Бұл жағдайды елестетіп көріңіз. Қазанның салқын таңы, Ресей аймақтарының бірінің облыс орталығындағы жобалау институты. Кадрлар бөлімінен біреу бірнеше күн бұрын жарияланған институт веб-сайтындағы бос орындардың біріне кіріп, мысықтың суретін көреді. Таң тез қызықпайды...
Бұл мақалада Group-IB аудит және консалтинг бөлімінің техникалық басшысы Павел Супрунюк практикалық қауіпсіздікті бағалайтын жобалардағы әлеуметтік-техникалық шабуылдардың орны, олар қандай ерекше формада болуы мүмкін және мұндай шабуылдардан қалай қорғану керектігі туралы әңгімелейді. Автор мақаланың шолу сипатында екенін түсіндіреді, алайда оқырмандарды қандай да бір аспект қызықтырса, Group-IB сарапшылары түсініктемелерде сұрақтарға оңай жауап береді.
1-бөлім. Неге соншалықты маңызды?
Мысығымызға оралайық. Біраз уақыттан кейін кадрлар бөлімі фотосуретті жояды (мына жерде және астындағы скриншоттар нақты атауларды көрсетпеу үшін жартылай өңделеді), бірақ ол қайсарлықпен қайтарылады, ол қайтадан жойылады және бұл тағы бірнеше рет қайталанады. Кадрлар бөлімі мысықтың ең маңызды ниеті бар екенін түсінеді, ол кеткісі келмейді және олар веб-бағдарламашыдан - сайтты жасаған және оны түсінетін және қазір оны басқаратын адамнан көмек сұрайды. Бағдарламашы сайтқа кіріп, тітіркендіргіш мысықты тағы бір рет жояды, оның кадрлар бөлімінің атынан жарияланғанын біледі, содан кейін кадрлар бөлімінің құпия сөзі кейбір желідегі бұзақыларға өтіп кетті деген болжам жасайды және оны өзгертеді. Мысық қайтадан пайда болмайды.
Расында не болды? Институт кіретін компаниялар тобына қатысты Group-IB мамандары Red Teaming-ке жақын форматта ену тестілеуін жүргізді (басқаша айтқанда, бұл сіздің компанияңыздың ең озық әдістері мен құралдарын пайдалана отырып, сіздің компанияңызға бағытталған мақсатты шабуылдарға еліктеу болып табылады. хакерлер топтарының арсеналы). Біз Red Teaming туралы егжей-тегжейлі сөйлестік . Мұндай сынақты жүргізу кезінде алдын ала келісілген шабуылдардың өте кең ауқымын, соның ішінде әлеуметтік инженерияны қолдануға болатындығын білу маңызды. Мысықты орналастырудың өзі болып жатқан оқиғалардың түпкі мақсаты болмағаны анық. Және мынадай болды:
- институттың веб-сайты үшінші тарап серверлерінде емес, институт желісінің ішіндегі серверде орналастырылды;
- HR бөлімінің тіркелгісінде (сайттың түбіріндегі электрондық пошта журналының файлы) ағып кету табылды. Бұл тіркелгі арқылы сайтты басқару мүмкін болмады, бірақ жұмыс беттерін өңдеуге болады;
- Беттерді өзгерту арқылы сценарийлерді JavaScript-те орналастыруға болады. Әдетте олар беттерді интерактивті етеді, бірақ бұл жағдайда бірдей сценарийлер келушінің браузерінен HR бөлімін бағдарламашыдан, ал бағдарламашыны қарапайым келушіден - сайттағы сеанс идентификаторынан ерекшелендіретін нәрсені ұрлай алады. Мысық шабуылдың триггері және назар аудару үшін сурет болды. HTML веб-сайтының белгілеу тілінде ол келесідей көрінді: егер сіздің суретіңіз жүктелген болса, JavaScript әлдеқашан орындалған және сеанс идентификаторы браузер мен IP мекенжайы туралы деректермен бірге ұрланған.
- Ұрланған әкімші сеансының идентификаторы арқылы сайтқа толық қол жеткізуге, PHP-де орындалатын беттерді орналастыруға, сондықтан сервердің операциялық жүйесіне, содан кейін жергілікті желінің өзіне қол жеткізуге болады, бұл маңызды аралық мақсат болды. жоба.
