yang dicuri, dimungkinkan untuk mendapatkan akses penuh ke situs, menghosting halaman yang dapat dieksekusi dalam PHP, dan karenanya mendapatkan akses ke sistem operasi server, dan kemudian ke jaringan lokal itu sendiri, yang merupakan tujuan perantara penting dari proyek.
Serangan itu sebagian berhasil: ID sesi administrator dicuri, namun dikaitkan dengan alamat IP. Kami tidak dapat menyiasatinya; kami tidak dapat meningkatkan hak istimewa situs kami menjadi hak istimewa administrator, namun kami berhasil memperbaiki suasana hati kami. Hasil akhir akhirnya diperoleh di bagian lain dari perimeter jaringan.
Bagian 2. Saya menulis kepada Anda - apa lagi? Saya juga menelepon dan berkeliaran di kantor Anda, menjatuhkan flash drive.
Apa yang terjadi pada situasi dengan kucing adalah contoh rekayasa sosial, meski tidak terlalu klasik. Faktanya, ada lebih banyak peristiwa dalam cerita ini: ada seekor kucing, dan sebuah institut, dan departemen personalia, dan seorang programmer, tetapi ada juga email dengan pertanyaan klarifikasi yang konon ditulis oleh “kandidat” kepada departemen personalia itu sendiri dan secara pribadi. kepada programmer untuk memancing mereka membuka halaman situs.
Berbicara tentang surat. Email biasa, yang mungkin merupakan sarana utama untuk melakukan rekayasa sosial, tidak kehilangan relevansinya selama beberapa dekade dan terkadang menimbulkan konsekuensi yang paling tidak biasa.
Kami sering menceritakan kisah berikut ini di acara-acara kami, karena kisah ini sangat membuka wawasan.
Biasanya, berdasarkan hasil proyek rekayasa sosial, kami menyusun statistik, yang seperti kita ketahui adalah hal yang kering dan membosankan. Begitu banyak persen penerima yang membuka lampiran surat tersebut, banyak yang mengikuti tautannya, namun ketiganya justru memasukkan nama pengguna dan kata sandinya. Dalam satu proyek, kami menerima lebih dari 100% kata sandi yang dimasukkan - artinya, lebih banyak kata sandi yang keluar daripada yang kami kirimkan.
Kejadiannya seperti ini: surat phishing dikirim, diduga dari CISO sebuah perusahaan negara, dengan permintaan untuk “segera menguji perubahan pada layanan email.” Surat itu sampai ke kepala departemen besar yang menangani dukungan teknis. Manajer sangat rajin menjalankan instruksi dari otoritas tinggi dan meneruskannya kepada seluruh bawahan. Call centernya sendiri ternyata cukup besar. Secara umum, situasi di mana seseorang meneruskan email phishing yang “menarik” ke rekannya dan mereka juga ketahuan adalah kejadian yang cukup umum. Bagi kami, ini adalah masukan terbaik tentang kualitas penulisan surat.
Beberapa saat kemudian mereka mengetahui tentang kami (surat itu diambil di kotak surat yang telah disusupi):
Keberhasilan serangan ini disebabkan oleh fakta bahwa pihak mailing mengeksploitasi sejumlah kelemahan teknis dalam sistem email klien. Itu dikonfigurasi sedemikian rupa sehingga memungkinkan untuk mengirim surat apa pun atas nama pengirim mana pun dari organisasi itu sendiri tanpa izin, bahkan dari Internet. Artinya, Anda bisa berpura-pura menjadi CISO, atau kepala dukungan teknis, atau orang lain. Selain itu, antarmuka email, mengamati surat-surat dari domain "nya", dengan hati-hati memasukkan foto dari buku alamat, yang menambah kealamian pengirim.
Sebenarnya, serangan semacam itu bukanlah teknologi yang rumit; ini merupakan eksploitasi yang berhasil atas kelemahan mendasar dalam pengaturan email. Hal ini ditinjau secara berkala pada sumber daya TI khusus dan keamanan informasi, namun demikian, masih ada perusahaan yang memiliki semua ini. Karena tidak ada seorang pun yang bersedia memeriksa secara menyeluruh header layanan protokol email SMTP, sebuah surat biasanya diperiksa untuk mengetahui "bahaya" menggunakan ikon peringatan di antarmuka email, yang tidak selalu menampilkan gambaran keseluruhan.
