Apmāni mani, ja vari: sociāltehniskā pentesta vadīšanas iezīmes

Iedomājieties šo situāciju. Auksts oktobra rīts, dizaina institūts reģionālajā centrā vienā no Krievijas reģioniem. Kāds no personāla nodaļas dodas uz kādu no vakanču lapām institūta tīmekļa vietnē, kas publicēta pirms pāris dienām, un tur ierauga kaķa fotoattēlu. Rīts ātri vien pārstāj būt garlaicīgs...

Šajā rakstā Group-IB audita un konsultāciju nodaļas tehniskais vadītājs Pāvels Supruņuks stāsta par sociāltehnisko uzbrukumu vietu praktiskas drošības novērtēšanas projektos, kādas neparastas formas tie var izpausties un kā aizsargāties pret šādiem uzbrukumiem. Autore precizē, ka rakstam ir apskata raksturs, tomēr, ja kāds aspekts interesēs lasītājus, IB grupas eksperti labprāt atbildēs uz jautājumiem komentāros.

1. daļa. Kāpēc tik nopietni?

Atgriezīsimies pie sava kaķa. Pēc kāda laika HR departaments fotoattēlu izdzēš (šeit un zemāk esošie ekrānuzņēmumi ir daļēji retušēti, lai neatklātu īstos vārdus), taču tas spītīgi atgriežas, tiek dzēsts vēlreiz, un tas notiek vēl vairākas reizes. Personāla nodaļa saprot, ka kaķim ir visnopietnākie nodomi, viņš nevēlas doties prom, un viņi sauc palīdzību no tīmekļa programmētāja - cilvēka, kurš izveidoja vietni un to saprot, un tagad to administrē. Programmētājs dodas uz vietni, kārtējo reizi izdzēš kaitinošo kaķi, uzzina, ka tas ir ievietots paša personāla nodaļas vārdā, tad izdara pieņēmumu, ka personāla nodaļas parole ir noplūdusi dažiem tiešsaistes huligāniem, un to maina. Kaķis vairs neparādās.

Kas īsti notika? Attiecībā uz uzņēmumu grupu, kurā bija institūts, Group-IB speciālisti veica iespiešanās testēšanu formātā, kas ir tuvu Red Teaming (citiem vārdiem sakot, šī ir mērķtiecīgu uzbrukumu imitācija jūsu uzņēmumam, izmantojot vismodernākās metodes un rīkus no hakeru grupu arsenāls). Mēs detalizēti runājām par Red Teaming šeit. Ir svarīgi zināt, ka, veicot šādu pārbaudi, var izmantot ļoti plašu iepriekš saskaņotu uzbrukumu klāstu, tostarp sociālo inženieriju. Skaidrs, ka paša kaķa novietošana nebija notiekošā galvenais mērķis. Un tur bija sekojošais:

• institūta vietne tika mitināta serverī pašā institūta tīklā, nevis trešās puses serveros;
• Tika konstatēta noplūde personāla nodaļas kontā (e-pasta žurnāla fails atrodas vietnes saknē). Vietni nebija iespējams administrēt ar šo kontu, taču bija iespējams rediģēt darba lapas;
• Mainot lapas, jūs varētu ievietot savus skriptus JavaScript. Parasti viņi lapas padara interaktīvas, taču šajā situācijā tie paši skripti var nozagt no apmeklētāja pārlūkprogrammas, kas atšķīra personāla nodaļu no programmētāja un programmētāju no vienkārša apmeklētāja - vietnes sesijas identifikatoru. Kaķis bija uzbrukuma izraisītājs un attēls, lai piesaistītu uzmanību. HTML vietnes iezīmēšanas valodā tas izskatījās šādi: ja jūsu attēls ir ielādēts, JavaScript jau ir izpildīts un jūsu sesijas ID, kā arī dati par pārlūkprogrammu un IP adresi jau ir nozagts.
• Ar nozagtu administratora sesijas ID būtu iespējams iegūt pilnu piekļuvi vietnei, mitināt izpildāmās lapas PHP un tādējādi piekļūt servera operētājsistēmai un pēc tam arī pašam lokālajam tīklam, kas bija svarīgs starpmērķis. projekts.