Шабуыл жартылай сәтті болды: әкімшінің сеанс идентификаторы ұрланды, бірақ ол IP мекенжайына байланысты болды. Біз мұны айналып өте алмадық; біз сайт артықшылықтарын әкімші артықшылықтарына дейін көтере алмадық, бірақ көңіл-күйімізді жақсарттық. Ақырында соңғы нәтиже желі периметрінің басқа бөлімінде алынды.
2-бөлім. Мен сізге жазып жатырмын - тағы не? Мен де телефон соғып, кеңсеңізде флэш-дискілерді тастап отырамын.
Мысық жағдайындағы жағдай классикалық болмаса да, әлеуметтік инженерияның мысалы болып табылады. Шындығында, бұл оқиғада көбірек оқиғалар болды: мысық, институт, кадр бөлімі және бағдарламашы болды, бірақ сонымен бірге «кандидаттардың» кадр бөліміне және жеке өзіне жазған нақтылау сұрақтары бар электрондық хаттар болды. оларды сайт бетіне өтуге итермелеу үшін бағдарламашыға.
Әріптер туралы айту. Кәдімгі электрондық пошта, бәлкім, әлеуметтік инженерияны жүзеге асырудың негізгі құралы, бірнеше онжылдықтар бойы өзектілігін жоғалтқан жоқ және кейде ең ерекше салдарға әкеледі.
Біз өз іс-шараларымызда мынадай оқиғаны жиі айтамыз, өйткені ол өте ашық.
Әдетте, біз әлеуметтік инженерия жобаларының нәтижелері бойынша статистиканы құрастырамыз, бұл, біз білетіндей, құрғақ және қызықсыз нәрсе. Алушылардың көп пайызы қосымшаны хаттан ашты, сондықтан олардың көпшілігі сілтемені орындады, бірақ бұл үшеуі шын мәнінде өздерінің пайдаланушы аты мен құпия сөзін енгізді. Бір жобада біз енгізілген парольдердің 100%-дан астамын алдық, яғни біз жібергеннен көп шықты.
Бұл былай болды: мемлекеттік корпорацияның CISO-дан «почта қызметіндегі өзгерістерді шұғыл тексеру» талабымен фишингтік хат жіберілді. Хат техникалық қамтамасыз етумен айналысатын үлкен бөлімнің басшысына жетті. Басшы жоғары органдардың нұсқауын орындауда өте ыждағаттылық танытып, оны барлық қарамағындағыларға жіберетін. Байланыс орталығының өзі айтарлықтай үлкен болып шықты. Жалпы алғанда, біреудің әріптестеріне «қызықты» фишингтік электрондық хаттарды жіберетін және олар да ұсталып қалатын жағдайлар жиі кездеседі. Біз үшін бұл хат жазу сапасы туралы ең жақсы кері байланыс.
Біраз уақыттан кейін олар біз туралы білді (хат бұзылған пошта жәшігінде алынды):
Шабуылдың сәтті болуы пошталық жіберу клиенттің пошта жүйесіндегі бірқатар техникалық кемшіліктерді пайдалануымен байланысты болды. Ол ұйымның кез келген жіберушінің атынан рұқсатсыз, тіпті Интернеттен де кез келген хаттарды жіберуге болатындай конфигурацияланған. Яғни, сіз CISO, немесе техникалық қолдау бөлімінің басшысы немесе басқа біреу болып көрінуге болады. Сонымен қатар, пошта интерфейсі «өзінің» доменінен келген хаттарды бақылай отырып, жіберушіге табиғилық қосқан мекенжайлық кітаптан фотосуретті мұқият енгізді.
Шындығында, мұндай шабуыл аса күрделі технология емес, бұл пошта параметрлеріндегі өте қарапайым кемшілікті сәтті пайдалану. Ол мамандандырылған АТ және ақпараттық қауіпсіздік ресурстарында үнемі қаралады, бірақ соған қарамастан, осының барлығына ие компаниялар әлі де бар. Ешкім SMTP пошта хаттамасының қызмет тақырыптарын мұқият тексеруге бейім болмағандықтан, хат әдетте бүкіл суретті көрсетпейтін пошта интерфейсіндегі ескерту белгішелерінің көмегімен «қауіпті» бар-жоғын тексереді.
