Įsivaizduokite šią situaciją. Šaltas spalio rytas, projektavimo institutas vieno iš Rusijos regionų regioniniame centre. Kažkas iš personalo skyriaus nueina į vieną iš laisvų darbo vietų puslapių instituto svetainėje, paskelbtą prieš porą dienų, ir pamato ten katės nuotrauką. Rytas greitai nustoja būti nuobodus...
Šiame straipsnyje „Group-IB“ audito ir konsultacijų skyriaus techninis vadovas Pavelas Suprunyukas pasakoja apie sociotechninių atakų vietą projektuose, kuriuose vertinamas praktinis saugumas, kokiomis neįprastomis formomis jie gali pasireikšti ir kaip apsisaugoti nuo tokių atakų. Autorius patikslina, kad straipsnis yra apžvalginio pobūdžio, tačiau jei koks nors aspektas sudomins skaitytojus, IB grupės ekspertai mielai atsakys į klausimus komentaruose.
1 dalis. Kodėl taip rimta?
Grįžkime prie savo katės. Po kurio laiko personalo skyrius nuotrauką ištrina (čia ir žemiau esančios ekrano nuotraukos iš dalies retušuotos, kad neatskleistų tikrų vardų), tačiau ji atkakliai grįžta, vėl ištrinama, ir taip nutinka dar kelis kartus. Personalo skyrius supranta, kad katinas turi rimčiausių ketinimų, jis nenori išeiti, ir kviečiasi į pagalbą interneto programuotoją – žmogų, kuris sukūrė svetainę ir ją supranta, o dabar ją administruoja. Programuotojas nueina į svetainę, dar kartą ištrina įkyrų katiną, sužino, kad jis buvo paskelbtas paties personalo skyriaus vardu, tada daro prielaidą, kad personalo skyriaus slaptažodis nutekėjo kai kuriems interneto chuliganams, ir jį pakeičia. Katė daugiau nepasirodo.
Kas iš tikrųjų atsitiko? Kalbant apie įmonių grupę, kuri apėmė institutą, Group-IB specialistai atliko įsiskverbimo testą formatu, artimu Red Teaming (kitaip tariant, tai yra tikslinių atakų prieš jūsų įmonę imitacija naudojant pažangiausius metodus ir įrankius iš įsilaužėlių grupių arsenalas). Mes išsamiai kalbėjome apie Red Teaming . Svarbu žinoti, kad atliekant tokį testą galima panaudoti labai platų iš anksto sutartų atakų spektrą, įskaitant socialinę inžineriją. Akivaizdu, kad pats katės įkurdinimas nebuvo galutinis to, kas vyksta, tikslas. O ten buvo taip:
- instituto svetainė buvo talpinama pačiame instituto tinkle esančiame serveryje, o ne trečiųjų šalių serveriuose;
- Buvo rastas nutekėjimas personalo skyriaus paskyroje (el. pašto žurnalo failas yra svetainės šaknyje). Neįmanoma administruoti svetainės naudojant šią paskyrą, tačiau buvo galima redaguoti darbo puslapius;
- Pakeitę puslapius, galite įdėti savo scenarijus į „JavaScript“. Paprastai jie daro puslapius interaktyvius, tačiau šioje situacijoje tie patys scenarijai gali pavogti iš lankytojo naršyklės tai, kas skyrė personalo skyrių nuo programuotojo, o programuotoją - nuo paprasto lankytojo - seanso identifikatorių svetainėje. Katė buvo atakos gaidukas ir paveikslas, patraukiantis dėmesį. HTML svetainės žymėjimo kalba atrodė taip: jei jūsų vaizdas įkeltas, „JavaScript“ jau buvo paleistas, o jūsų sesijos ID kartu su duomenimis apie naršyklę ir IP adresą jau buvo pavogtas.
- Su pavogtu administratoriaus seanso ID būtų galima gauti pilną prieigą prie svetainės, priglobti vykdomuosius puslapius PHP, taigi prieiti prie serverio operacinės sistemos, o vėliau ir prie paties vietinio tinklo, o tai buvo svarbus tarpinis tikslas. projektas.