Uzbrukums bija daļēji veiksmīgs: administratora sesijas ID tika nozagts, taču tas bija saistīts ar IP adresi. Mēs nevarējām to apiet; mēs nevarējām paaugstināt savas vietnes privilēģijas līdz administratora privilēģijām, taču mēs uzlabojām savu noskaņojumu. Gala rezultāts galu galā tika iegūts citā tīkla perimetra posmā.

2. daļa. Es jums rakstu - kas vēl? Es arī zvanu un pastaigājos jūsu birojā, nometu zibatmiņas diskus.

Tas, kas notika situācijā ar kaķi, ir sociālās inženierijas piemērs, lai arī ne gluži klasisks. Patiesībā šajā stāstā bija vairāk notikumu: bija gan kaķis, gan institūts, gan personāla nodaļa, gan programmētājs, taču bija arī e-pasta vēstules ar precizējošiem jautājumiem, ko it kā “kandidāti” rakstīja pašai personāla nodaļai un personīgi. programmētājam, lai mudinātu viņu doties uz vietnes lapu.

Par burtiem runājot. Parastais e-pasts, iespējams, galvenais sociālās inženierijas līdzeklis, nav zaudējis savu aktualitāti jau pāris gadu desmitus un dažkārt noved pie visneparastākajām sekām.

Mēs savos pasākumos bieži stāstām šādu stāstu, jo tas ir ļoti atklājošs.

Parasti, pamatojoties uz sociālās inženierijas projektu rezultātiem, mēs apkopojam statistiku, kas, kā zināms, ir sausa un garlaicīga lieta. Tik daudzi procenti adresātu atvēra pielikumu no vēstules, tik daudzi sekoja saitei, taču šie trīs faktiski ievadīja savu lietotājvārdu un paroli. Vienā projektā saņēmām vairāk nekā 100% ievadīto paroļu – tas ir, iznāca vairāk, nekā izsūtījām.

Tas notika šādi: tika nosūtīta pikšķerēšanas vēstule, domājams, no valsts korporācijas CISO, ar prasību "steidzami pārbaudīt pasta pakalpojuma izmaiņas". Vēstule sasniedza lielas nodaļas vadītāju, kas nodarbojās ar tehnisko atbalstu. Pārvaldnieks ļoti rūpīgi izpildīja augsto iestāžu norādījumus un nosūtīja tos visiem padotajiem. Pats zvanu centrs izrādījās diezgan liels. Kopumā situācijas, kad kāds saviem kolēģiem pārsūta “interesantos” pikšķerēšanas e-pastus un viņi arī tiek pieķerti, ir diezgan izplatīta parādība. Mums šī ir labākā atsauksme par vēstules rakstīšanas kvalitāti.

Nedaudz vēlāk viņi par mums uzzināja (vēstule tika paņemta apdraudētā pastkastītē):

Uzbrukuma panākumus noteica fakts, ka pasta sūtīšanā tika izmantotas vairākas tehniskus trūkumus klienta pasta sistēmā. Tas bija konfigurēts tā, ka jebkura pašas organizācijas sūtītāja vārdā bija iespējams nosūtīt jebkuras vēstules bez atļaujas, pat no interneta. Tas ir, jūs varētu izlikties par CISO vai tehniskā atbalsta vadītāju, vai kādu citu. Turklāt pasta saskarne, novērojot vēstules no “sava” domēna, rūpīgi ievietoja fotoattēlu no adrešu grāmatas, kas sūtītājam pievienoja dabiskumu.

Patiesībā šāds uzbrukums nav īpaši sarežģīta tehnoloģija; tā ir veiksmīga ļoti vienkārša pasta iestatījumu nepilnības izmantošana. Tas regulāri tiek pārskatīts specializētos IT un informācijas drošības resursos, taču joprojām ir uzņēmumi, kuriem tas viss ir klāt. Tā kā neviens nevēlas rūpīgi pārbaudīt SMTP pasta protokola pakalpojumu galvenes, vēstule parasti tiek pārbaudīta, izmantojot brīdinājuma ikonas pasta saskarnē, kas ne vienmēr parāda visu attēlu.

