Stel je deze situatie voor. Koude oktoberochtend, ontwerpinstituut in het regionale centrum van een van de regio's van Rusland. Iemand van de HR-afdeling gaat naar een van de vacaturepagina’s op de website van het instituut, die een paar dagen geleden is geplaatst, en ziet daar een foto van een kat. De ochtend is al snel niet meer saai...
In dit artikel vertelt Pavel Suprunyuk, technisch hoofd van de audit- en adviesafdeling bij Group-IB, over de plaats van sociotechnische aanvallen in projecten die de praktische veiligheid beoordelen, welke ongebruikelijke vormen ze kunnen aannemen en hoe je je tegen dergelijke aanvallen kunt beschermen. De auteur verduidelijkt dat het artikel een recensie-karakter heeft, maar als er een aspect is dat de lezers interesseert, zullen de experts van Group-IB de vragen graag beantwoorden in de commentaren.
Deel 1. Waarom zo serieus?
Laten we terugkeren naar onze kat. Na enige tijd verwijdert de HR-afdeling de foto (de schermafbeeldingen hier en hieronder zijn gedeeltelijk geretoucheerd om de echte namen niet te onthullen), maar deze komt koppig terug, deze wordt opnieuw verwijderd en dit gebeurt nog een paar keer. De HR-afdeling begrijpt dat de kat de meest serieuze bedoelingen heeft, hij wil niet weggaan, en ze roepen de hulp in van een webprogrammeur - iemand die de site heeft gemaakt en begrijpt, en deze nu beheert. De programmeur gaat naar de site, verwijdert opnieuw de vervelende kat, ontdekt dat deze namens de HR-afdeling zelf is gepost, gaat er vervolgens van uit dat het wachtwoord van de HR-afdeling naar een aantal online hooligans is gelekt, en verandert het. De kat verschijnt niet meer.
Wat er echt is gebeurd? Met betrekking tot de groep bedrijven waartoe het instituut behoorde, voerden specialisten van Group-IB penetratietesten uit in een format dat dicht bij Red Teaming lag (met andere woorden, dit is een imitatie van gerichte aanvallen op uw bedrijf met behulp van de meest geavanceerde methoden en hulpmiddelen van de arsenaal aan hackergroepen). We hebben uitgebreid gesproken over Red Teaming . Belangrijk om te weten is dat bij het uitvoeren van een dergelijke test een zeer breed scala aan vooraf afgesproken aanvallen kan worden ingezet, waaronder social engineering. Het is duidelijk dat de plaatsing van de kat zelf niet het uiteindelijke doel was van wat er gebeurde. En er stond het volgende:
- de website van het instituut werd gehost op een server binnen het netwerk van het instituut zelf, en niet op servers van derden;
- Er is een lek gevonden in het account van de HR-afdeling (het e-maillogbestand bevindt zich in de hoofdmap van de site). Met dit account was het onmogelijk om de site te beheren, maar het was wel mogelijk om vacaturepagina's te bewerken;
- Door de pagina's te wijzigen, kunt u uw scripts in JavaScript plaatsen. Meestal maken ze pagina's interactief, maar in deze situatie kunnen dezelfde scripts uit de browser van de bezoeker stelen, wat de HR-afdeling onderscheidt van de programmeur, en de programmeur van een eenvoudige bezoeker: de sessie-identificatie op de site. De kat was een aanvalstrigger en een afbeelding om de aandacht te trekken. In de opmaaktaal van de HTML-website zag het er zo uit: als uw afbeelding is geladen, is JavaScript al uitgevoerd en is uw sessie-ID, samen met gegevens over uw browser en IP-adres, al gestolen.
- Met een gestolen beheerderssessie-ID zou het mogelijk zijn om volledige toegang te krijgen tot de site, uitvoerbare pagina's in PHP te hosten en daardoor toegang te krijgen tot het besturingssysteem van de server, en vervolgens tot het lokale netwerk zelf, wat een belangrijk tussendoel was van het project.
De aanval was gedeeltelijk succesvol: de sessie-ID van de beheerder werd gestolen, maar was gekoppeld aan een IP-adres. We konden hier niet omheen; we konden onze siterechten niet verhogen naar beheerdersrechten, maar we verbeterden wel ons humeur. Het eindresultaat werd uiteindelijk verkregen in een ander deel van de netwerkperimeter.
Deel 2. Ik schrijf je - wat nog meer? Ik bel ook en blijf rondhangen in uw kantoor, terwijl ik flashdrives laat vallen.
Wat er in de situatie met de kat gebeurde, is een voorbeeld van social engineering, zij het niet helemaal klassiek. In feite waren er meer gebeurtenissen in dit verhaal: er was een kat, en een instituut, en een personeelsafdeling, en een programmeur, maar er waren ook e-mails met verhelderende vragen die zogenaamd 'kandidaten' naar de personeelsafdeling zelf en persoonlijk schreven naar de programmeur om hem te provoceren om naar de sitepagina te gaan.
