Bayangna kahanan iki. Dingin Oktober esuk, desain institute ing pusat regional salah siji wilayah saka Rusia. Ana wong saka departemen HR menyang salah sawijining kaca lowongan ing situs web lembaga kasebut, dikirim sawetara dina kepungkur, lan ndeleng foto kucing ing kana. Esuk-esuk cepet-cepet ora bosen ...
Ing artikel iki, Pavel Suprunyuk, kepala teknis departemen audit lan konsultasi ing Group-IB, ngomong babagan panggonan serangan sosioteknikal ing proyek-proyek sing ngevaluasi keamanan praktis, apa bentuk sing ora biasa sing bisa ditindakake, lan cara nglindhungi serangan kasebut. Penulis njlentrehake manawa artikel kasebut minangka review, nanging yen ana aspek sing narik minat para pamaca, ahli Group-IB bakal siap mangsuli pitakon ing komentar.
Part 1. Kenapa serius banget?
Ayo bali menyang kucing kita. Sawise sawetara wektu, departemen HR mbusak foto (gambar ing kene lan ing ngisor iki sebagian retouched supaya ora kanggo mbukak jeneng asli), nanging stubbornly bali, dibusak maneh, lan iki kedadeyan kaping pirang-pirang. Departemen HR mangertos yen kucing nduweni maksud sing paling serius, dheweke ora pengin ninggalake, lan njaluk bantuan saka programmer web - wong sing nggawe situs kasebut lan ngerti, lan saiki ngatur. Programmer dadi menyang situs, sepisan maneh mbusak kucing ngganggu, ketemu metu sing iki dikirim atas jenenge departemen HR dhewe, banjur nggawe Panyangka sing sandi departemen HR wis trocoh kanggo sawetara hooligans online, lan ngganti. Kucing ora katon maneh.
Apa tenan kedaden? Gegayutan karo klompok perusahaan sing kalebu lembaga kasebut, spesialis Group-IB nganakake tes penetrasi kanthi format sing cedhak karo Red Teaming (kanthi tembung liya, iki minangka tiruan serangan sing ditargetake ing perusahaan sampeyan nggunakake metode lan alat sing paling canggih saka arsenal kelompok peretas). Kita ngomong kanthi rinci babagan Red Teaming . Penting kanggo ngerti yen nalika nindakake tes kasebut, macem-macem serangan sing wis disepakati bisa digunakake, kalebu teknik sosial. Cetha yen panggonan kucing dhewe ora dadi tujuan utama saka kedadeyan kasebut. Lan ana ing ngisor iki:
- situs web institut iki di-host ing server ing jaringan institut kasebut dhewe, lan ora ing server pihak katelu;
- A bocor ing akun departemen HR ditemokake (file log email ana ing oyod situs). Sampeyan ora bisa ngatur situs karo akun iki, nanging bisa ngowahi kaca proyek;
- Kanthi ngganti kaca, sampeyan bisa nyelehake skrip ing JavaScript. Biasane dheweke nggawe kaca interaktif, nanging ing kahanan iki, skrip sing padha bisa nyolong saka browser pengunjung sing mbedakake departemen HR saka programmer, lan programmer saka pengunjung sing prasaja - pengenal sesi ing situs kasebut. Kucing kasebut minangka pemicu serangan lan gambar kanggo narik kawigaten. Ing basa markup situs web HTML, katon kaya iki: yen gambar sampeyan wis dimuat, JavaScript wis dieksekusi lan ID sesi sampeyan, bebarengan karo data babagan browser lan alamat IP sampeyan, wis dicolong.
- Kanthi ID sesi administrator sing dicolong, sampeyan bisa entuk akses lengkap menyang situs kasebut, dadi tuan rumah kaca sing bisa dieksekusi ing PHP, lan mulane entuk akses menyang sistem operasi server, lan banjur menyang jaringan lokal dhewe, sing dadi tujuan perantara sing penting. proyek kasebut.
