Bayangkan keadaan ini. Pagi Oktober yang sejuk, institut reka bentuk di pusat wilayah salah satu wilayah di Rusia. Seseorang dari jabatan HR pergi ke salah satu halaman kekosongan di tapak web institut, disiarkan beberapa hari lalu, dan melihat foto kucing di sana. Pagi cepat berhenti membosankan...
Dalam artikel ini, Pavel Suprunyuk, ketua teknikal jabatan audit dan perundingan di Group-IB, bercakap tentang tempat serangan sosioteknikal dalam projek menilai keselamatan praktikal, bentuk luar biasa yang boleh mereka lakukan, dan cara melindungi daripada serangan sedemikian. Penulis menjelaskan bahawa artikel itu bersifat ulasan, namun, jika ada aspek yang menarik minat pembaca, pakar Kumpulan-IB akan sedia menjawab soalan dalam ulasan.
Bahagian 1. Kenapa serius sangat?
Mari kita kembali kepada kucing kita. Selepas beberapa lama, jabatan HR memadamkan foto itu (tangkapan skrin di sini dan di bawah sebahagiannya diubah suai supaya tidak mendedahkan nama sebenar), tetapi ia berdegil kembali, ia dipadam semula, dan ini berlaku beberapa kali lagi. Jabatan HR memahami bahawa kucing itu mempunyai niat yang paling serius, dia tidak mahu pergi, dan mereka meminta bantuan daripada pengaturcara web - orang yang mencipta tapak dan memahaminya, dan kini mentadbirnya. Pengaturcara pergi ke tapak, sekali lagi memadamkan kucing yang menjengkelkan, mengetahui bahawa ia telah disiarkan bagi pihak jabatan HR sendiri, kemudian membuat andaian bahawa kata laluan jabatan HR telah bocor kepada beberapa hooligan dalam talian, dan mengubahnya. Kucing tidak muncul lagi.
Apa yang berlaku sebenarnya? Berhubung dengan kumpulan syarikat yang termasuk institut itu, pakar Kumpulan-IB menjalankan ujian penembusan dalam format yang hampir dengan Red Teaming (dengan kata lain, ini adalah tiruan serangan yang disasarkan ke atas syarikat anda menggunakan kaedah dan alat yang paling canggih daripada senjata kumpulan penggodam). Kami bercakap secara terperinci tentang Red Teaming . Adalah penting untuk mengetahui bahawa semasa menjalankan ujian sedemikian, pelbagai serangan yang dipersetujui sebelum ini boleh digunakan, termasuk kejuruteraan sosial. Adalah jelas bahawa penempatan kucing itu sendiri bukanlah matlamat utama apa yang berlaku. Dan ada yang berikut:
- tapak web institut dihoskan pada pelayan dalam rangkaian institut itu sendiri, dan bukan pada pelayan pihak ketiga;
- Kebocoran dalam akaun jabatan HR telah ditemui (fail log e-mel berada di akar tapak). Adalah mustahil untuk mentadbir tapak dengan akaun ini, tetapi adalah mungkin untuk mengedit halaman kerja;
- Dengan menukar halaman, anda boleh meletakkan skrip anda dalam JavaScript. Biasanya mereka menjadikan halaman interaktif, tetapi dalam situasi ini, skrip yang sama boleh mencuri daripada penyemak imbas pelawat apa yang membezakan jabatan HR daripada pengaturcara, dan pengaturcara daripada pelawat mudah - pengecam sesi di tapak. Kucing itu adalah pencetus serangan dan gambar untuk menarik perhatian. Dalam bahasa penanda tapak web HTML, ia kelihatan seperti ini: jika imej anda telah dimuatkan, JavaScript telah dilaksanakan dan ID sesi anda, bersama-sama dengan data tentang penyemak imbas dan alamat IP anda, telah pun dicuri.
- Dengan ID sesi pentadbir yang dicuri, adalah mungkin untuk mendapatkan akses penuh ke tapak, menjadi tuan rumah halaman boleh laku dalam PHP, dan oleh itu mendapat akses kepada sistem pengendalian pelayan, dan kemudian ke rangkaian tempatan itu sendiri, yang merupakan matlamat perantaraan penting projek.