Ataka buvo iš dalies sėkminga: buvo pavogtas administratoriaus seanso ID, tačiau jis buvo susietas su IP adresu. Negalėjome to apeiti; negalėjome pakelti savo svetainės privilegijų iki administratoriaus privilegijų, tačiau pagerinome savo nuotaiką. Galutinis rezultatas galiausiai buvo gautas kitoje tinklo perimetro atkarpoje.
2 dalis. Rašau tau – kas dar? Taip pat skambinu ir sėdžiu jūsų biure, numetu „flash drives“.
Tai, kas nutiko situacijoje su kate, yra socialinės inžinerijos pavyzdys, nors ir ne visai klasikinis. Tiesą sakant, šioje istorijoje buvo ir daugiau įvykių: buvo ir katė, ir institutas, ir personalo skyrius, ir programuotojas, bet buvo ir el. laiškų su patikslinančiais klausimais, kuriuos neva „kandidatai“ rašė pačiam personalo skyriui ir asmeniškai. programuotojui, kad paskatintų juos eiti į svetainės puslapį.
Kalbant apie raides. Įprastas elektroninis paštas, bene pagrindinė socialinės inžinerijos priemonė, nepraranda savo aktualumo jau porą dešimtmečių ir kartais sukelia neįprastiausių pasekmių.
Savo renginiuose dažnai pasakojame tokią istoriją, nes ji labai atskleidžia.
Dažniausiai pagal socialinių inžinerinių projektų rezultatus rengiame statistiką, kuri, kaip žinome, yra sausas ir nuobodus dalykas. Tiek procentų gavėjų atidarė priedą iš laiško, tiek daug naudojo nuorodą, tačiau šie trys iš tikrųjų įvedė savo vartotojo vardą ir slaptažodį. Viename projekte gavome daugiau nei 100% įvestų slaptažodžių – tai yra išėjo daugiau nei išsiuntėme.
Tai atsitiko taip: buvo išsiųstas sukčiavimo laiškas, tariamai iš valstybinės korporacijos CISO, su reikalavimu „skubiai išbandyti pašto paslaugos pakeitimus“. Laiškas pasiekė didelio skyriaus, užsiimančio technine pagalba, vadovą. Vadovas labai stropiai vykdė aukštų institucijų nurodymus ir perdavė juos visiems pavaldiniams. Pats skambučių centras pasirodė gana didelis. Apskritai situacijos, kai kas nors persiunčia „įdomius“ sukčiavimo el. laiškus savo kolegoms ir jie taip pat užklumpa, yra gana dažnas reiškinys. Mums tai geriausias atsiliepimas apie laiško rašymo kokybę.
Šiek tiek vėliau jie apie mus sužinojo (laiškas buvo paimtas į pažeistą pašto dėžutę):
Atakos sėkmę lėmė tai, kad siunčiant paštą buvo išnaudota nemažai techninių kliento pašto sistemos trūkumų. Jis buvo sukonfigūruotas taip, kad be leidimo būtų galima siųsti bet kokius laiškus bet kurio pačios organizacijos siuntėjo vardu net iš interneto. Tai yra, galite apsimesti CISO, techninės pagalbos vadovu ar kuo nors kitu. Be to, pašto sąsaja, stebėdama laiškus iš „savo“ domeno, atsargiai įdėjo nuotrauką iš adresų knygos, kuri suteikė natūralumo siuntėjui.
Tiesą sakant, tokia ataka nėra itin sudėtinga technologija; tai sėkmingas labai elementaraus pašto nustatymų trūkumo išnaudojimas. Jis reguliariai peržiūrimas specializuotuose IT ir informacijos saugos šaltiniuose, tačiau vis dar yra įmonių, kurios visa tai turi. Kadangi niekas nėra linkęs nuodugniai tikrinti SMTP pašto protokolo paslaugų antraštes, laiške dažniausiai tikrinama, ar nėra „pavojaus“, naudojant įspėjamąsias piktogramas pašto sąsajoje, kurios ne visada rodo visą vaizdą.