Serangan kasebut sukses sebagian: ID sesi administrator dicolong, nanging disambungake menyang alamat IP. Kita ora bisa ngatasi iki; kita ora bisa ngunggahake hak istimewa situs dadi hak istimewa administrator, nanging kita nambah swasana ati. Asil pungkasan pungkasane dipikolehi ing bagean liya saka perimeter jaringan.
Part 2. Aku nulis kanggo sampeyan - apa maneh? Aku uga nelpon lan nongkrong ing kantor sampeyan, nyelehake flash drive.
Apa sing kedadeyan ing kahanan karo kucing minangka conto teknik sosial, sanajan ora cukup klasik. Nyatane, ana luwih akeh acara ing crita iki: ana kucing, lan institusi, lan departemen personel, lan programmer, nanging ana uga email karo pitakonan njlentrehake sing mesthine "calon" nulis menyang departemen personel dhewe lan pribadi. menyang programmer supaya bisa mimpin menyang kaca situs.
Ngomong layang. Email biasa, bisa uga minangka kendaraan utama kanggo nindakake teknik sosial, ora ilang relevansi sajrone pirang-pirang dekade lan kadhangkala nyebabake akibat sing paling ora biasa.
Kita asring nyritakake crita ing ngisor iki ing acara-acara kita, amarga iki banget mbukak.
Biasane, adhedhasar asil proyek rekayasa sosial, kita ngumpulake statistik, sing, kaya sing dingerteni, minangka perkara sing garing lan mboseni. Dadi akeh persen panampa mbukak lampiran saka layang kasebut, mula akeh sing ngetutake link kasebut, nanging telu iki bener-bener ngetik jeneng pangguna lan sandhi. Ing siji proyek, kita nampa luwih saka 100% tembung sandhi sing dilebokake - yaiku, luwih akeh sing metu tinimbang sing dikirim.
Kedadeyan kaya mangkene: layang phishing dikirim, mesthine saka CISO perusahaan negara, kanthi panjaluk "cepet nyoba owah-owahan ing layanan surat." Surat kasebut tekan kepala departemen gedhe sing ngurusi dhukungan teknis. Manajer banget sregep nindakake instruksi saka manajemen dhuwur lan diterusake menyang kabeh bawahan. Call center dhewe ternyata cukup gedhe. Umumé, kahanan nalika ana wong ngirim email phishing sing "menarik" menyang kolega lan uga kejiret minangka kedadeyan sing umum. Kanggo kita, iki minangka umpan balik sing paling apik babagan kualitas nulis layang.
Ora suwe dheweke ngerti babagan kita (layang kasebut dijupuk ing kothak layang sing dikompromi):
Kasuksesan serangan kasebut amarga kasunyatan manawa surat kasebut ngeksploitasi sawetara kekurangan teknis ing sistem surat klien. Iki dikonfigurasi kanthi cara supaya bisa ngirim layang apa wae kanggo pangirim organisasi kasebut dhewe tanpa wewenang, sanajan saka Internet. Yaiku, sampeyan bisa pura-pura dadi CISO, utawa kepala dhukungan teknis, utawa wong liya. Menapa malih, antarmuka mail, mirsani huruf saka domain "sawijining", kasebut kanthi teliti, masang foto saka buku alamat, kang nambah naturalness kanggo pangirim.
Sejatine, serangan kasebut dudu teknologi sing rumit; iki minangka eksploitasi sukses saka cacat dhasar ing setelan mail. Ditinjau sacara rutin babagan sumber daya IT lan keamanan informasi khusus, nanging isih ana perusahaan sing duwe kabeh iki. Amarga ora ana sing pengin mriksa header layanan protokol surat SMTP, surat biasane dicenthang kanggo "bebaya" nggunakake lambang peringatan ing antarmuka surat, sing ora tansah nampilake kabeh gambar.