Over brieven gesproken. Gewone e-mail, waarschijnlijk het belangrijkste middel voor het uitvoeren van social engineering, heeft zijn relevantie al enkele decennia niet verloren en leidt soms tot de meest ongebruikelijke gevolgen.
Op onze evenementen vertellen we vaak het volgende verhaal, omdat het heel onthullend is.
Meestal stellen we op basis van de resultaten van social engineering-projecten statistieken samen, die, zoals we weten, droog en saai zijn. Zoveel procent van de ontvangers heeft de bijlage van de brief geopend, zoveel mensen hebben de link gevolgd, maar deze drie hebben daadwerkelijk hun gebruikersnaam en wachtwoord ingevoerd. In één project ontvingen we meer dan 100% van de ingevoerde wachtwoorden, dat wil zeggen dat er meer uitkwamen dan we stuurden.
Het gebeurde als volgt: er werd een phishing-brief verzonden, zogenaamd van de CISO van een staatsbedrijf, met de eis om ‘wijzigingen in de postdienst dringend te testen’. De brief bereikte het hoofd van een grote afdeling die zich bezighield met technische ondersteuning. De manager was zeer ijverig in het uitvoeren van instructies van hoge autoriteiten en stuurde deze door naar alle ondergeschikten. Het callcenter zelf bleek behoorlijk groot te zijn. Over het algemeen komen situaties waarin iemand ‘interessante’ phishing-e-mails doorstuurt naar zijn collega’s en zij ook worden betrapt, vrij vaak voor. Voor ons is dit de beste feedback over de kwaliteit van het schrijven van een brief.
Even later ontdekten ze ons (de brief werd in een gecompromitteerde brievenbus geplaatst):
Het succes van de aanval was te danken aan het feit dat bij de mailing gebruik werd gemaakt van een aantal technische tekortkomingen in het mailsysteem van de klant. Het was zo geconfigureerd dat het mogelijk was om zonder toestemming brieven te verzenden namens elke afzender van de organisatie zelf, zelfs vanaf internet. Dat wil zeggen dat u zich kunt voordoen als een CISO, of als hoofd van de technische ondersteuning, of als iemand anders. Bovendien heeft de mailinterface, die brieven uit "zijn" domein observeerde, zorgvuldig een foto uit het adresboek ingevoegd, wat de afzender natuurlijker maakte.
In werkelijkheid is een dergelijke aanval geen bijzonder complexe technologie; het is een succesvolle exploitatie van een zeer fundamentele fout in de e-mailinstellingen. Het wordt regelmatig beoordeeld op gespecialiseerde IT- en informatiebeveiligingsbronnen, maar toch zijn er nog steeds bedrijven die dit allemaal aanwezig hebben. Omdat niemand geneigd is om de serviceheaders van het SMTP-mailprotocol grondig te controleren, wordt een brief meestal op ‘gevaar’ gecontroleerd met behulp van waarschuwingspictogrammen in de mailinterface, die niet altijd het hele plaatje weergeven.
Interessant genoeg werkt een soortgelijke kwetsbaarheid ook in de andere richting: een aanvaller kan namens uw bedrijf een e-mail sturen naar een externe ontvanger. Hij kan bijvoorbeeld namens u een factuur voor periodieke betaling vervalsen, waarbij hij andere gegevens vermeldt dan die van u. Afgezien van problemen met fraudebestrijding en uitbetaling, is dit waarschijnlijk een van de gemakkelijkste manieren om geld te stelen via social engineering.
Naast het stelen van wachtwoorden via phishing, is een klassieke sociotechnische aanval het verzenden van uitvoerbare bijlagen. Als deze investeringen alle veiligheidsmaatregelen overwinnen, waarvan moderne bedrijven er meestal veel hebben, zal er een kanaal voor externe toegang tot de computer van het slachtoffer worden gecreëerd. Om de gevolgen van de aanval aan te tonen, kan de resulterende afstandsbediening worden ontwikkeld voor toegang tot bijzonder belangrijke vertrouwelijke informatie. Het is opmerkelijk dat de overgrote meerderheid van de aanvallen die de media gebruiken om iedereen bang te maken precies zo beginnen.
Op onze auditafdeling berekenen we voor de lol geschatte statistieken: wat is de totale waarde van de activa van bedrijven waartoe we domeinbeheerderstoegang hebben verkregen, voornamelijk door phishing en het verzenden van uitvoerbare bijlagen? Dit jaar bedroeg het ongeveer 150 miljard euro.
Het is duidelijk dat het verzenden van provocerende e-mails en het plaatsen van foto's van katten op websites niet de enige methoden van social engineering zijn. In deze voorbeelden hebben we geprobeerd de verscheidenheid aan aanvalsvormen en hun gevolgen te laten zien. Naast brieven kan een potentiële aanvaller bellen om de nodige informatie te verkrijgen, media (bijvoorbeeld flashdrives) met uitvoerbare bestanden verspreiden in het kantoor van het doelbedrijf, een baan krijgen als stagiair, fysieke toegang krijgen tot het lokale netwerk onder het mom van een CCTV-camera-installateur. Dit zijn overigens allemaal voorbeelden uit onze succesvol afgeronde projecten.