Įdomu tai, kad panašus pažeidžiamumas veikia ir kita kryptimi: užpuolikas gali išsiųsti el. laišką jūsų įmonės vardu trečiosios šalies gavėjui. Pavyzdžiui, jis gali suklastoti sąskaitą faktūrą už reguliarų mokėjimą jūsų vardu, nurodydamas ne jūsų, o kitus duomenis. Be kovos su sukčiavimu ir pinigų išgryninimo problemų, tai tikriausiai yra vienas iš paprasčiausių būdų pavogti pinigus naudojant socialinę inžineriją.
Klasikinė sociotechninė ataka yra ne tik slaptažodžių vagystė per sukčiavimą, bet ir vykdomųjų priedų siuntimas. Jei šios investicijos įveiks visas saugumo priemones, kurių šiuolaikinės įmonės dažniausiai turi daug, bus sukurtas nuotolinės prieigos kanalas prie nukentėjusiojo kompiuterio. Norint parodyti atakos pasekmes, gautas nuotolinio valdymo pultas gali būti patobulintas iki ypač svarbios konfidencialios informacijos. Pastebėtina, kad didžioji dauguma išpuolių, kuriuos žiniasklaida naudoja siekdama išgąsdinti visus, prasideda būtent taip.
Audito skyriuje savo malonumui skaičiuojame apytikslę statistiką: kokia bendra įmonių, prie kurių gavome domeno administratoriaus prieigą, daugiausia per sukčiavimą ir vykdomų priedų siuntimą, turto vertė? Šiemet ji siekė apie 150 milijardų eurų.
Akivaizdu, kad provokuojančių elektroninių laiškų siuntimas ir kačių nuotraukų talpinimas interneto svetainėse nėra vieninteliai socialinės inžinerijos metodai. Šiais pavyzdžiais bandėme parodyti puolimo formų įvairovę ir jų pasekmes. Be laiškų, potencialus užpuolikas gali skambinti, kad gautų reikiamos informacijos, išbarstytų laikmenas (pavyzdžiui, „flash drives“) su vykdomaisiais failais tikslinės įmonės biure, įsidarbintų praktikantu, gautų fizinę prieigą prie vietinio tinklo. prisidengiant vaizdo stebėjimo kamerų montuotoju. Visa tai, beje, yra pavyzdžiai iš mūsų sėkmingai įgyvendintų projektų.
3 dalis. Mokymas yra šviesa, o neišmoktas yra tamsa
Kyla pagrįstas klausimas: na, gerai, yra socialinė inžinerija, atrodo pavojinga, bet ką dėl viso to turėtų daryti įmonės? Kapitonas Akivaizdus ateina į pagalbą: reikia gintis ir visapusiškai. Dalis apsaugos bus skirta jau klasikinėms saugumo priemonėms, tokioms kaip techninės informacijos apsaugos priemonės, stebėjimas, organizacinis ir teisinis procesų palaikymas, tačiau didžioji dalis, mūsų nuomone, turėtų būti nukreipta į tiesioginį darbą su darbuotojais kaip silpniausia grandis. Juk kad ir kiek stiprintum technologiją ar rašytum griežtus reglamentus, visada atsiras vartotojas, kuris atras naują būdą viską sulaužyti. Be to, nei taisyklės, nei technologijos neatsiliks nuo vartotojo kūrybiškumo polėkio, ypač jei jį paskatins kvalifikuotas užpuolikas.
Visų pirma svarbu apmokyti vartotoją: paaiškinti, kad net ir jo įprastiniame darbe gali kilti situacijų, susijusių su socialine inžinerija. Savo klientams mes dažnai atliekame apie skaitmeninę higieną – renginys, kuriame mokomasi pagrindinių įgūdžių, kaip kovoti su išpuoliais apskritai.
Galiu pridurti, kad viena geriausių apsaugos priemonių būtų visai ne informacijos saugumo taisyklių įsiminimas, o situacijos vertinimas kiek atitrūkęs:
- Kas yra mano pašnekovas?