Serangan itu berjaya sebahagiannya: ID sesi pentadbir telah dicuri, tetapi ia terikat pada alamat IP. Kami tidak dapat mengatasi perkara ini; kami tidak dapat meningkatkan keistimewaan tapak kami kepada keistimewaan pentadbir, tetapi kami telah meningkatkan mood kami. Keputusan akhir akhirnya diperolehi di bahagian lain perimeter rangkaian.
Bahagian 2. Saya menulis kepada anda - apa lagi? Saya juga menelefon dan berkeliaran di pejabat anda, menjatuhkan pemacu kilat.
Apa yang berlaku dalam situasi dengan kucing itu adalah contoh kejuruteraan sosial, walaupun tidak begitu klasik. Malah, terdapat lebih banyak peristiwa dalam cerita ini: terdapat kucing, dan institut, dan jabatan kakitangan, dan pengaturcara, tetapi terdapat juga e-mel dengan soalan penjelasan yang kononnya "calon" menulis kepada jabatan kakitangan itu sendiri dan secara peribadi kepada pengaturcara untuk memprovokasi mereka pergi ke halaman tapak.
Bercakap tentang surat. E-mel biasa, mungkin kenderaan utama untuk menjalankan kejuruteraan sosial, tidak kehilangan kaitannya selama beberapa dekad dan kadangkala membawa kepada akibat yang paling luar biasa.
Kami sering menceritakan kisah berikut di acara kami, kerana ia sangat mendedahkan.
Biasanya, berdasarkan hasil projek kejuruteraan sosial, kami menyusun statistik, yang, seperti yang kita tahu, adalah perkara yang kering dan membosankan. Begitu banyak peratus penerima membuka lampiran dari surat itu, begitu ramai yang mengikuti pautan itu, tetapi ketiga-tiga ini sebenarnya memasukkan nama pengguna dan kata laluan mereka. Dalam satu projek, kami menerima lebih daripada 100% kata laluan yang dimasukkan - iaitu, lebih banyak yang keluar daripada yang kami hantar.
Ia berlaku seperti ini: surat pancingan data telah dihantar, kononnya daripada CISO sebuah syarikat negeri, dengan permintaan untuk "menguji perubahan segera dalam perkhidmatan mel." Surat itu sampai kepada ketua jabatan besar yang berurusan dengan sokongan teknikal. Pengurus itu sangat tekun melaksanakan arahan daripada pihak atasan dan memajukannya kepada semua orang bawahan. Pusat panggilan itu sendiri ternyata agak besar. Secara umum, situasi di mana seseorang memajukan e-mel pancingan data yang "menarik" kepada rakan sekerja mereka dan mereka juga ditangkap adalah kejadian yang agak biasa. Bagi kami, ini adalah maklum balas terbaik tentang kualiti penulisan surat.
Tidak lama kemudian mereka mengetahui tentang kami (surat itu diambil dalam peti mel yang dikompromi):
Kejayaan serangan itu adalah disebabkan oleh fakta bahawa mel mengeksploitasi beberapa kekurangan teknikal dalam sistem mel pelanggan. Ia telah dikonfigurasikan sedemikian rupa sehingga mungkin untuk menghantar sebarang surat bagi pihak mana-mana pengirim organisasi itu sendiri tanpa kebenaran, walaupun dari Internet. Iaitu, anda boleh berpura-pura menjadi CISO, atau ketua sokongan teknikal, atau orang lain. Selain itu, antara muka mel, memerhatikan huruf dari domain "nya", dengan teliti memasukkan foto dari buku alamat, yang menambah keaslian kepada pengirim.
Sebenarnya, serangan sedemikian bukanlah teknologi yang sangat kompleks; ia adalah eksploitasi yang berjaya terhadap kecacatan yang sangat asas dalam tetapan mel. Ia sentiasa disemak pada sumber IT dan keselamatan maklumat yang khusus, tetapi bagaimanapun, masih terdapat syarikat yang mempunyai semua ini. Oleh kerana tiada siapa yang cenderung untuk menyemak pengepala perkhidmatan protokol mel SMTP dengan teliti, surat biasanya disemak untuk "bahaya" menggunakan ikon amaran dalam antara muka mel, yang tidak selalu memaparkan keseluruhan gambar.
