Narr mech wann Dir kënnt: Fonctiounen vun Dirigent engem sociotechnical pentest

Stellt Iech dës Situatioun vir. Kale Oktober Moien, Design Institut am regionalen Zentrum vun enger vun de Regioune vu Russland. Een aus dem HR-Departement geet op eng vun de Vakanzesäiten op der Websäit vum Institut, dee virun e puer Deeg gepost gouf, a gesäit do eng Foto vun enger Kaz. De Moien hält séier op langweileg...

An dësem Artikel schwätzt de Pavel Suprunyuk, technesche Chef vum Audit- a Berodungsdepartement bei Group-IB, iwwer d'Plaz vun soziotechneschen Attacken an Projeten, déi praktesch Sécherheet beurteelen, wéi eng ongewéinlech Formen se kënne huelen, a wéi Dir géint esou Attacke schützt. Den Auteur klärt datt den Artikel vun enger Iwwerpréiwung Natur ass, awer wann all Aspekt d'Lieser interesséiert, Group-IB Experten äntweren einfach Froen an de Kommentaren.

Deel 1. Firwat esou sérieux?

Komme mer zréck bei eis Kaz. No enger Zäit läscht d'HR-Departement d'Foto (d'Screenshots hei an ënnen sinn deelweis retouchéiert fir net richteg Nimm ze verroden), awer et ass haartnäckeg zréck, se gëtt erëm geläscht, an dat geschitt nach e puer Mol. D'HR Departement versteet datt d'Kaz déi seriösste Virsätz huet, hie wëll net verloossen, a si ruffen Hëllef vun engem Webprogramméierer - eng Persoun déi de Site erstallt huet a versteet, an elo verwalt. De Programméierer geet op de Site, läscht nach eng Kéier déi lästeg Kaz, fënnt eraus datt se am Numm vum HR Departement selwer gepost gouf, mécht dann d'Annahme datt d'HR Departement Passwuert un e puer Online Hooligans geläscht huet an et ännert. D'Kaz erschéngt net méi.

Wat ass wierklech geschitt? Am Zesummenhang mat der Grupp vu Firmen déi den Institut abegraff hunn, hunn Group-IB Spezialisten Pénétratiounstester an engem Format no bei Red Teaming duerchgefouert (an anere Wierder, dëst ass eng Imitatioun vu geziilten Attacken op Är Firma mat de fortgeschrattste Methoden an Tools vun der Firma. Arsenal vun Hackergruppen). Mir hunn am Detail iwwer Red Teaming geschwat hei. Et ass wichteg ze wëssen datt wann Dir esou en Test maacht, eng ganz breet Palette vu virausgemaachten Attacke ka benotzt ginn, och Social Engineering. Et ass kloer datt d'Placement vun der Kaz selwer net dat ultimativt Zil war vun deem wat geschitt ass. An et war déi folgend:

• D'Websäit vum Institut gouf op engem Server am Netz vum Institut selwer gehost, an net op Drëttubidder;
• E Leck am HR Departement Kont gouf fonnt (d'E-Mail Log Datei ass an der Wuerzel vum Site). Et war onméiglech de Site mat dësem Kont ze administréieren, awer et war méiglech Aarbechtssäiten z'änneren;
• Andeems Dir d'Säiten ännert, kënnt Dir Är Scripten a JavaScript setzen. Normalerweis maachen se Säiten interaktiv, awer an dëser Situatioun kënnen déiselwecht Scripte vum Browser vum Besucher klauen, wat d'HR-Departement vum Programméierer ënnerscheet, an de Programméierer vun engem einfache Besucher - de Sessiounsidentifizéierer um Site. D'Kaz war en Attack Ausléiser an e Bild fir d'Opmierksamkeet ze zéien. An der HTML Websäit Markup Sprooch huet et esou ausgesinn: wann Äert Bild gelueden ass, ass JavaScript schonn ausgefouert ginn an Är Sessiouns-ID, zesumme mat Daten iwwer Äre Browser an IP Adress, goufe scho geklaut.
• Mat enger geklauter Administrator Sessiouns-ID wier et méiglech, vollen Zougang zum Site ze kréien, ausführbar Säiten an PHP ze hosten, an dofir Zougang zum Serverbetribssystem ze kréien, an dann zum lokalen Netzwierk selwer, wat e wichtegt Zwëschenziel vun de Projet.