Menariknya, kerentanan serupa juga terjadi dalam arah lain: penyerang dapat mengirim email atas nama perusahaan Anda ke penerima pihak ketiga. Misalnya, dia dapat memalsukan faktur pembayaran reguler atas nama Anda, dengan menunjukkan detail lain selain detail Anda. Selain masalah anti-penipuan dan pembayaran tunai, ini mungkin salah satu cara termudah untuk mencuri uang melalui rekayasa sosial.
Selain mencuri kata sandi melalui phishing, serangan sosioteknik klasik adalah mengirimkan lampiran yang dapat dieksekusi. Jika investasi ini mengatasi semua langkah keamanan, yang biasanya banyak dilakukan oleh perusahaan modern, maka saluran akses jarak jauh akan dibuat ke komputer korban. Untuk menunjukkan konsekuensi serangan tersebut, kendali jarak jauh yang dihasilkan dapat dikembangkan hingga akses ke informasi rahasia yang sangat penting. Patut dicatat bahwa sebagian besar serangan yang digunakan media untuk menakut-nakuti semua orang bermula persis seperti ini.
Di departemen audit kami, untuk bersenang-senang, kami menghitung perkiraan statistik: berapa nilai total aset perusahaan yang akses Administrator Domainnya telah kami peroleh, terutama melalui phishing dan pengiriman lampiran yang dapat dieksekusi? Tahun ini mencapai sekitar 150 miliar euro.
Jelas bahwa mengirimkan email yang provokatif dan memposting foto kucing di situs web bukanlah satu-satunya metode rekayasa sosial. Dalam contoh-contoh ini kami mencoba menunjukkan keragaman bentuk serangan dan konsekuensinya. Selain surat, calon penyerang dapat menelepon untuk mendapatkan informasi yang diperlukan, menyebarkan media (misalnya, flash drive) dengan file yang dapat dieksekusi di kantor perusahaan target, mendapatkan pekerjaan sebagai pekerja magang, mendapatkan akses fisik ke jaringan lokal berkedok pemasang kamera CCTV. Semua ini adalah contoh dari proyek kami yang berhasil diselesaikan.
Bagian 3. Mengajar adalah terang, tetapi yang tidak dipelajari adalah kegelapan
Sebuah pertanyaan yang masuk akal muncul: baiklah, ada rekayasa sosial, kelihatannya berbahaya, tetapi apa yang harus dilakukan perusahaan terhadap semua ini? Captain Obvious datang untuk menyelamatkan: Anda harus membela diri, dan secara komprehensif. Beberapa bagian dari perlindungan akan ditujukan pada langkah-langkah keamanan yang sudah klasik, seperti sarana teknis perlindungan informasi, pemantauan, dukungan organisasi dan hukum terhadap proses, namun bagian utama, menurut pendapat kami, harus diarahkan untuk mengarahkan pekerjaan dengan karyawan sebagai tautan terlemah. Lagi pula, tidak peduli seberapa keras Anda memperkuat teknologi atau menulis peraturan yang keras, akan selalu ada pengguna yang akan menemukan cara baru untuk memecahkan segalanya. Selain itu, baik peraturan maupun teknologi tidak akan bisa mengimbangi kreativitas pengguna, terutama jika ia diminta oleh penyerang yang berkualifikasi.
Pertama-tama, penting untuk melatih pengguna: jelaskan bahwa bahkan dalam pekerjaan rutinnya, situasi yang berkaitan dengan rekayasa sosial mungkin muncul. Untuk klien kami, kami sering melakukan tentang kebersihan digital - sebuah acara yang mengajarkan keterampilan dasar untuk melawan serangan secara umum.
Saya dapat menambahkan bahwa salah satu tindakan perlindungan terbaik bukanlah dengan mengingat aturan keamanan informasi sama sekali, tetapi menilai situasi dengan cara yang sedikit terpisah:
- Siapa lawan bicara saya?
- Dari mana asal usul atau permintaannya (ini belum pernah terjadi sebelumnya, dan sekarang sudah muncul)?