Apike, kerentanan sing padha uga bisa digunakake ing arah liyane: panyerang bisa ngirim email atas jenenge perusahaan sampeyan menyang panampa pihak katelu. Contone, dheweke bisa ngapusi invoice kanggo pembayaran biasa kanggo sampeyan, nuduhake rincian liyane tinimbang sampeyan. Kajaba saka masalah anti-penipuan lan awis, iki bisa uga minangka salah sawijining cara paling gampang kanggo nyolong dhuwit liwat teknik sosial.
Saliyane nyolong sandhi liwat phishing, serangan sosioteknik klasik ngirim lampiran sing bisa dieksekusi. Yen investasi kasebut ngatasi kabeh langkah keamanan, sing biasane akeh perusahaan modern, saluran akses remot bakal digawe menyang komputer korban. Kanggo nduduhake akibat saka serangan kasebut, remot kontrol sing diasilake bisa dikembangake kanggo ngakses informasi rahasia sing penting. Wigati dimangerteni manawa mayoritas serangan sing digunakake media kanggo medeni kabeh wong wiwit persis kaya iki.
Ing departemen audit kita, kanggo seneng-seneng, kita ngetung statistik kira-kira: apa nilai total aset perusahaan sing wis entuk akses Administrator Domain, utamane liwat phishing lan ngirim lampiran sing bisa dieksekusi? Taun iki tekan kira-kira 150 milyar euro.
Cetha yen ngirim email provokatif lan ngirim foto kucing ing situs web ora mung cara rekayasa sosial. Ing conto kasebut, kita wis nyoba nuduhake macem-macem bentuk serangan lan akibate. Saliyane surat, penyerang potensial bisa nelpon kanggo entuk informasi sing dibutuhake, nyebarake media (umpamane, flash drive) kanthi file sing bisa dieksekusi ing kantor perusahaan target, entuk kerja minangka intern, entuk akses fisik menyang jaringan lokal. kanthi kedok masang kamera CCTV. Kabeh iki, kanthi cara, minangka conto saka proyek sing wis rampung.
Pérangan 3. Piwulang iku pepadhang, nanging kang ora sinau iku pepeteng
Pitakonan sing cukup muncul: uga, oke, ana teknik sosial, katon mbebayani, nanging apa sing kudu ditindakake perusahaan babagan kabeh iki? Kapten Obvious teka kanggo ngluwari: sampeyan kudu mbela awake dhewe, lan kanthi cara sing komprehensif. Sawetara bagean saka proteksi bakal ngarahake langkah-langkah keamanan sing wis klasik, kayata sarana teknis proteksi informasi, ngawasi, dhukungan organisasi lan legal proses, nanging bagean utama, miturut pendapat kita, kudu diarahake langsung kerja karo karyawan minangka link paling lemah. Sawise kabeh, ora ketompo carane sampeyan nguatake teknologi utawa nulis peraturan sing kasar, mesthi bakal ana pangguna sing bakal nemokake cara anyar kanggo ngrusak kabeh. Kajaba iku, peraturan utawa teknologi ora bakal ngetutake kreatifitas pangguna, utamane yen dijaluk dening penyerang sing mumpuni.
Kaping pisanan, penting kanggo nglatih pangguna: nerangake manawa ing karya rutine, kahanan sing ana gandhengane karo teknik sosial bisa uga muncul. Kanggo klien kita asring nindakake babagan kebersihan digital - acara sing mulang katrampilan dhasar kanggo nglawan serangan ing umum.
Aku bisa nambah manawa salah sawijining langkah proteksi sing paling apik yaiku ora ngeling-eling aturan keamanan informasi, nanging kanggo netepake kahanan kasebut kanthi cara sing rada suwe:
- Sapa sing dadi mitra tuturku?
- Saka ngendi usul utawa panjaluke (iki durung nate kedadeyan, lan saiki wis katon)?
- Apa sing ora biasa babagan panjaluk iki?
