できれば騙してください: 社会技術的侵入テストの実施の特徴

この状況を想像してみてください。 XNUMX月の寒い朝、ロシアのある地域の地域中心部にあるデザイン研究所。 人事部の誰かが、数日前に掲載された研究所のウェブサイトの求人ページの XNUMX つにアクセスし、そこに猫の写真を見つけました。 朝はすぐに退屈でなくなります...

この記事では、Group-IB の監査およびコンサルティング部門の技術責任者である Pavel Suprunyuk が、実際のセキュリティを評価するプロジェクトにおける社会技術的攻撃の場所、攻撃が取り得る異常な形式、およびそのような攻撃から保護する方法について語ります。 著者は、この記事はレビューの性質のものであることを明確にしていますが、読者に興味のある側面があれば、Group-IB の専門家がコメント内の質問にすぐに答えます。

パート 1. なぜそんなに真剣ですか?

猫の話に戻りましょう。 しばらくして、人事部門は写真を削除します（ここと下のスクリーンショットは実名が明らかにならないように部分的に修正されています）が、頑固に元に戻り、再び削除され、これがさらに数回発生します。 人事部門は、猫が最も深刻な意図を持っており、立ち去りたくないことを理解しており、Web プログラマーに助けを求めます。Web プログラマーは、サイトを作成し、それを理解し、現在はサイトを管理している人です。 プログラマはサイトに行き、迷惑な猫を再度削除し、それが人事部門に代わって投稿されたものであることを知り、人事部門のパスワードが一部のオンラインのフーリガンに漏洩したと推測し、パスワードを変更します。 猫は再び現れません。

本当に何が起こったのでしょうか？ 同研究所を含む企業グループに関しては、Group-IB の専門家がレッド チームに近い形式で侵入テストを実施しました (つまり、これは、企業の最先端の手法とツールを使用して、貴社に対する標的型攻撃を模倣したものです)。ハッカーグループの兵器庫）。 レッドチームについて詳しく話しました ここで。 このようなテストを実施する場合、ソーシャル エンジニアリングを含む、事前に合意された非常に広範囲の攻撃が使用される可能性があることを知っておくことが重要です。 猫を配置すること自体が、起こっていることの最終的な目的ではないことは明らかです。 そして、次のようなことがありました。

• 研究所のウェブサイトは、サードパーティのサーバーではなく、研究所のネットワーク自体内のサーバーでホストされていました。
• 人事部門のアカウントの漏洩が見つかりました (電子メールのログ ファイルはサイトのルートにあります)。 このアカウントでサイトを管理することは不可能でしたが、求人ページを編集することは可能でした。
• ページを変更することで、スクリプトを JavaScript に配置できます。 通常、これらはページをインタラクティブにしますが、この状況では、同じスクリプトが訪問者のブラウザから、人事部門とプログラマ、およびプログラマと単なる訪問者を区別するもの、つまりサイト上のセッション ID を盗む可能性があります。 猫は攻撃の引き金であり、注目を集める絵でもありました。 HTML Web サイトのマークアップ言語では、次のようになります。画像が読み込まれている場合、JavaScript はすでに実行されており、セッション ID とブラウザーおよび IP アドレスに関するデータはすでに盗まれています。
• 盗まれた管理者セッション ID を使用すると、サイトへのフル アクセスを取得し、PHP で実行可能ページをホストし、サーバー オペレーティング システムにアクセスし、さらにローカル ネットワーク自体にアクセスすることが可能になります。これは、重要な中間目標でした。プロジェクト。

攻撃は部分的に成功しました。管理者のセッション ID は盗まれましたが、それは IP アドレスに関連付けられていました。 これを回避することはできず、サイトの権限を管理者権限に上げることもできませんでしたが、気分は改善されました。 最終的な結果は、最終的にネットワーク境界の別のセクションで得られました。

パート 2. 私はあなたに手紙を書いています - 他に何かありますか? また、私はあなたのオフィスに電話をかけたり、フラッシュドライブを落としたりしてぶらぶらしています。

猫の状況で起こったことは、完全に古典的ではありませんが、ソーシャル エンジニアリングの一例です。 実際、この物語にはさらに多くの出来事がありました。猫、研究所、人事部、プログラマーが登場しましたが、おそらく「候補者」が人事部自体と個人に宛てて明確な質問を書いた電子メールもありました。プログラマーにサイトページへのアクセスを促すために。