Interesanti, ka līdzīga ievainojamība darbojas arī otrā virzienā: uzbrucējs jūsu uzņēmuma vārdā var nosūtīt e-pastu trešās puses adresātam. Piemēram, viņš var viltot rēķinu par regulāru maksājumu jūsu vietā, norādot citus datus, nevis jūsu datus. Papildus krāpšanas apkarošanas un naudas izņemšanas problēmām šis, iespējams, ir viens no vienkāršākajiem veidiem, kā nozagt naudu, izmantojot sociālo inženieriju.

Papildus paroļu zagšanai, izmantojot pikšķerēšanu, klasisks sociāltehnisks uzbrukums ir izpildāmu pielikumu nosūtīšana. Ja šīs investīcijas pārvar visus drošības pasākumus, kuru mūsdienu uzņēmumos parasti ir daudz, cietušā datoram tiks izveidots attālās piekļuves kanāls. Lai demonstrētu uzbrukuma sekas, iegūto tālvadības pulti var attīstīt līdz piekļuvei īpaši svarīgai konfidenciālai informācijai. Zīmīgi, ka lielākā daļa uzbrukumu, ko plašsaziņas līdzekļi izmanto, lai visus biedētu, sākas tieši šādi.

Mūsu audita nodaļā prieka pēc mēs aprēķinām aptuvenu statistiku: kāda ir to uzņēmumu aktīvu kopējā vērtība, kuriem esam ieguvuši domēna administratora piekļuvi, galvenokārt pikšķerējot un sūtot izpildāmos pielikumus? Šogad tas sasniedza aptuveni 150 miljardus eiro.

Ir skaidrs, ka provokatīvu e-pastu sūtīšana un kaķu fotoattēlu ievietošana vietnēs nav vienīgās sociālās inženierijas metodes. Šajos piemēros mēs esam mēģinājuši parādīt uzbrukuma formu daudzveidību un to sekas. Papildus vēstulēm potenciālais uzbrucējs var piezvanīt, lai iegūtu nepieciešamo informāciju, izkaisīt datu nesējus (piemēram, zibatmiņas) ar izpildāmiem failiem mērķa uzņēmuma birojā, iegūt darbu kā praktikante, iegūt fizisku piekļuvi lokālajam tīklam. CCTV kameru uzstādītāja aizsegā. Tie visi, starp citu, ir piemēri no mūsu veiksmīgi pabeigtajiem projektiem.

3. daļa. Mācība ir gaisma, bet neapgūtais ir tumsa

Rodas pamatots jautājums: nu, labi, ir sociālā inženierija, tas izskatās bīstami, bet kas uzņēmumiem ar to visu jādara? Kapteinis Obviouss nāk palīgā: jums ir jāaizstāv sevi visaptveroši. Daļa aizsardzības tiks vērsta uz jau klasiskajiem drošības pasākumiem, piemēram, informācijas aizsardzības tehniskajiem līdzekļiem, uzraudzību, procesu organizatorisko un juridisko nodrošinājumu, bet galvenā daļa, mūsuprāt, būtu jāvirza tiešam darbam ar darbiniekiem kā vājākais posms. Galu galā, neatkarīgi no tā, cik ļoti stiprināsit tehnoloģiju vai rakstīsit bargus noteikumus, vienmēr atradīsies kāds lietotājs, kurš atklās jaunu veidu, kā visu pārkāpt. Turklāt ne noteikumi, ne tehnoloģijas nespēs līdzi lietotāja radošuma lidojumam, it īpaši, ja viņu pamudinās kvalificēts uzbrucējs.

Pirmkārt, ir svarīgi apmācīt lietotāju: paskaidrojiet, ka pat viņa ikdienas darbā var rasties situācijas, kas saistītas ar sociālo inženieriju. Mūsu klientiem mēs bieži veicam kursi par digitālo higiēnu – pasākums, kurā kopumā tiek apgūtas pamatprasmes pretuzbrukumiem.

Varu piebilst, ka viens no labākajiem aizsardzības pasākumiem būtu nevis informācijas drošības noteikumu iegaumēšana, bet gan situācijas izvērtēšana nedaudz atrauti:

1. Kas ir mans sarunu biedrs?
2. No kurienes nāca viņa priekšlikums vai lūgums (tāds nekad agrāk nav noticis, un tagad tas parādījās)?
3. Kas šajā pieprasījumā ir neparasts?