Malah jinis font huruf sing ora biasa utawa gaya pidato sing ora biasa kanggo pangirim bisa nyebabake rantai keraguan sing bakal mungkasi serangan. Instruksi sing diwènèhaké uga dibutuhake, nanging bisa digunakake kanthi beda lan ora bisa nemtokake kabeh kahanan sing bisa ditindakake. Contone, administrator keamanan informasi nulis yen sampeyan ora bisa ngetik sandhi ing sumber daya pihak katelu. Apa yen sumber jaringan "sampeyan", "perusahaan" njaluk sandhi? Pangguna mikir: "Perusahaan kita wis duwe rong puluhan layanan kanthi siji akun, kenapa ora duwe liyane?" Iki ndadékaké kanggo aturan liyane: proses karya uga-terstruktur uga langsung mengaruhi keamanan: yen departemen tetanggan bisa njaluk informasi saka sampeyan mung ing nulis lan mung liwat manager, wong "saka partner dipercaya saka perusahaan" mesthi ora bakal. bisa njaluk liwat telpon - iki kanggo sampeyan iku bakal omong kosong. Sampeyan kudu luwih waspada yen interlocutor sampeyan nuntut nindakake kabeh saiki, utawa "ASAP", amarga nulis sing modis. Malah ing karya normal, kahanan iki asring ora sehat, lan ing pasuryan saka serangan bisa, iku pemicu kuwat. Ora ana wektu kanggo nerangake, mbukak fileku!
Kita sok dong mirsani yen pangguna tansah ditargetake minangka legenda kanggo serangan sosioteknikal kanthi topik sing ana gandhengane karo dhuwit ing salah sawijining wangun utawa liyane: janji promosi, pilihan, hadiah, uga informasi kanthi gosip lan intrik lokal. Ing tembung liyane, "dosa agawe" banal ing karya: ngelak kanggo MediaWiki, rakus lan penasaran banget.
Latihan sing apik kudu tansah kalebu latihan. Iki ngendi para ahli tes penetrasi bisa nulungi. Pitakonan sabanjure yaiku: apa lan kepiye kita bakal nyoba? Kita ing Group-IB ngusulake pendekatan ing ngisor iki: langsung pilih fokus tes: netepake kesiapan kanggo serangan mung pangguna dhewe, utawa mriksa keamanan perusahaan kanthi sakabehe. Lan nyoba nggunakake metode teknik sosial, simulasi serangan nyata - yaiku, phishing sing padha, ngirim dokumen eksekusi, telpon lan teknik liyane.
Ing kasus sing sepisanan, serangan kasebut disiapake kanthi ati-ati bebarengan karo wakil saka pelanggan, utamane karo spesialis IT lan keamanan informasi. Legenda, alat lan teknik serangan konsisten. Pelanggan dhewe nyedhiyakake grup fokus lan dhaptar pangguna kanggo serangan, sing kalebu kabeh kontak sing dibutuhake. Pangecualian digawe babagan langkah-langkah keamanan, amarga pesen lan beban sing bisa dieksekusi kudu tekan panampa, amarga ing proyek kasebut mung reaksi wong sing menarik. Opsional, sampeyan bisa nyakup panandha ing serangan, sing pangguna bisa ngira manawa iki minangka serangan - contone, sampeyan bisa nggawe sawetara kesalahan ejaan ing pesen utawa ninggalake ora akurat nalika nyalin gaya perusahaan. Ing pungkasan proyek kasebut, "statistik garing" sing padha dipikolehi: klompok fokus sing nanggapi skenario lan sepira.