D'Attack war deelweis erfollegräich: D'Sessiouns-ID vum Administrateur gouf geklaut, awer et war un eng IP Adress gebonnen. Mir konnten dëst net ëmgoen; Mir konnten eis Site Privilegien net op Administrator Privilegien erhéijen, awer mir hunn eis Stëmmung verbessert. D'Finale Resultat gouf schlussendlech an enger anerer Sektioun vum Netzperimeter kritt.

Deel 2. Ech schreiwen Iech - wat soss? Ech ruffen och an hänke ronderëm an Ärem Büro, falen Flash Drive.

Wat an der Situatioun mat der Kaz geschitt ass e Beispill vu sozialem Ingenieur, wann och net ganz klassesch. Tatsächlech goufen et méi Eventer an dëser Geschicht: et gouf eng Kaz, an en Institut, an e Personaldepartement, an e Programméierer, awer et goufen och E-Maile mat Erklärungsfroen, déi angeblech "Kandidaten" un d'Personaldepartement selwer a perséinlech geschriwwen hunn dem Programméierer fir se ze provozéieren fir op d'Säit Säit ze goen.

Apropos Bréiwer. Gewéinlech E-Mail, wahrscheinlech d'Haaptrei Gefier fir sozialen Ingenieuren, huet seng Relevanz fir e puer Joerzéngte net verluer a féiert heiansdo zu déi ongewéinlechste Konsequenzen.

Mir erzielen dacks déi folgend Geschicht bei eisen Eventer, well se ganz offensichtlech ass.

Normalerweis, op Basis vun de Resultater vu sozialen Ingenieursprojeten, kompiléiere mir Statistiken, déi, wéi mir wëssen, eng dréchen a langweileg Saach sinn. Sou vill Prozent vun den Empfänger hunn den Uschloss vum Bréif opgemaach, sou vill hunn de Link gefollegt, awer dës dräi hunn tatsächlech hire Benotzernumm a Passwuert aginn. An engem Projet hu mir méi wéi 100% vun de Passwierder aginn kritt - dat heescht, méi koumen eraus wéi mir erausgeschéckt hunn.

Et ass esou geschitt: e Phishing-Bréif gouf geschéckt, anscheinend vum CISO vun enger staatlecher Gesellschaft, mat der Demande fir "dréngend Ännerungen am Mail Service ze testen." De Bréif erreecht de Chef vun enger grousser Departement, déi sech mat technescher Ënnerstëtzung beschäftegt. De Manager war ganz fläisseg fir Instruktioune vun héijen Autoritéiten auszeféieren an huet se un all Ënneruerdnung weiderginn. Den Call Center selwer huet sech als zimlech grouss erausgestallt. Am Allgemengen, Situatiounen, wou een "interessant" Phishing-E-Mailen un hir Kollegen weiderginn a se och gefaange ginn ass e relativ heefeg Optriede. Fir eis ass dëst de beschte Feedback iwwer d'Qualitéit vum Bréif ze schreiwen.

E bësse méi spéit hunn se iwwer eis erausfonnt (de Bréif gouf an enger kompromittéierter Mailbox geholl):

Den Erfolleg vun der Attack war wéinst der Tatsaach, datt d'Mailing eng Rei vun techneschen Defiziter am Mail System vum Client exploitéiert huet. Et war esou konfiguréiert datt et méiglech war all Bréiwer am Numm vun all Sender vun der Organisatioun selwer ouni Autorisatioun ze schécken, och vum Internet. Dat ass, Dir kënnt Iech als CISO maachen, oder de Chef vun der technescher Ënnerstëtzung, oder een aneren. Ausserdeem huet d'Mail-Interface, déi Bréiwer aus "sengem" Domain beobachtet, suergfälteg eng Foto aus dem Adressbuch agefouert, wat d'Naturlechkeet vum Sender bäigefüügt huet.

Tatsächlech ass sou en Attack net eng besonnesch komplex Technologie; et ass en erfollegräichen Ausbeutung vun engem ganz Basisfehler an de Mail-Astellungen. Et gëtt reegelméisseg iwwer spezialiséiert IT- an Informatiounssécherheetsressourcen iwwerpréift, awer trotzdem ginn et nach ëmmer Firmen déi dëst alles present hunn. Well keen geneigt ass d'Serviceheader vum SMTP Mail Protokoll grëndlech z'iwwerpréiwen, gëtt e Bréif normalerweis op "Gefor" gepréift mat Warnungsikonen an der Mail Interface, déi net ëmmer dat ganzt Bild weisen.