手紙といえば。 通常の電子メールは、おそらくソーシャル エンジニアリングを実行するための主な手段であり、数十年にわたってその関連性を失っておらず、時には最も異常な結果を引き起こすことがあります。

非常に示唆に富むものなので、私たちはイベントでよく次のような話をします。

通常、私たちはソーシャル エンジニアリング プロジェクトの結果に基づいて統計を作成しますが、ご存知のとおり、これは無味乾燥で退屈なものです。 非常に多くの割合の受信者が手紙の添付ファイルを開いてリンクをたどりましたが、この 100 人は実際にユーザー名とパスワードを入力しました。 あるプロジェクトでは、入力されたパスワードの XNUMX% 以上を受け取りました。つまり、送信したパスワードよりも出てきたパスワードの方が多かったです。

それは次のように起こりました。国営企業の CISO からと思われるフィッシングメールが送信され、「メール サービスの変更を緊急にテストする」という要求が含まれていました。 この手紙は、技術サポートを担当する大きな部門の責任者に届きました。 マネージャーは上層部からの指示を非常に熱心に実行し、それを部下全員に伝えました。 コールセンター自体はかなり大規模なものでした。 一般に、誰かが「興味深い」フィッシングメールを同僚に転送し、同僚も逮捕されるという状況はかなり頻繁に発生します。 私たちにとって、これは手紙を書くことの質についての最高のフィードバックです。

少し後、彼らは私たちのことを知りました（手紙は侵害された郵便受けに入れられました）。

攻撃が成功したのは、メール送信がクライアントのメール システムの多くの技術的欠陥を悪用したためです。 これは、インターネットからであっても、組織自体の送信者に代わって、許可なしに手紙を送信できるように構成されていました。 つまり、CISO、テクニカル サポート責任者、またはその他の人物になりすますことができます。 さらに、メールインターフェイスは、「その」ドメインからの文字を観察して、アドレス帳から写真を慎重に挿入し、送信者に自然さを加えました。

実際のところ、このような攻撃は特に複雑なテクノロジーではなく、メール設定の非常に基本的な欠陥を悪用することに成功しています。 IT および情報セキュリティの専門リソースに関して定期的に見直されていますが、それでもなお、これをすべて備えている企業がまだ存在します。 SMTP メール プロトコルのサービス ヘッダーを徹底的にチェックする人はいないため、通常はメール インターフェイスの警告アイコンを使用して手紙の「危険性」がチェックされますが、警告アイコンには必ずしも全体像が表示されるわけではありません。

興味深いことに、同様の脆弱性は逆方向にも作用し、攻撃者が会社を代表してサードパーティの受信者に電子メールを送信する可能性があります。 たとえば、彼はあなたに代わって定期支払いの請求書を偽造し、あなたの詳細ではなく他の詳細を示すことができます。 詐欺防止や現金化の問題を除けば、これはおそらくソーシャル エンジニアリングを通じてお金を盗む最も簡単な方法の XNUMX つです。

フィッシングによるパスワードの窃取に加えて、実行可能な添付ファイルの送信も古典的な社会工学的攻撃です。 これらの投資が、現代の企業が通常多くのセキュリティ対策を講じているすべてのセキュリティ対策を克服できた場合、被害者のコンピュータへのリモート アクセス チャネルが作成されます。 攻撃の結果を実証するために、結果として得られる遠隔制御を、特に重要な機密情報にアクセスできるように開発することができます。 メディアが人々を怖がらせるために使用する攻撃の大部分が、まさにこのように始まることは注目に値します。

私たちの監査部門では、趣味でおおよその統計を計算しています。主にフィッシングや実行可能添付ファイルの送信によってドメイン管理者アクセスを取得した企業の資産の総額はいくらになるでしょうか? 今年は約１５００億ユーロに達した。

挑発的な電子メールを送信したり、Web サイトに猫の写真を投稿したりすることだけがソーシャル エンジニアリングの手法ではないことは明らかです。 これらの例では、さまざまな攻撃形式とその結果を示すことを試みました。 潜在的な攻撃者は、手紙に加えて、電話をかけて必要な情報を入手したり、実行可能ファイルが含まれたメディア (フラッシュ ドライブなど) をターゲット企業のオフィスにばらまいたり、インターンとして就職したり、ローカル ネットワークへの物理的なアクセスを取得したりする可能性があります。 CCTVカメラ設置業者を装って。 ちなみに、これらはすべて、当社が成功裏に完了したプロジェクトの一例です。