Menariknya, kerentanan yang serupa juga berfungsi dalam arah lain: penyerang boleh menghantar e-mel bagi pihak syarikat anda kepada penerima pihak ketiga. Sebagai contoh, dia boleh memalsukan invois untuk pembayaran tetap bagi pihak anda, menunjukkan butiran lain dan bukannya butiran anda. Selain daripada isu anti-penipuan dan pengeluaran tunai, ini mungkin salah satu cara paling mudah untuk mencuri wang melalui kejuruteraan sosial.
Selain mencuri kata laluan melalui pancingan data, serangan sosioteknikal klasik ialah menghantar lampiran boleh laku. Jika pelaburan ini mengatasi semua langkah keselamatan, yang mana syarikat moden biasanya mempunyai banyak, saluran capaian jauh akan dibuat ke komputer mangsa. Untuk menunjukkan akibat serangan itu, alat kawalan jauh yang terhasil boleh dibangunkan untuk mengakses maklumat sulit yang sangat penting. Perlu diperhatikan bahawa sebahagian besar serangan yang digunakan media untuk menakutkan semua orang bermula seperti ini.
Di jabatan audit kami, untuk berseronok, kami mengira statistik anggaran: apakah jumlah nilai aset syarikat yang kami telah memperoleh akses Pentadbir Domain, terutamanya melalui pancingan data dan penghantaran lampiran boleh laku? Tahun ini ia mencecah kira-kira 150 bilion euro.
Adalah jelas bahawa menghantar e-mel provokatif dan menyiarkan foto kucing di laman web bukanlah satu-satunya kaedah kejuruteraan sosial. Dalam contoh ini kami telah cuba menunjukkan pelbagai bentuk serangan dan akibatnya. Sebagai tambahan kepada surat, penyerang berpotensi boleh menghubungi untuk mendapatkan maklumat yang diperlukan, menyebarkan media (contohnya, pemacu kilat) dengan fail boleh laku di pejabat syarikat sasaran, mendapatkan pekerjaan sebagai pelatih, mendapatkan akses fizikal ke rangkaian tempatan bertopengkan pemasang kamera CCTV. Semua ini, secara kebetulan, adalah contoh daripada projek kami yang berjaya disiapkan.
Bahagian 3. Pengajaran adalah terang, tetapi yang tidak dipelajari adalah kegelapan
Soalan munasabah timbul: baik, okey, ada kejuruteraan sosial, ia kelihatan berbahaya, tetapi apa yang perlu dilakukan oleh syarikat mengenai semua ini? Kapten Obvious datang untuk menyelamatkan: anda perlu mempertahankan diri anda, dan secara menyeluruh. Sebahagian daripada perlindungan akan ditujukan kepada langkah-langkah keselamatan yang sudah klasik, seperti cara teknikal perlindungan maklumat, pemantauan, sokongan organisasi dan undang-undang proses, tetapi bahagian utama, pada pendapat kami, harus diarahkan untuk mengarahkan kerja dengan pekerja sebagai pautan paling lemah. Lagipun, tidak kira betapa anda mengukuhkan teknologi atau menulis peraturan yang keras, akan sentiasa ada pengguna yang akan menemui cara baharu untuk melanggar segala-galanya. Selain itu, peraturan mahupun teknologi tidak akan mengikuti perkembangan kreativiti pengguna, terutamanya jika dia digesa oleh penyerang yang berkelayakan.
Pertama sekali, adalah penting untuk melatih pengguna: jelaskan bahawa walaupun dalam kerja rutinnya, situasi yang berkaitan dengan kejuruteraan sosial mungkin timbul. Untuk pelanggan kami, kami sering menjalankan mengenai kebersihan digital - acara yang mengajar kemahiran asas untuk melawan serangan secara umum.
Saya boleh menambah bahawa salah satu langkah perlindungan terbaik bukanlah untuk menghafal peraturan keselamatan maklumat sama sekali, tetapi untuk menilai keadaan dengan cara yang agak terpisah:
- Siapa teman bicara saya?
- Dari mana datangnya cadangan atau permintaannya (ini tidak pernah berlaku sebelum ini, dan kini ia telah muncul)?
- Apakah yang luar biasa tentang permintaan ini?