Interessanterweis funktionnéiert eng ähnlech Schwachstelle och an déi aner Richtung: en Ugräifer kann eng E-Mail am Numm vun Ärer Firma un en Drëttpersounen Empfänger schécken. Zum Beispill, hien kann eng Rechnung fir regelméisseg Bezuelen op Ärem Numm falsify, aner Detailer uginn amplaz Är. Ausser Anti-Betrug a Cash-out Themen, ass dëst wahrscheinlech ee vun den einfachste Weeër fir Suen duerch Social Engineering ze klauen.

Zousätzlech fir Passwierder duerch Phishing ze klauen, schéckt eng klassesch soziotechnesch Attack ausführbar Uschlëss. Wann dës Investitiounen all Sécherheetsmoossnamen iwwerwannen, vun deenen modern Firmen normalerweis vill hunn, gëtt e Fernzougang Kanal op de Computer vum Affer geschaf. Fir d'Konsequenze vum Attack ze demonstréieren, kann déi resultéierend Fernsteierung entwéckelt ginn bis zum Zougang zu besonnesch wichteg vertraulech Informatioun. Et ass bemierkenswäert datt déi grouss Majoritéit vun den Attacken, déi d'Medien benotze fir jiddereen Angscht ze maachen, genau esou ufänken.

An eiser Auditdepartement, fir Spaass, berechene mir ongeféier Statistiken: wat ass de Gesamtwäert vun de Verméigen vun de Firmen, zu deenen mir Zougang zum Domain Administrator kritt hunn, haaptsächlech duerch Phishing a Schécken vun ausführbaren Uschlëss? Dëst Joer erreecht et ongeféier 150 Milliarden Euro.

Et ass kloer datt provokativ E-Mailen schécken an Fotoe vu Kazen op Websäite posten net déi eenzeg Methode vu sozialen Ingenieuren sinn. An dëse Beispiller hu mir probéiert d'Varietéit vun Attackeformen an hir Konsequenzen ze weisen. Zousätzlech zu Bréiwer kann e potenziellen Ugräifer ruffen fir déi néideg Informatioun ze kréien, Medien (zum Beispill Flash Drive) mat ausführbaren Dateien am Büro vun der Zilfirma ze scatteren, eng Aarbecht als Stagiaire kréien, kierperlechen Zougang zum lokalen Netzwierk kréien ënner dem Deckmantel vun engem CCTV Kamera Installateur. All dat sinn iwwregens Beispiller vun eisen erfollegräich ofgeschlossene Projeten.

Deel 3. D'Léier ass Liicht, awer dat ongeléiert ass Däischtert

Eng raisonnabel Fro stellt sech: gutt, okay, et gëtt Social Engineering, et gesäit geféierlech aus, awer wat sollen d'Betriber un deem alles maachen? Captain Obvious kënnt zur Rettung: Dir musst Iech selwer verteidegen, an op eng ëmfaassend Manéier. En Deel vum Schutz wäert sech op scho klassesch Sécherheetsmoossnamen ausriichten, wéi technesch Mëttele vum Informatiounsschutz, Iwwerwaachung, organisatoresch a juristesch Ënnerstëtzung vu Prozesser, mä den Haaptdeel, eiser Meenung no, soll direkt op d'Aarbecht mat de Mataarbechter riicht ginn wéi de schwaachste Link. No allem, egal wéi vill Dir d'Technologie stäerkt oder haart Reglementer schreift, gëtt et ëmmer e Benotzer deen en neie Wee entdeckt fir alles ze briechen. Ausserdeem wäerte weder Reglementer nach Technologie mat der Flucht vun der Kreativitéit vum Benotzer halen, besonnesch wann hien vun engem qualifizéierten Ugräifer gefrot gëtt.

Als éischt ass et wichteg de Benotzer ze trainéieren: Erklärt datt och a senger Routineaarbecht Situatiounen am Zesummenhang mat der Sozialtechnik entstoen. Fir eis Clientë maache mir dacks Coursen iwwer digital Hygiène - en Event dat Basiskompetenzen léiert fir Attacken am Allgemengen ze bekämpfen.

Ech kann derbäisetzen, datt ee vun de beschte Schutzmoossnamen guer net wier, Informatiounssécherheetsreegelen z'erënneren, mä d'Situatioun op eng liicht distanzéierend Manéier ze bewäerten:

1. Wien ass mäi Gespréichspartner?
2. Wou koum seng Propositioun oder Demande hier (dat ass nach ni geschitt, an elo ass et opgedaucht)?
3. Wat ass ongewéinlech un dëser Demande?