Pat neparasts burtu fonta veids vai sūtītājam neparasts runas stils var izraisīt šaubu ķēdi, kas apturēs uzbrukumu. Nepieciešamas arī noteiktas instrukcijas, taču tās darbojas atšķirīgi un nevar norādīt visas iespējamās situācijas. Piemēram, informācijas drošības administratori tajos ieraksta, ka nevar ievadīt savu paroli trešo pušu resursos. Ko darīt, ja “jūsu”, “korporatīvā” tīkla resurss pieprasa paroli? Lietotājs domā: "Mūsu uzņēmumam jau ir divi desmiti pakalpojumu ar vienu kontu, kāpēc gan lai nebūtu vēl viens?" Tas noved pie cita noteikuma: labi strukturēts darba process arī tieši ietekmē drošību: ja kaimiņu nodaļa var pieprasīt no jums informāciju tikai rakstiski un tikai ar jūsu vadītāja starpniecību, persona "no uzticama uzņēmuma partnera" noteikti netiks. var pieprasīt pa telefonu - tas jums tas būs muļķības. Īpaši jāuzmanās, ja sarunu biedrs pieprasa visu izdarīt tieši tagad jeb “ĀRĀK”, kā tas ir modē rakstīt. Pat parastā darbā šī situācija bieži vien nav veselīga, un, saskaroties ar iespējamiem uzbrukumiem, tas ir spēcīgs sprūda. Nav laika paskaidrot, palaist manu failu!

Mēs novērojam, ka lietotāji vienmēr tiek mērķēti kā leģendas par sociāltehnisku uzbrukumu ar tēmām, kas vienā vai otrā veidā saistītas ar naudu: akcijas solījumi, preferences, dāvanas, kā arī informācija ar it kā vietējām tenkām un intrigām. Citiem vārdiem sakot, darbojas banālie “nāves grēki”: peļņas slāpes, alkatība un pārmērīga zinātkāre.

Labā apmācībā vienmēr jāiekļauj prakse. Šeit palīgā var nākt iespiešanās pārbaudes eksperti. Nākamais jautājums ir: ko un kā mēs pārbaudīsim? Mēs, Group-IB, piedāvājam šādu pieeju: nekavējoties izvēlieties testēšanas fokusu: vai nu novērtējiet tikai pašu lietotāju gatavību uzbrukumiem, vai arī pārbaudiet visa uzņēmuma drošību. Un pārbaudi, izmantojot sociālās inženierijas metodes, simulējot reālus uzbrukumus - tas ir, to pašu pikšķerēšanu, izpildāmu dokumentu nosūtīšanu, zvanus un citus paņēmienus.

Pirmajā gadījumā uzbrukums tiek rūpīgi sagatavots kopā ar pasūtītāja pārstāvjiem, galvenokārt ar tā IT un informācijas drošības speciālistiem. Leģendas, rīki un uzbrukuma paņēmieni ir konsekventi. Klients pats nodrošina fokusa grupas un lietotāju sarakstus uzbrukumam, kuros ir iekļauti visi nepieciešamie kontakti. Izņēmumi tiek radīti drošības pasākumiem, jo ​​ziņojumiem un izpildāmām ielām ir jāsasniedz adresāts, jo šādā projektā interesē tikai cilvēku reakcija. Pēc izvēles uzbrukumā varat iekļaut marķierus, pēc kuriem lietotājs var uzminēt, ka tas ir uzbrukums - piemēram, ziņojumos varat pieļaut pāris pareizrakstības kļūdas vai atstāt neprecizitātes korporatīvā stila kopēšanā. Projekta noslēgumā tiek iegūta tā pati “sausā statistika”: kuras fokusa grupas reaģēja uz scenārijiem un cik lielā mērā.