Malah jenis fon surat yang luar biasa atau gaya pertuturan yang luar biasa untuk pengirim boleh mencetuskan rantaian keraguan yang akan menghentikan serangan. Arahan yang ditetapkan juga diperlukan, tetapi ia berfungsi secara berbeza dan tidak dapat menentukan semua situasi yang mungkin. Sebagai contoh, pentadbir keselamatan maklumat menulis di dalamnya bahawa anda tidak boleh memasukkan kata laluan anda pada sumber pihak ketiga. Bagaimana jika sumber rangkaian "anda", "korporat" meminta kata laluan? Pengguna berfikir: "Syarikat kami sudah mempunyai dua dozen perkhidmatan dengan satu akaun, mengapa tidak mempunyai satu lagi?" Ini membawa kepada peraturan lain: proses kerja yang tersusun dengan baik juga menjejaskan keselamatan secara langsung: jika jabatan jiran boleh meminta maklumat daripada anda hanya secara bertulis dan hanya melalui pengurus anda, seseorang "daripada rakan kongsi yang dipercayai syarikat" pastinya tidak akan boleh memintanya melalui telefon - ini untuk anda ia akan menjadi karut. Anda harus berhati-hati terutamanya jika lawan bicara anda menuntut untuk melakukan segala-galanya sekarang, atau "ASAP", kerana ia adalah bergaya untuk menulis. Walaupun dalam kerja biasa, keadaan ini selalunya tidak sihat, dan dalam menghadapi kemungkinan serangan, ia adalah pencetus yang kuat. Tiada masa untuk menjelaskan, jalankan fail saya!
Kami mendapati bahawa pengguna sentiasa disasarkan sebagai lagenda untuk serangan sosioteknikal dengan topik yang berkaitan dengan wang dalam satu bentuk atau yang lain: janji promosi, pilihan, hadiah, serta maklumat yang kononnya bergosip dan tipu daya tempatan. Dengan kata lain, "dosa maut" yang cetek sedang bekerja: dahagakan keuntungan, ketamakan dan rasa ingin tahu yang berlebihan.
Latihan yang baik hendaklah sentiasa merangkumi latihan. Di sinilah pakar ujian penembusan boleh datang untuk menyelamatkan. Soalan seterusnya ialah: apa dan bagaimana kita akan menguji? Kami di Group-IB mencadangkan pendekatan berikut: segera pilih fokus ujian: sama ada menilai kesediaan untuk serangan hanya pengguna itu sendiri, atau menyemak keselamatan syarikat secara keseluruhan. Dan uji menggunakan kaedah kejuruteraan sosial, mensimulasikan serangan sebenar - iaitu pancingan data yang sama, menghantar dokumen boleh laku, panggilan dan teknik lain.
Dalam kes pertama, serangan itu disediakan dengan teliti bersama-sama dengan wakil pelanggan, terutamanya dengan pakar IT dan keselamatan maklumatnya. Legenda, alatan dan teknik serangan adalah konsisten. Pelanggan sendiri menyediakan kumpulan fokus dan senarai pengguna untuk serangan, yang merangkumi semua kenalan yang diperlukan. Pengecualian dibuat berdasarkan langkah keselamatan, kerana mesej dan beban boleh laku mesti sampai kepada penerima, kerana dalam projek sedemikian hanya reaksi orang yang menarik. Secara pilihan, anda boleh memasukkan penanda dalam serangan, yang membolehkan pengguna meneka bahawa ini adalah serangan - contohnya, anda boleh membuat beberapa ralat ejaan dalam mesej atau meninggalkan ketidaktepatan dalam menyalin gaya korporat. Pada penghujung projek, "statistik kering" yang sama diperoleh: kumpulan fokus manakah yang bertindak balas terhadap senario dan sejauh mana.