Och eng ongewéinlech Aart vu Bréif Schrëft oder e Stil vu Ried, dee fir de Sender ongewéinlech ass, kann eng Zweiwelskette ausléisen, déi en Attack ophalen. Virgeschriwwe Instruktioune sinn och néideg, awer si funktionnéieren anescht a kënnen net all méiglech Situatiounen spezifizéieren. Zum Beispill schreiwen Informatiounssécherheetsadministratoren an hinnen datt Dir Äert Passwuert net op Drëtt-Partei Ressourcen aginn kann. Wat wann "Är", "Firma" Ressource Ressource fir e Passwuert freet? De Benotzer denkt: "Eis Firma huet schonn zwee Dutzend Servicer mat engem eenzege Kont, firwat net en aneren?" Dëst féiert zu enger anerer Regel: e gutt strukturéierten Aarbechtsprozess beaflosst och d'Sécherheet direkt: Wann eng Nopeschdepartement Iech nëmmen schrëftlech an nëmmen iwwer Äre Manager Informatioune kann ufroen, ass eng Persoun "vun engem vertrauenswürdege Partner vun der Firma" sécher net. kënnen et iwwer Telefon ufroen - dëst ass fir Iech et wäert Blödsinn sinn. Dir sollt besonnesch virsiichteg sinn wann Äre Gespréichspartner verlaangt alles elo ze maachen, oder "ASAP", wéi et moudesch ass ze schreiwen. Och an der normaler Aarbecht ass dës Situatioun dacks net gesond, a géint méiglech Attacken ass et e staarken Ausléiser. Keng Zäit ze erklären, lafen meng Datei!

Mir bemierken datt d'Benotzer ëmmer als Legenden fir eng soziotechnesch Ugrëff duerch Themen am Zesummenhang mat Geld an enger Form oder aner gezielt sinn: Verspriechen vu Promotiounen, Virléiften, Geschenker, souwéi Informatioun mat vermeintlech lokalen Klatsch an Intrig. An anere Wierder, déi banal "Doudsënne" sinn op der Aarbecht: Duuscht no Gewënn, Gier an exzessiv Virwëtz.

Gutt Training soll ëmmer Praxis enthalen. Dëst ass wou Pénétratiounstestexperten zur Rettung kommen. Déi nächst Fro ass: wat a wéi wäerte mir testen? Mir bei Group-IB proposéieren déi folgend Approche: wielt direkt de Fokus vum Test: entweder bewäert d'Bereetschaft fir Attacke vun nëmmen de Benotzer selwer, oder kontrolléiert d'Sécherheet vun der Firma als Ganzt. A Test mat Hëllef vu sozialen Ingenieursmethoden, simuléiert real Attacken - dat ass deeselwechte Phishing, schéckt ausführbar Dokumenter, Uriff an aner Techniken.

Am éischte Fall gëtt d'Attack suergfälteg zesumme mat Vertrieder vum Client virbereet, haaptsächlech mat hiren IT- an Informatiounssécherheetsspezialisten. Legenden, Tools an Attacktechnike si konsequent. De Client selwer bitt Fokusgruppen a Lëschte vu Benotzer fir Attacke, déi all déi néideg Kontakter enthalen. Ausnahmen ginn op Sécherheetsmoossnamen erstallt, well Messagen an ausführbare Lasten mussen den Empfänger erreechen, well an esou engem Projet nëmmen d'Reaktioune vun de Leit interesséieren. Optional kënnt Dir Markéierer an der Attack enthalen, duerch déi de Benotzer ka roden datt dëst en Attack ass - zum Beispill, Dir kënnt e puer Schreiffehler a Messagen maachen oder Ongenauegkeeten beim Kopie vum Firmestil hannerloossen. Um Enn vum Projet ginn déiselwecht "dréchen Statistiken" kritt: wéi eng Fokusgruppen op d'Szenarie reagéiert hunn a wéi eng Ausmooss.