Ing kasus kapindho, serangan kasebut ditindakake kanthi kawruh awal nol, nggunakake metode "kotak ireng". Kita ngumpulake informasi babagan perusahaan, karyawan, perimeter jaringan, nggawe legenda serangan, pilih metode, goleki langkah keamanan sing bisa digunakake ing perusahaan target, adaptasi alat, lan nggawe skenario. Spesialis kita nggunakake metode intelijen sumber terbuka klasik (OSINT) lan produk Group-IB dhewe - Ancaman Intelijen, sistem sing, nalika nyiapake phishing, bisa tumindak minangka aggregator informasi babagan perusahaan sajrone wektu sing suwe, kalebu informasi rahasia . Mesthine, supaya serangan kasebut ora dadi kejutan sing ora nyenengake, rincian kasebut uga disepakati karo pelanggan. Pranyata metu dadi tes seng nembus lengkap, nanging bakal adhedhasar rekayasa sosial majeng. Opsi logis ing kasus iki yaiku ngembangake serangan ing jaringan, nganti entuk hak paling dhuwur ing sistem internal. Miturut cara, ing cara sing padha kita nggunakake serangan sosiotechnical ing , lan ing sawetara tes penetrasi. Akibaté, customer bakal nampa sesanti lengkap sawijining saka keamanan marang jinis tartamtu saka serangan sosiotechnical, uga demonstrasi saka efektifitas (utawa, Kosok baline, ineffectiveness) saka garis pertahanan dibangun marang ancaman external.
Disaranake nindakake latihan iki paling ora kaping pindho saben taun. Kaping pisanan, ing perusahaan apa wae ana turnover staf lan pengalaman sadurunge mboko sithik dilalekake dening karyawan. Kapindho, cara lan teknik serangan saya ganti lan iki nyebabake kabutuhan kanggo adaptasi proses keamanan lan alat perlindungan.
Yen kita ngomong babagan langkah-langkah teknis kanggo nglindhungi serangan, ing ngisor iki mbantu paling akeh:
- Anane otentikasi rong faktor wajib ing layanan sing diterbitake ing Internet. Kanggo ngeculake layanan kasebut ing 2019 tanpa sistem Single Sign On, tanpa proteksi saka pasukan kasar sandi lan tanpa otentikasi rong faktor ing perusahaan sawetara atus wong, padha karo telpon mbukak kanggo "break me." Perlindhungan sing ditindakake kanthi bener bakal nggawe panggunaan sandhi sing dicolong kanthi cepet lan bakal menehi wektu kanggo ngilangi akibat saka serangan phishing.
- Ngontrol kontrol akses, nyilikake hak pangguna ing sistem, lan tindakake pedoman kanggo konfigurasi produk aman sing dirilis dening saben Produsèn utama. Iki asring prasaja ing alam, nanging banget efektif lan angel kanggo ngleksanakake ngukur, kang saben wong, kanggo siji utawa liyane, nglirwakake kanggo kacepetan. Lan sawetara sing perlu banget sing tanpa sarana pangayoman ora bakal nyimpen.
- Garis panyaring email sing dibangun kanthi apik. Antispam, total mindhai lampiran kanggo kode angkoro, kalebu testing dinamis liwat kothak wedhi. Serangan sing disiapake kanthi apik tegese lampiran sing bisa dieksekusi ora bakal dideteksi dening alat antivirus. Kothak wedhi, sebaliknya, bakal nyoba kabeh kanggo awake dhewe, nggunakake file kanthi cara sing padha karo wong sing nggunakake. Akibaté, komponèn angkoro bisa dicethakaké dening owah-owahan ing kothak wedhi.
- Liya pangayoman marang serangan diangkah. Kaya sing wis dingerteni, alat antivirus klasik ora bakal ndeteksi file sing mbebayani yen ana serangan sing disiapake kanthi apik. Produk sing paling maju kudu kanthi otomatis ngawasi totalitas acara sing kedadeyan ing jaringan - ing tingkat host individu lan ing tingkat lalu lintas ing jaringan. Ing kasus serangan, rantai acara sing khas katon sing bisa dilacak lan mandheg yen sampeyan wis ngawasi fokus ing acara kaya iki.
Artikel asli ing majalah "Keamanan Informasi/Keamanan Informasi" #6, 2019.
Source: www.habr.com