Бір қызығы, ұқсас осалдық басқа бағытта да жұмыс істейді: шабуылдаушы сіздің компанияңыздың атынан үшінші тарап алушысына электрондық хат жібере алады. Мысалы, ол сіздің атыңыздан тұрақты төлем үшін шот-фактураны сіздің емес, басқа мәліметтерді көрсете отырып, бұрмалауы мүмкін. Алаяқтық пен ақшаны шығару мәселелерінен басқа, бұл әлеуметтік инженерия арқылы ақша ұрлаудың ең оңай тәсілдерінің бірі болуы мүмкін.
Фишинг арқылы құпия сөздерді ұрлаумен қатар, классикалық әлеуметтік-техникалық шабуыл орындалатын тіркемелерді жібереді. Егер бұл инвестициялар заманауи компанияларда әдетте көп болатын барлық қауіпсіздік шараларын жеңсе, жәбірленушінің компьютеріне қашықтан қол жеткізу арнасы жасалады. Шабуылдың салдарын көрсету үшін алынған қашықтан басқару құралын ерекше маңызды құпия ақпаратқа қол жеткізуге дейін әзірлеуге болады. Бір қызығы, БАҚ жұртты қорқыту үшін қолданатын шабуылдардың басым көпшілігі дәл осылай басталады.
Біздің аудит бөлімінде көңіл көтеру үшін біз шамамен статистиканы есептейміз: негізінен фишинг және орындалатын тіркемелерді жіберу арқылы біз домен әкімшісіне рұқсат алған компаниялар активтерінің жалпы құны қандай? Биыл ол шамамен 150 миллиард еуроға жетті.
Арандатушы хаттарды жіберу және мысықтардың фотосуреттерін веб-сайттарда орналастыру әлеуметтік инженерияның жалғыз әдісі емес екені анық. Бұл мысалдарда біз шабуыл формаларының әртүрлілігін және олардың салдарын көрсетуге тырыстық. Хаттардан басқа, әлеуетті шабуылдаушы қажетті ақпаратты алу, мақсатты компанияның кеңсесінде орындалатын файлдары бар медианы (мысалы, флэш-дискілерді) шашырату, интерн ретінде жұмысқа тұру, жергілікті желіге физикалық қол жеткізу үшін қоңырау шала алады. бейнебақылау камерасын орнатушы деген атпен. Мұның бәрі, айтпақшы, біздің сәтті аяқталған жобаларымыздың мысалдары.
3-бөлім.Ұстаздық – жарық, ал білімсіз – қараңғылық
Ақылға қонымды сұрақ туындайды: жақсы, жарайды, әлеуметтік инженерия бар, бұл қауіпті көрінеді, бірақ компаниялар мұның бәріне не істеу керек? Капитан Обвиус көмекке келеді: сіз өзіңізді жан-жақты қорғауыңыз керек. Қорғаудың бір бөлігі ақпаратты қорғаудың техникалық құралдары, мониторинг, процестерді ұйымдастырушылық-құқықтық қамтамасыз ету сияқты классикалық қауіпсіздік шараларына бағытталатын болады, бірақ негізгі бөлігі, біздің ойымызша, қызметкерлермен тікелей жұмыс істеуге бағытталуы керек. ең әлсіз буын. Өйткені, сіз технологияны қаншалықты күшейтсеңіз де, қатаң ережелерді жазсаңыз да, бәрін бұзудың жаңа әдісін ашатын пайдаланушы әрқашан болады. Сонымен қатар, ережелер де, технология да пайдаланушының шығармашылығының ұшуына төтеп бере алмайды, әсіресе егер оны білікті шабуылдаушы шақырса.
Ең алдымен, пайдаланушыны оқыту маңызды: оның күнделікті жұмысында да әлеуметтік инженерияға байланысты жағдайлар туындауы мүмкін екенін түсіндіріңіз. Біздің клиенттер үшін біз жиі өткіземіз цифрлық гигиена бойынша – жалпы шабуылдарға қарсы тұрудың негізгі дағдыларын үйрететін іс-шара.
Мен ең жақсы қорғау шараларының бірі ақпаратты қауіпсіздік ережелерін мүлде жаттау емес, жағдайды сәл бөлектеу түрде бағалау болатындығын айта аламын:
- Менің сұхбаттасым кім?
- Оның ұсынысы немесе өтініші қайдан келді (мұндай бұрын-соңды болмаған, енді пайда болды)?
- Бұл сұрауда қандай ерекшелік бар?