Am zweete Fall gëtt d'Attack mat null initial Wëssen duerchgefouert, mat der Method "Black Box". Mir sammelen onofhängeg Informatioun iwwer d'Firma, seng Mataarbechter, den Netzperimeter, kreéieren Attackelegenden, wielt Methoden, sichen no méigleche Sécherheetsmoossnamen déi an der Zilfirma benotzt ginn, adaptéieren Tools a kreéieren Szenarie. Eis Spezialisten benotzen souwuel klassesch Open Source Intelligence (OSINT) Methoden wéi och dem Group-IB säin eegene Produkt - Threat Intelligence, e System deen, wann Dir op Phishing virbereet, als Aggregat vun Informatioun iwwer eng Firma iwwer eng laang Period handele kann, dorënner klasséiert Informatioun. Natierlech, fir datt d'Attack net eng onsympathesch Iwwerraschung gëtt, ginn hir Detailer och mam Client ausgemaach. Et stellt sech eraus datt et e vollwäertege Pénétratiounstest ass, awer et wäert op fortgeschratt Sozialingenieur baséieren. Déi logesch Optioun an dësem Fall ass en Attack am Netz z'entwéckelen, bis déi héchst Rechter an intern Systemer ze kréien. Iwwregens, op eng ähnlech Manéier benotze mir soziotechnesch Attacken an Red Teaming, an an e puer Pénétratiounstester. Als Resultat kritt de Client eng onofhängeg iwwergräifend Visioun vun hirer Sécherheet géint eng gewëssen Zort vu soziotechneschen Attacken, wéi och eng Demonstratioun vun der Effizienz (oder, ëmgekéiert, Ineffektivitéit) vun der gebauter Verteidegungslinn géint extern Geforen.

Mir recommandéieren dës Formatioun op d'mannst zweemol am Joer ze maachen. Als éischt gëtt et an all Firma Personal Ëmsaz a fréier Erfahrung gëtt lues a lues vun de Mataarbechter vergiess. Zweetens, Methoden an Technike vun Attacken änneren dauernd an dëst féiert zu der Bedierfnes fir Sécherheetsprozesser a Schutzinstrumenter unzepassen.

Wa mir iwwer technesch Moossname schwätzen fir géint Attacken ze schützen, hëllefen déi folgend am meeschten:

• D'Präsenz vun obligatoresch zwee-Faktor Authentifikatioun op Servicer um Internet publizéiert. Fir esou Servicer am Joer 2019 ze verëffentlechen ouni Single Sign On Systemer, ouni Schutz géint Passwuert brute Force an ouni Zwee-Faktor Authentifikatioun an enger Firma vun e puer honnert Leit ass entspriechend en oppenen Uruff fir "mech ze briechen." Richteg ëmgesate Schutz wäert d'séier Notzung vu geklauten Passwierder onméiglech maachen a gëtt Zäit fir d'Konsequenze vun engem Phishingattack ze eliminéieren.
• Kontrolléiert Zougangskontroll, miniméiert Benotzerrechter a Systemer, a verfollegt d'Richtlinne fir sécher Produktkonfiguratioun, déi vun all grousse Fabrikant verëffentlecht ginn. Dës sinn dacks einfach an der Natur, awer ganz effektiv a schwéier ëmzesetzen Moossnamen, déi jidderee, zu engem oder anere Grad, vernoléissegt fir d'Vitesse. An e puer sinn esou néideg, datt ouni si keng Schutzmoossnamen retten.
• Gutt gebaut E-Mail Filterlinn. Antispam, total Scannen vun Uschlëss fir béiswëlleg Code, inklusiv dynamesch Testen duerch Sandkëschten. E gutt virbereet Attack bedeit datt den ausführbaren Uschloss net vun Antivirus Tools erkannt gëtt. D'Sandkëscht, am Géigendeel, wäert alles fir sech testen, andeems Dir Dateien op déiselwecht Manéier benotzt wéi eng Persoun se benotzt. Als Resultat gëtt eng méiglech béiswëlleg Komponent opgedeckt duerch Ännerungen déi an der Sandkëscht gemaach goufen.
• Mëttel fir Schutz géint geziilten Attacken. Wéi scho gesot, klassesch Antivirus Tools erkennen net béiswëlleg Dateien am Fall vun engem gutt preparéierten Attack. Déi fortgeschratt Produkter sollen automatesch d'Totalitéit vun Eventer iwwerwaachen, déi am Netz optrieden - souwuel um Niveau vun engem individuellen Host wéi och um Niveau vum Traffic am Netz. Am Fall vun Attacken erschéngen ganz charakteristesch Ketten vun Eventer déi verfollegt a gestoppt kënne ginn wann Dir d'Iwwerwaachung konzentréiert op Eventer vun dëser Aart.

Original Artikel publizéiert an der Zäitschrëft "Informatiounssécherheet / Informatiounssécherheet" #6, 2019.

Source: will.com