パート 3. 教えることは光だが、学ばないことは闇である

当然の疑問が生じます: そうですね、ソーシャル エンジニアリングが存在します。それは危険に見えますが、企業はこれらすべてに対して何をすべきでしょうか? キャプテン・オブビアスが助けに来ます。あなたは総合的な方法で自分自身を守る必要があります。 保護の一部は、情報保護、監視、プロセスの組織的および法的サポートなどの技術的手段など、すでに古典的なセキュリティ対策を目的としていますが、主要な部分は、従業員との直接的な連携に向けられるべきだと私たちは考えています。最弱のリンク。 結局のところ、どれだけテクノロジーを強化したり、厳しい規制を設けたりしても、すべてを打破する新しい方法を発見するユーザーは常に存在します。 さらに、規制もテクノロジーも、特に資格のある攻撃者によって促された場合には、ユーザーの創造性の発揮に追いつくことはできません。

まず第一に、ユーザーをトレーニングすることが重要です。日常業務の中でもソーシャル エンジニアリングに関連する状況が発生する可能性があることを説明します。 私たちがクライアントのために頻繁に行うのは、 コー​​ス デジタル衛生に関するイベント - 攻撃全般に対抗するための基本的なスキルを教えるイベント。

最善の保護手段の XNUMX つは、情報セキュリティ ルールをまったく暗記するのではなく、少し冷静に状況を評価することであると付け加えておきます。

1. 私の対話者は誰ですか?
2. 彼の提案や要求はどこから来たのでしょうか (このようなことはこれまで一度も起こったことはありませんでしたが、今ではそれが現れています)。
3. このリクエストの何が異常ですか?

送信者にとって珍しい種類の文字フォントや話し方であっても、攻撃を阻止する疑念の連鎖を引き起こす可能性があります。 所定の指示も必要ですが、それらの動作は異なり、考えられるすべての状況を指定することはできません。 たとえば、情報セキュリティ管理者は、サードパーティのリソースにパスワードを入力できないことを通知します。 「あなたの」「企業」のネットワーク リソースがパスワードを要求したらどうなるでしょうか? ユーザーは次のように考えます。「当社はすでに XNUMX つのアカウントで XNUMX のサービスを持っています。別のアカウントを持たないのはなぜでしょうか?」 これは別のルールにつながります。適切に構造化された作業プロセスは、セキュリティにも直接影響します。隣接する部門が書面でのみ、上司を通じてのみあなたに情報を要求できる場合、「会社の信頼できるパートナーからの」人は、間違いなく情報を要求することはできません。電話でリクエストすることができます - これはあなたにとってナンセンスです。 対話者が今すぐにすべてを行うように要求した場合、または「できるだけ早く」と書くのが流行っているため、特に注意する必要があります。 通常の仕事においても、この状況は健全ではないことが多く、攻撃の可能性に直面すると強力な引き金となります。 説明する時間はありません。ファイルを実行してください。

ユーザーは常に、何らかの形でお金に関連する話題、つまり昇進、嗜好、贈り物の約束、さらには地元の噂話や陰謀を伴う情報など、社会工学的攻撃の伝説としてターゲットにされていることに気づきました。 言い換えれば、利益への渇望、貪欲、過剰な好奇心などのありふれた「大罪」が働いているということです。

優れたトレーニングには常に練習が含まれている必要があります。 ここで、侵入テストの専門家が助けになります。 次の質問は、何をどのようにテストするのかということです。 Group-IB では、次のアプローチを提案します。テストの焦点を即座に選択します。ユーザー自身のみの攻撃に対する準備を評価するか、会社全体のセキュリティをチェックするかのどちらかです。 そして、ソーシャル エンジニアリング手法を使用して、実際の攻撃、つまり同じフィッシング、実行可能ドキュメントの送信、通話、その他のテクニックをシミュレートしてテストします。