- Iš kur kilo jo pasiūlymas ar prašymas (anksčiau to nebuvo, o dabar pasirodė)?
- Kuo šis prašymas neįprastas?
Net neįprastas raidžių šriftas ar neįprastas siuntėjui kalbos stilius gali sukelti abejonių grandinę, kuri sustabdys puolimą. Reikalingos ir nustatytos instrukcijos, tačiau jos veikia skirtingai ir negali nurodyti visų galimų situacijų. Pavyzdžiui, informacijos saugos administratoriai juose įrašo, kad negalite įvesti slaptažodžio trečiųjų šalių šaltiniuose. Ką daryti, jei „jūsų“, „įmonės“ tinklo resursas prašo slaptažodžio? Vartotojas galvoja: „Mūsų įmonė jau turi dvi dešimtis paslaugų su viena paskyra, kodėl gi ne turėti dar vieną? Tai veda prie kitos taisyklės: gerai struktūrizuotas darbo procesas taip pat turi tiesioginės įtakos saugumui: jei kaimyninis skyrius informacijos iš jūsų gali prašyti tik raštu ir tik per jūsų vadovą, žmogus „iš patikimo įmonės partnerio“ tikrai nebus gali prašyti telefonu - tai tau tai bus nesąmonė. Turėtumėte būti ypač atsargūs, jei pašnekovas reikalauja viską padaryti dabar, arba „ASAP“, kaip madinga rašyti. Net ir dirbant įprastą darbą tokia situacija dažnai nėra sveika, o galimų priepuolių akivaizdoje yra stiprus trigeris. Nėra laiko paaiškinti, paleiskite mano failą!
Pastebime, kad į vartotojus visada kaip sociotechninės atakos legendos nutaikomos temos, viena ar kita forma susijusios su pinigais: akcijų pažadai, lengvatos, dovanos, taip pat informacija su neva vietinėmis paskalomis ir intrigomis. Kitaip tariant, veikia banalios „mirtinos nuodėmės“: pelno troškulys, godumas ir perdėtas smalsumas.
Į gerą mokymą visada turėtų būti įtraukta praktika. Čia į pagalbą gali ateiti skverbties testavimo ekspertai. Kitas klausimas: ką ir kaip išbandysime? Mes, Group-IB, siūlome tokį požiūrį: iš karto pasirinkite testavimo kryptį: arba įvertinkite tik pačių vartotojų pasirengimą atakoms, arba patikrinkite visos įmonės saugumą. Ir išbandyti naudojant socialinės inžinerijos metodus, imituojant tikras atakas – tai yra tas pats sukčiavimas, vykdomų dokumentų siuntimas, skambučiai ir kitos technikos.
Pirmuoju atveju atakai kruopščiai ruošiamasi kartu su užsakovo atstovais, daugiausia su jo IT ir informacijos saugumo specialistais. Legendos, įrankiai ir puolimo būdai yra nuoseklūs. Pats klientas pateikia fokuso grupes ir vartotojų sąrašus atakai, kuriuose yra visi reikalingi kontaktai. Saugumo priemonėms sukuriamos išimtys, nes pranešimai ir vykdomos įkrovos turi pasiekti gavėją, nes tokiame projekte įdomios tik žmonių reakcijos. Pasirinktinai į ataką galite įtraukti žymeklius, pagal kuriuos vartotojas gali atspėti, kad tai ataka – pavyzdžiui, galite padaryti keletą rašybos klaidų pranešimuose arba palikti netikslumų kopijuodami įmonės stilių. Projekto pabaigoje gaunama ta pati „sausa statistika“: kurios tikslinės grupės reagavo į scenarijus ir kiek.