Dalam kes kedua, serangan dilakukan dengan pengetahuan awal sifar, menggunakan kaedah "kotak hitam". Kami secara bebas mengumpul maklumat tentang syarikat, pekerjanya, perimeter rangkaian, mencipta legenda serangan, memilih kaedah, mencari kemungkinan langkah keselamatan yang digunakan dalam syarikat sasaran, menyesuaikan alat dan mencipta senario. Pakar kami menggunakan kedua-dua kaedah perisikan sumber terbuka klasik (OSINT) dan produk Kumpulan-IB sendiri - Perisikan Ancaman, sistem yang, apabila bersedia untuk pancingan data, boleh bertindak sebagai pengagregat maklumat tentang syarikat dalam tempoh yang panjang, termasuk maklumat terperingkat . Sudah tentu, supaya serangan itu tidak menjadi kejutan yang tidak menyenangkan, butirannya juga dipersetujui dengan pelanggan. Ia ternyata ujian penembusan sepenuhnya, tetapi ia akan berdasarkan kejuruteraan sosial lanjutan. Pilihan logik dalam kes ini adalah untuk membangunkan serangan dalam rangkaian, sehingga mendapatkan hak tertinggi dalam sistem dalaman. By the way, dengan cara yang sama kita menggunakan serangan sosioteknikal dalam , dan dalam beberapa ujian penembusan. Akibatnya, pelanggan akan menerima visi komprehensif bebas tentang keselamatan mereka terhadap jenis serangan sosioteknikal tertentu, serta demonstrasi keberkesanan (atau, sebaliknya, ketidakberkesanan) barisan pertahanan yang dibina terhadap ancaman luar.
Kami mengesyorkan menjalankan latihan ini sekurang-kurangnya dua kali setahun. Pertama, di mana-mana syarikat terdapat pusing ganti kakitangan dan pengalaman terdahulu secara beransur-ansur dilupakan oleh pekerja. Kedua, kaedah dan teknik serangan sentiasa berubah dan ini membawa kepada keperluan untuk menyesuaikan proses keselamatan dan alat perlindungan.
Jika kita bercakap tentang langkah teknikal untuk melindungi daripada serangan, perkara berikut paling membantu:
- Kehadiran pengesahan dua faktor mandatori pada perkhidmatan yang diterbitkan di Internet. Untuk mengeluarkan perkhidmatan sedemikian pada tahun 2019 tanpa sistem Single Sign On, tanpa perlindungan terhadap kekerasan kata laluan dan tanpa pengesahan dua faktor dalam syarikat yang mempunyai beberapa ratus orang adalah sama dengan panggilan terbuka untuk "memecahkan saya." Perlindungan yang dilaksanakan dengan betul akan menjadikan penggunaan pantas kata laluan yang dicuri mustahil dan akan memberi masa untuk menghapuskan akibat serangan pancingan data.
- Mengawal kawalan akses, meminimumkan hak pengguna dalam sistem, dan mengikut garis panduan untuk konfigurasi produk selamat yang dikeluarkan oleh setiap pengeluar utama. Ini sering bersifat mudah, tetapi sangat berkesan dan sukar untuk melaksanakan langkah-langkah, yang setiap orang, pada satu tahap atau yang lain, diabaikan demi kelajuan. Dan sesetengahnya sangat diperlukan sehingga tanpa mereka tiada cara perlindungan akan menyelamatkan.
- Talian penapisan e-mel yang dibina dengan baik. Antispam, pengimbasan jumlah lampiran untuk kod berniat jahat, termasuk ujian dinamik melalui kotak pasir. Serangan yang disediakan dengan baik bermakna lampiran boleh laku tidak akan dikesan oleh alat antivirus. Kotak pasir, sebaliknya, akan menguji segala-galanya untuk dirinya sendiri, menggunakan fail dengan cara yang sama seperti seseorang menggunakannya. Akibatnya, kemungkinan komponen berniat jahat akan didedahkan melalui perubahan yang dibuat di dalam kotak pasir.
- Cara perlindungan terhadap serangan yang disasarkan. Seperti yang telah dinyatakan, alat antivirus klasik tidak akan mengesan fail berniat jahat sekiranya berlaku serangan yang disediakan dengan baik. Produk yang paling maju harus memantau secara automatik keseluruhan peristiwa yang berlaku pada rangkaian - kedua-duanya pada tahap hos individu dan pada tahap trafik dalam rangkaian. Dalam kes serangan, rangkaian peristiwa yang sangat ciri muncul yang boleh dijejaki dan dihentikan jika anda memfokuskan pemantauan pada peristiwa seumpama ini.
Artikel asal dalam majalah βKeselamatan Maklumat/ Keselamatan Maklumatβ #6, 2019.
Sumber: www.habr.com