Тіпті жөнелтуші үшін әдеттен тыс әріптік шрифт немесе сөйлеу стилі шабуылды тоқтататын күмән тізбегін тудыруы мүмкін. Белгіленген нұсқаулар да қажет, бірақ олар басқаша жұмыс істейді және барлық мүмкін жағдайларды көрсете алмайды. Мысалы, ақпараттық қауіпсіздік әкімшілері құпия сөзді үшінші тарап ресурстарына енгізе алмайтыныңызды жазады. «Сіздің», «корпоративтік» желілік ресурс пароль сұраса ше? Пайдаланушы: «Біздің компанияда бір есептік жазбасы бар жиырма қызмет бар, неге басқасы жоқ?» деп ойлайды. Бұл тағы бір ережеге әкеледі: жақсы құрылымдалған жұмыс процесі қауіпсіздікке де тікелей әсер етеді: егер көрші бөлім сізден ақпаратты тек жазбаша түрде және сіздің менеджеріңіз арқылы ғана сұрай алса, «компанияның сенімді серіктесінен» адам, әрине, болмайды. оны телефон арқылы сұрауға болады - бұл сіз үшін бос сөз болады. Әңгімелесушіңіз бәрін дәл қазір жасауды талап етсе немесе жазу сәнге айналған «ҚАЗАҚ» болса, әсіресе сақ болу керек. Тіпті қалыпты жұмыста бұл жағдай жиі сау емес және ықтимал шабуылдар жағдайында бұл күшті триггер болып табылады. Түсіндіруге уақыт жоқ, файлымды іске қосыңыз!
Біз пайдаланушылар әрқашан әлеуметтік-техникалық шабуылдың аңыздары ретінде сол немесе басқа нысандағы ақшаға қатысты тақырыптарға бағытталғанын байқаймыз: жарнамалық уәделер, преференциялар, сыйлықтар, сонымен қатар жергілікті өсек пен интрига бар ақпарат. Басқаша айтқанда, «өлімге әкелетін күнәлар» жұмыс істейді: пайдаға шөлдеу, ашкөздік және шамадан тыс қызығушылық.
Жақсы жаттығу әрқашан тәжірибені қамтуы керек. Дәл осы жерде көмекке ену сынағы мамандары келе алады. Келесі сұрақ: нені және қалай сынаймыз? Біз Group-IB ретінде келесі тәсілді ұсынамыз: тестілеудің фокусын дереу таңдаңыз: не тек пайдаланушылардың өздерінің шабуылдарына дайындығын бағалаңыз немесе тұтастай алғанда компанияның қауіпсіздігін тексеріңіз. Әлеуметтік инженерия әдістерін қолданып, нақты шабуылдарды имитациялау арқылы тестілеу - яғни дәл сол фишинг, орындалатын құжаттарды жіберу, қоңыраулар және басқа әдістер.
Бірінші жағдайда, шабуыл тапсырыс берушінің өкілдерімен, негізінен оның IT және ақпараттық қауіпсіздік мамандарымен бірге мұқият дайындалады. Аңыздар, құралдар және шабуыл әдістері сәйкес келеді. Тұтынушының өзі барлық қажетті контактілерді қамтитын шабуыл үшін фокус-топтар мен пайдаланушылардың тізімдерін ұсынады. Қауіпсіздік шараларында ерекшеліктер жасалады, өйткені хабарламалар мен орындалатын жүктемелер алушыға жетуі керек, өйткені мұндай жобада тек адамдардың реакциясы қызықтырады. Қажет болса, шабуылға маркерлерді қосуға болады, олар арқылы пайдаланушы бұл шабуыл екенін болжауы мүмкін - мысалы, сіз хабарламаларда бірнеше емле қателерін жібере аласыз немесе корпоративтік стильді көшіруде дәлсіздіктер қалдыра аласыз. Жобаның соңында дәл осындай «құрғақ статистика» алынады: қандай фокус-топтар сценарийлерге жауап берді және қаншалықты дәрежеде.