- Apa yang tidak biasa dari permintaan ini?
Bahkan jenis font surat yang tidak biasa atau gaya bicara yang tidak biasa bagi pengirimnya dapat menimbulkan rantai keraguan yang akan menghentikan serangan. Instruksi yang ditentukan juga diperlukan, tetapi cara kerjanya berbeda dan tidak dapat menentukan semua situasi yang mungkin terjadi. Misalnya, administrator keamanan informasi menulis di dalamnya bahwa Anda tidak dapat memasukkan kata sandi pada sumber pihak ketiga. Bagaimana jika sumber daya jaringan "Anda", "perusahaan" meminta kata sandi? Pengguna berpikir: “Perusahaan kami sudah memiliki dua lusin layanan dengan satu akun, mengapa tidak membuat akun lain?” Hal ini mengarah pada aturan lain: proses kerja yang terstruktur dengan baik juga secara langsung mempengaruhi keamanan: jika departemen tetangga dapat meminta informasi dari Anda hanya secara tertulis dan hanya melalui manajer Anda, seseorang “dari mitra terpercaya perusahaan” tentu tidak akan dapat memintanya melalui telepon - ini bagi Anda itu tidak masuk akal. Anda harus sangat berhati-hati jika lawan bicara Anda menuntut untuk melakukan segala sesuatunya sekarang juga, atau “ASAP”, karena menulis adalah hal yang modis. Bahkan dalam pekerjaan normal, situasi ini seringkali tidak sehat, dan dalam menghadapi kemungkinan serangan, ini merupakan pemicu yang kuat. Tidak ada waktu untuk menjelaskan, jalankan file saya!
Kami memperhatikan bahwa pengguna selalu dijadikan target sebagai legenda untuk serangan sosioteknik oleh topik yang berkaitan dengan uang dalam satu atau lain bentuk: janji promosi, preferensi, hadiah, serta informasi yang diduga mengandung gosip dan intrik lokal. Dengan kata lain, “dosa mematikan” yang dangkal sedang bekerja: kehausan akan keuntungan, keserakahan, dan rasa ingin tahu yang berlebihan.
Pelatihan yang baik harus selalu mencakup latihan. Di sinilah para ahli pengujian penetrasi dapat membantu. Pertanyaan selanjutnya adalah: apa dan bagaimana kita akan mengujinya? Kami di Group-IB mengusulkan pendekatan berikut: segera pilih fokus pengujian: menilai kesiapan serangan hanya dari pengguna itu sendiri, atau memeriksa keamanan perusahaan secara keseluruhan. Dan pengujian menggunakan metode rekayasa sosial, simulasi serangan nyata - yaitu phishing yang sama, pengiriman dokumen yang dapat dieksekusi, panggilan, dan teknik lainnya.
Dalam kasus pertama, serangan tersebut dipersiapkan dengan hati-hati bersama dengan perwakilan pelanggan, terutama dengan spesialis TI dan keamanan informasi. Legenda, alat, dan teknik serangan konsisten. Pelanggan sendiri menyediakan grup fokus dan daftar pengguna untuk diserang, yang mencakup semua kontak yang diperlukan. Pengecualian dibuat pada langkah-langkah keamanan, karena pesan dan muatan yang dapat dieksekusi harus sampai ke penerima, karena dalam proyek semacam itu hanya reaksi masyarakat yang dipentingkan. Secara opsional, Anda dapat menyertakan penanda dalam serangan tersebut, yang dengannya pengguna dapat menebak bahwa ini adalah serangan - misalnya, Anda dapat membuat beberapa kesalahan ejaan dalam pesan atau meninggalkan ketidakakuratan dalam menyalin gaya korporat. Di akhir proyek, “statistik kering” yang sama diperoleh: kelompok fokus mana yang merespons skenario dan sejauh mana.