前者の場合、攻撃は顧客の代表者、主に IT および情報セキュリティの専門家と協力して慎重に準備されます。 伝説、ツール、攻撃テクニックは一貫しています。 顧客自身が、必要なすべての連絡先を含む攻撃対象のフォーカス グループとユーザーのリストを提供します。 このようなプロジェクトでは人々の反応のみが重要となるため、メッセージと実行可能ロードは受信者に到達する必要があるため、セキュリティ対策に関して例外が作成されます。 オプションで、攻撃にマーカーを含めることができます。これにより、ユーザーはこれが攻撃であると推測できます。たとえば、メッセージにいくつかのスペルミスをしたり、企業スタイルのコピーに不正確さを残すことができます。 プロジェクトの最後には、どのフォーカスグループがシナリオにどの程度反応したかという同じ「ドライ統計」が取得されます。

XNUMX 番目のケースでは、「ブラック ボックス」手法を使用して、初期知識ゼロで攻撃が実行されます。 当社は、企業、従業員、ネットワーク境界に関する情報を独自に収集し、攻撃凡例を作成し、手法を選択し、対象企業で使用されている可能性のあるセキュリティ対策を探し、ツールを適応させ、シナリオを作成します。 当社のスペシャリストは、古典的なオープン ソース インテリジェンス (OSINT) 手法と、Group-IB 独自の製品である脅威インテリジェンスを両方使用しています。このシステムは、フィッシングに備える際に、機密情報を含む長期にわたる企業に関する情報のアグリゲータとして機能します。 もちろん、不愉快な攻撃にならないよう、その詳細についてもお客様と合意の上で行います。 これは本格的な侵入テストであることが判明しましたが、高度なソーシャル エンジニアリングに基づいています。 この場合の論理的な選択肢は、ネットワーク内で攻撃を展開し、内部システムで最高の権限を取得することです。 ちなみに、同様の方法で社会技術的攻撃を使用します。 レッドチーミング、および一部の侵入テストでも。 その結果、顧客は、特定の種類の社会技術的攻撃に対する自社のセキュリティに関する独立した包括的なビジョンを得ることができるとともに、外部の脅威に対する構築された防御線の有効性 (または逆に無効性) を実証することができます。

このトレーニングを少なくとも年に XNUMX 回実施することをお勧めします。 まず、どの会社でも離職はあり、以前の経験は徐々に従業員から忘れられていきます。 第 XNUMX に、攻撃の手法と技術は常に変化しているため、セキュリティ プロセスと保護ツールを適応させる必要があります。

攻撃から保護するための技術的な対策について話す場合、次のことが最も役立ちます。

• インターネット上で公開されるサービスに対する必須の 2019 要素認証の存在。 数百人規模の企業において、シングル サインオン システムなし、パスワード ブルート フォースに対する保護なし、XNUMX 要素認証なしでこのようなサービスを XNUMX 年にリリースすることは、「私を壊してください」と公に呼びかけているのと同じです。 保護を適切に実装すると、盗まれたパスワードをすぐに使用することが不可能になり、フィッシング攻撃の影響を排除する時間が確保されます。
• アクセス制御を制御し、システム内のユーザー権限を最小限に抑え、各主要メーカーがリリースする安全な製品構成に関するガイドラインに準拠します。 これらは多くの場合、本質的には単純ですが、非常に効果的であり、実行するのが難しい対策であり、誰もが速度を上げるために多かれ少なかれ無視しています。 そして、それらがなければどんな保護手段も救えないほど必要なものもあります。
• よく構築されたメールフィルタリングライン。 スパム対策、サンドボックスによる動的テストを含む、悪意のあるコードの添付ファイルの完全なスキャン。 攻撃が十分に準備されているということは、実行可能な添付ファイルがウイルス対策ツールによって検出されないことを意味します。 逆に、サンドボックスは、人間がファイルを使用するのと同じ方法でファイルを使用して、すべてを自分自身でテストします。 その結果、サンドボックス内で行われた変更によって、悪意のあるコンポーネントの可能性が明らかになります。
• 標的型攻撃に対する保護手段。 すでに述べたように、従来のウイルス対策ツールは、十分に準備された攻撃が発生した場合には、悪意のあるファイルを検出しません。 最も先進的な製品は、ネットワーク上で発生するイベント全体を、個々のホストのレベルとネットワーク内のトラフィックのレベルの両方で自動的に監視する必要があります。 攻撃の場合、非常に特徴的なイベントの連鎖が現れますが、この種のイベントに焦点を当てた監視を行っていれば、追跡して阻止することができます。

原著 公開済み 雑誌『情報セキュリティ/情報セキュリティ』6年2019号に掲載。

出所： habr.com