Екінші жағдайда шабуыл «қара жәшік» әдісін қолдана отырып, нөлдік бастапқы біліммен жүзеге асырылады. Біз компания, оның қызметкерлері, желі периметрі туралы ақпаратты өз бетінше жинаймыз, шабуыл аңыздарын жасаймыз, әдістерді таңдаймыз, мақсатты компанияда қолданылатын ықтимал қауіпсіздік шараларын іздейміз, құралдарды бейімдейміз және сценарийлер жасаймыз. Біздің мамандар классикалық ашық бастапқы интеллект (OSINT) әдістерін де, Group-IB компаниясының жеке өнімі – Threat Intelligence жүйесін де пайдаланады, ол фишингке дайындалған кезде ұзақ уақыт бойы компания туралы ақпараттың, соның ішінде құпия ақпаратты жинақтаушы рөлін атқара алады. Әрине, шабуыл жағымсыз тосынға айналмас үшін, оның егжей-тегжейлері де тапсырыс берушімен келісіледі. Бұл толыққанды ену сынағы болып шығады, бірақ ол озық әлеуметтік инженерияға негізделетін болады. Бұл жағдайда логикалық нұсқа - ішкі жүйелерде ең жоғары құқықтарды алуға дейін желі ішінде шабуыл жасау. Айтпақшы, біз әлеуметтік-техникалық шабуылдарды дәл осылай қолданамыз , және кейбір ену сынақтарында. Нәтижесінде тапсырыс беруші әлеуметтік-техникалық шабуылдардың белгілі бір түріне қарсы өз қауіпсіздігінің тәуелсіз жан-жақты көрінісін алады, сондай-ақ сыртқы қауіптерге қарсы салынған қорғаныс желісінің тиімділігін (немесе, керісінше, тиімсіздігін) көрсетеді.
Бұл тренингті жылына кемінде екі рет өткізуді ұсынамыз. Біріншіден, кез келген компанияда кадрлардың ауысуы орын алып, бұрынғы тәжірибені қызметкерлер бірте-бірте ұмытады. Екіншіден, шабуылдардың әдістері мен әдістері үнемі өзгеріп отырады және бұл қауіпсіздік процестері мен қорғау құралдарын бейімдеу қажеттілігіне әкеледі.
Шабуылдардан қорғаудың техникалық шаралары туралы айтатын болсақ, төмендегілер ең көп көмектеседі:
- Интернетте жарияланған қызметтерде міндетті екі факторлы аутентификацияның болуы. 2019 жылы мұндай қызметтерді Single Sign On жүйелерінсіз, парольді дөрекі күштен қорғаусыз және бірнеше жүз адамнан тұратын компанияда екі факторлы аутентификациясыз шығару «мені сындырыңыз» деген ашық қоңыраумен бірдей. Дұрыс енгізілген қорғаныс ұрланған құпия сөздерді жылдам пайдалануды мүмкін емес етеді және фишингтік шабуылдың салдарын жоюға уақыт береді.
- Қол жеткізуді басқаруды бақылау, жүйелердегі пайдаланушы құқықтарын азайту және әрбір негізгі өндіруші шығарған қауіпсіз өнім конфигурациясына арналған нұсқауларды орындау. Бұлар көбіне табиғаты бойынша қарапайым, бірақ өте тиімді және жүзеге асырылуы қиын шаралар, бұл әркім бір дәрежеде жылдамдық үшін елемейді. Ал кейбіреулері соншалықты қажет, оларсыз ешқандай қорғаныс құралы құтқармайды.
- Жақсы құрастырылған электрондық поштаны сүзу сызығы. Спамға қарсы, зиянды кодқа қосымшаларды толық сканерлеу, соның ішінде құм жәшіктер арқылы динамикалық тестілеу. Жақсы дайындалған шабуыл орындалатын тіркеме антивирус құралдарымен анықталмайтынын білдіреді. Құм жәшік, керісінше, файлдарды адам пайдаланатындай пайдаланып, барлығын өзі тексереді. Нәтижесінде ықтимал зиянды құрамдас құм жәшігінде жасалған өзгерістер арқылы анықталады.
- Мақсатты шабуылдардан қорғау құралдары. Жоғарыда айтылғандай, классикалық антивирус құралдары жақсы дайындалған шабуыл жағдайында зиянды файлдарды анықтамайды. Ең жетілдірілген өнімдер желіде болып жатқан оқиғалардың жиынтығын - жеке хост деңгейінде де, желі ішіндегі трафик деңгейінде де автоматты түрде бақылап отыруы керек. Шабуылдар болған жағдайда, осындай оқиғаларға бағытталған бақылау бар болса, оларды бақылауға және тоқтатуға болатын оқиғалардың өте тән тізбектері пайда болады.
Түпнұсқа мақала «Ақпараттық қауіпсіздік/ Ақпараттық қауіпсіздік» журналында №6, 2019 ж.
Ақпарат көзі: www.habr.com