Dalam kasus kedua, serangan dilakukan tanpa pengetahuan awal, menggunakan metode “kotak hitam”. Kami secara mandiri mengumpulkan informasi tentang perusahaan, karyawannya, perimeter jaringan, membuat legenda serangan, memilih metode, mencari kemungkinan langkah keamanan yang digunakan di perusahaan target, mengadaptasi alat, dan membuat skenario. Pakar kami menggunakan metode intelijen sumber terbuka klasik (OSINT) dan produk Group-IB sendiri - Intelijen Ancaman, sebuah sistem yang, ketika bersiap menghadapi phishing, dapat bertindak sebagai agregator informasi tentang perusahaan dalam jangka waktu lama, termasuk informasi rahasia. Tentu saja, agar serangan tersebut tidak menjadi kejutan yang tidak menyenangkan, detailnya juga disepakati dengan pelanggan. Ini ternyata merupakan tes penetrasi yang lengkap, tetapi akan didasarkan pada rekayasa sosial tingkat lanjut. Pilihan logis dalam hal ini adalah mengembangkan serangan di dalam jaringan, hingga memperoleh hak tertinggi dalam sistem internal. Omong-omong, kami menggunakan serangan sosioteknik dengan cara yang sama , dan dalam beberapa tes penetrasi. Hasilnya, pelanggan akan menerima visi komprehensif independen tentang keamanan mereka terhadap jenis serangan sosioteknik tertentu, serta demonstrasi keefektifan (atau, sebaliknya, ketidakefektifan) dari garis pertahanan yang dibangun terhadap ancaman eksternal.
Kami merekomendasikan untuk mengadakan pelatihan ini setidaknya dua kali setahun. Pertama, di perusahaan mana pun terjadi pergantian staf dan pengalaman sebelumnya secara bertahap dilupakan oleh karyawan. Kedua, metode dan teknik serangan terus berubah dan hal ini menyebabkan perlunya penyesuaian proses keamanan dan alat perlindungan.
Jika kita berbicara tentang langkah-langkah teknis untuk melindungi dari serangan, hal berikut ini paling membantu:
- Kehadiran otentikasi dua faktor wajib pada layanan yang dipublikasikan di Internet. Untuk merilis layanan tersebut pada tahun 2019 tanpa sistem Single Sign On, tanpa perlindungan terhadap kekerasan kata sandi, dan tanpa autentikasi dua faktor di perusahaan yang terdiri dari beberapa ratus orang sama saja dengan seruan terbuka untuk “hancurkan saya”. Perlindungan yang diterapkan dengan benar akan membuat penggunaan cepat kata sandi yang dicuri menjadi tidak mungkin dan akan memberikan waktu untuk menghilangkan konsekuensi serangan phishing.
- Mengontrol kontrol akses, meminimalkan hak pengguna dalam sistem, dan mengikuti pedoman konfigurasi produk aman yang dirilis oleh masing-masing produsen besar. Hal ini sering kali bersifat sederhana, namun sangat efektif dan sulit untuk dilaksanakan, sehingga setiap orang, pada tingkat tertentu, mengabaikannya demi kecepatan. Dan ada pula yang sangat diperlukan sehingga tanpanya tidak ada alat perlindungan yang bisa menyelamatkan.
- Jalur pemfilteran email yang dibangun dengan baik. Antispam, pemindaian total lampiran untuk kode berbahaya, termasuk pengujian dinamis melalui kotak pasir. Serangan yang dipersiapkan dengan baik berarti lampiran yang dapat dieksekusi tidak akan terdeteksi oleh alat antivirus. Sebaliknya, kotak pasir akan menguji semuanya sendiri, menggunakan file dengan cara yang sama seperti seseorang menggunakannya. Akibatnya, kemungkinan komponen berbahaya akan terungkap melalui perubahan yang dilakukan di dalam kotak pasir.
- Sarana perlindungan terhadap serangan yang ditargetkan. Seperti yang telah disebutkan, alat antivirus klasik tidak akan mendeteksi file berbahaya jika terjadi serangan yang telah dipersiapkan dengan baik. Produk paling canggih harus secara otomatis memantau totalitas peristiwa yang terjadi di jaringan - baik di tingkat host individu maupun di tingkat lalu lintas dalam jaringan. Dalam kasus serangan, muncul rangkaian peristiwa yang sangat khas yang dapat dilacak dan dihentikan jika Anda memiliki pemantauan yang berfokus pada peristiwa semacam ini.
Artikel asli dalam majalah “Keamanan Informasi/ Keamanan Informasi” #6, 2019.
Sumber: www.habr.com