Antruoju atveju ataka vykdoma be pradinių žinių, naudojant „juodosios dėžės“ metodą. Savarankiškai renkame informaciją apie įmonę, jos darbuotojus, tinklo perimetrą, kuriame atakų legendas, parenkame metodus, ieškome galimų tikslinėje įmonėje naudojamų saugumo priemonių, pritaikome įrankius, kuriame scenarijus. Mūsų specialistai naudoja tiek klasikinius atvirojo kodo žvalgybos (OSINT) metodus, tiek pačios grupės IB produktą – Threat Intelligence – sistemą, kuri, ruošdamasi sukčiavimui, ilgą laiką gali veikti kaip informacijos apie įmonę, įskaitant įslaptintą informaciją, kaupiklis. Žinoma, kad ataka netaptų nemalonia staigmena, dėl jo detalių taip pat susitariama su užsakovu. Pasirodo, tai yra visavertis įsiskverbimo testas, tačiau jis bus pagrįstas pažangia socialine inžinerija. Logiška galimybė šiuo atveju yra sukurti ataką tinkle iki aukščiausių teisių įgijimo vidinėse sistemose. Beje, panašiai mes naudojame sociotechnines atakas , ir kai kuriuose įsiskverbimo bandymuose. Dėl to klientas gaus nepriklausomą išsamią savo saugumo nuo tam tikro tipo sociotechninių atakų viziją, taip pat sukurtos gynybos linijos nuo išorinių grėsmių efektyvumo (arba, atvirkščiai, neefektyvumo) demonstravimą.
Rekomenduojame šiuos mokymus vesti bent du kartus per metus. Pirma, bet kurioje įmonėje vyksta darbuotojų kaita, o ankstesnę patirtį darbuotojai pamažu pamiršta. Antra, atakų metodai ir technikos nuolat keičiasi, todėl reikia pritaikyti saugumo procesus ir apsaugos priemones.
Jei kalbame apie technines apsaugos nuo atakų priemones, labiausiai padeda šios priemonės:
- Privalomo dviejų veiksnių autentifikavimo buvimas internete paskelbtose paslaugose. 2019 m. išleisti tokias paslaugas be vieno prisijungimo sistemų, be apsaugos nuo slaptažodžio brutalios jėgos ir be dviejų veiksnių autentifikavimo kelių šimtų žmonių kompanijoje yra tolygu atviram raginimui „palaužti mane“. Tinkamai įdiegta apsauga leis greitai panaudoti pavogtus slaptažodžius ir suteiks laiko pašalinti sukčiavimo atakos pasekmes.
- Kontroliuoti prieigos kontrolę, sumažinti vartotojų teises sistemose ir laikytis saugaus gaminio konfigūravimo gairių, kurias išleidžia kiekvienas pagrindinis gamintojas. Tai dažnai yra paprastos, tačiau labai veiksmingos ir sunkiai įgyvendinamos priemonės, kurių visi vienu ar kitu laipsniu apleidžia siekdami greičio. O kai kurie tokie reikalingi, kad be jų neišgelbės jokios apsaugos priemonės.
- Puikiai sukonstruota el. pašto filtravimo linija. Antispam, visiškas priedų nuskaitymas ieškant kenkėjiško kodo, įskaitant dinaminį bandymą per smėlio dėžes. Gerai paruošta ataka reiškia, kad vykdomojo priedo neaptiks antivirusinės priemonės. Smėlio dėžė, priešingai, viską išbandys pati, naudodama failus taip pat, kaip juos naudoja žmogus. Dėl to galimas kenkėjiškas komponentas bus atskleistas smėlio dėžėje atlikus pakeitimus.
- Apsaugos nuo tikslinių atakų priemonės. Kaip jau buvo minėta, klasikinės antivirusinės priemonės neaptiks kenkėjiškų failų gerai parengtos atakos atveju. Pažangiausi produktai turėtų automatiškai stebėti tinkle vykstančių įvykių visumą – tiek atskiro pagrindinio kompiuterio, tiek srauto tinkle lygiu. Išpuolių atveju atsiranda labai būdingos įvykių grandinės, kurias galima sekti ir sustabdyti, jei stebėsite sutelktą dėmesį į tokio pobūdžio įvykius.
Originalus straipsnis žurnale „Informacijos sauga/ Informacijos sauga“ Nr.6, 2019 m.
Šaltinis: www.habr.com