Otrajā gadījumā uzbrukums tiek veikts bez sākotnējām zināšanām, izmantojot “melnās kastes” metodi. Mēs patstāvīgi apkopojam informāciju par uzņēmumu, tā darbiniekiem, tīkla perimetru, veidojam uzbrukuma leģendas, atlasām metodes, meklējam iespējamos mērķa uzņēmumā izmantojamos drošības pasākumus, pielāgojam rīkus, veidojam scenārijus. Mūsu speciālisti izmanto gan klasiskās atvērtā pirmkoda izlūkošanas (OSINT) metodes, gan pašu Group-IB produktu - Threat Intelligence, sistēmu, kas, gatavojoties pikšķerēšanai, var darboties kā informācijas apkopotājs par uzņēmumu ilgākā laika periodā, ieskaitot klasificēto informāciju . Protams, lai uzbrukums nekļūtu par nepatīkamu pārsteigumu, arī tā detaļas tiek saskaņotas ar klientu. Izrādās, ka tas ir pilnvērtīgs iespiešanās tests, taču tas būs balstīts uz progresīvu sociālo inženieriju. Loģisks variants šajā gadījumā ir izveidot uzbrukumu tīklā līdz pat augstāko tiesību iegūšanai iekšējās sistēmās. Starp citu, līdzīgā veidā mēs izmantojam sociotehniskos uzbrukumus Sarkanā komanda, un dažos iespiešanās testos. Rezultātā klients saņems neatkarīgu visaptverošu redzējumu par savu drošību pret noteikta veida sociāltehniskiem uzbrukumiem, kā arī demonstrējumu par uzbūvētās aizsardzības līnijas pret ārējiem draudiem efektivitāti (vai, gluži pretēji, neefektivitāti).

Mēs iesakām šīs apmācības veikt vismaz divas reizes gadā. Pirmkārt, jebkurā uzņēmumā ir kadru mainība un līdzšinējo pieredzi darbinieki pamazām aizmirst. Otrkārt, uzbrukumu metodes un paņēmieni pastāvīgi mainās, un tas rada nepieciešamību pielāgot drošības procesus un aizsardzības rīkus.

Ja mēs runājam par tehniskiem aizsardzības pasākumiem pret uzbrukumiem, tad visvairāk palīdz:

• Obligātās divu faktoru autentifikācijas klātbūtne pakalpojumos, kas publicēti internetā. Šādu pakalpojumu izlaišana 2019. gadā bez vienreizējās pierakstīšanās sistēmām, bez aizsardzības pret paroles brutālu spēku un bez divu faktoru autentifikācijas vairāku simtu cilvēku uzņēmumā ir līdzvērtīga atklātam aicinājumam “salauzt mani”. Pareizi ieviesta aizsardzība padarīs neiespējamu ātru nozagto paroļu izmantošanu un dos laiku pikšķerēšanas uzbrukuma seku likvidēšanai.
• Piekļuves kontroles kontrole, lietotāju tiesību samazināšana sistēmās un katra lielā ražotāja izdoto drošas produktu konfigurācijas vadlīniju ievērošana. Tie bieži vien ir vienkārši, taču ļoti efektīvi un grūti īstenojami pasākumi, kurus visi vienā vai otrā pakāpē ātruma labad atstāj novārtā. Un daži ir tik nepieciešami, ka bez tiem nekādi aizsardzības līdzekļi neglābs.
• Labi izveidota e-pasta filtrēšanas līnija. Antispam, pilnīga pielikumu skenēšana, lai atrastu ļaunprātīgu kodu, tostarp dinamiska pārbaude, izmantojot smilškastes. Labi sagatavots uzbrukums nozīmē, ka izpildāmo pielikumu neatklās pretvīrusu rīki. Smilšu kaste, gluži pretēji, visu pārbaudīs pati, izmantojot failus tāpat kā tos izmanto cilvēks. Rezultātā smilškastes iekšienē veiktās izmaiņas atklās iespējamo ļaunprātīgo komponentu.
• Aizsardzības līdzekļi pret mērķtiecīgiem uzbrukumiem. Kā jau minēts, klasiskie pretvīrusu rīki labi sagatavota uzbrukuma gadījumā neatklās ļaunprātīgus failus. Vismodernākajiem produktiem automātiski jāuzrauga tīklā notiekošo notikumu kopums - gan atsevišķa resursdatora līmenī, gan trafika līmenī tīklā. Uzbrukumu gadījumā parādās ļoti raksturīgas notikumu ķēdes, kuras var izsekot un apturēt, ja uz šāda veida notikumiem ir vērsta uzraudzība.

Oriģināls raksts publicēta žurnālā “Informācijas drošība/ Informācijas drošība” Nr.6, 2019.g.

Avots: www.habr.com