Deel 3. Lesgeven is licht, maar het ongeleerde is duisternis
Er rijst een redelijke vraag: oké, er is sprake van social engineering, het ziet er gevaarlijk uit, maar wat moeten bedrijven hieraan doen? Kapitein Duidelijk komt te hulp: je moet jezelf verdedigen, en op een alomvattende manier. Een deel van de bescherming zal gericht zijn op reeds klassieke beveiligingsmaatregelen, zoals technische middelen voor informatiebescherming, monitoring, organisatorische en juridische ondersteuning van processen, maar het grootste deel zou naar onze mening gericht moeten zijn op directe samenwerking met werknemers als zwakste schakel. Hoezeer je de technologie ook versterkt of strenge regelgeving schrijft, er zal altijd een gebruiker zijn die een nieuwe manier ontdekt om alles te breken. Bovendien kunnen noch de regelgeving, noch de technologie de vlucht van de creativiteit van de gebruiker bijhouden, vooral als hij daartoe wordt aangezet door een gekwalificeerde aanvaller.
Allereerst is het belangrijk om de gebruiker te trainen: leg uit dat er zelfs in zijn routinewerk situaties kunnen ontstaan die verband houden met social engineering. Voor onze opdrachtgevers voeren wij vaak over digitale hygiëne: een evenement dat basisvaardigheden leert om aanvallen in het algemeen tegen te gaan.
Ik kan hieraan toevoegen dat een van de beste beschermingsmaatregelen niet zou zijn om informatiebeveiligingsregels uit het hoofd te leren, maar om de situatie op een enigszins afstandelijke manier te beoordelen:
- Wie is mijn gesprekspartner?
- Waar kwam zijn voorstel of verzoek vandaan (dit is nog nooit eerder gebeurd en nu is het verschenen)?
- Wat is er ongebruikelijk aan dit verzoek?
Zelfs een ongebruikelijk lettertype of een stijl van spreken die ongebruikelijk is voor de afzender kan een ketting van twijfel veroorzaken die een aanval zal stoppen. Er zijn ook voorgeschreven instructies nodig, maar die werken anders en kunnen niet alle mogelijke situaties specificeren. Informatiebeveiligingsbeheerders schrijven er bijvoorbeeld in dat u uw wachtwoord niet kunt invoeren op bronnen van derden. Wat als “uw”, “bedrijfs” netwerkbron om een wachtwoord vraagt? De gebruiker denkt: “Ons bedrijf heeft al twee dozijn diensten met één account, waarom zouden we er niet nog een nemen?” Dit leidt tot een andere regel: een goed gestructureerd werkproces heeft ook direct invloed op de veiligheid: als een naburige afdeling alleen schriftelijk en alleen via uw manager informatie bij u kan opvragen, zal een persoon “van een vertrouwde partner van het bedrijf” zeker niet worden in staat om het telefonisch aan te vragen - dit is voor jou onzin. U moet vooral op uw hoede zijn als uw gesprekspartner eist dat hij alles nu meteen doet, of 'zo snel mogelijk', zoals het in de mode is om te schrijven. Zelfs bij normaal werk is deze situatie vaak niet gezond, en bij mogelijke aanvallen is het een sterke trigger. Geen tijd om het uit te leggen, voer mijn dossier uit!
We merken dat gebruikers altijd het doelwit zijn van legendes voor een sociotechnische aanval door onderwerpen die in een of andere vorm met geld te maken hebben: beloften van promoties, voorkeuren, geschenken, maar ook informatie met zogenaamd lokale roddels en intriges. Met andere woorden, de banale ‘hoofdzonden’ zijn aan het werk: dorst naar winst, hebzucht en buitensporige nieuwsgierigheid.
Goede training moet altijd praktijk omvatten. Dit is waar penetratietestexperts te hulp kunnen komen. De volgende vraag is: wat en hoe gaan we testen? Wij bij Group-IB stellen de volgende aanpak voor: kies onmiddellijk de focus van het testen: beoordeel óf alleen de paraatheid voor aanvallen van de gebruikers zelf, óf controleer de veiligheid van het bedrijf als geheel. En test het gebruik van social engineering-methoden, waarbij echte aanvallen worden gesimuleerd - dat wil zeggen dezelfde phishing, het verzenden van uitvoerbare documenten, oproepen en andere technieken.
In het eerste geval wordt de aanval zorgvuldig voorbereid samen met vertegenwoordigers van de klant, voornamelijk met zijn IT- en informatiebeveiligingsspecialisten. Legendes, tools en aanvalstechnieken zijn consistent. De klant zorgt zelf voor focusgroepen en lijsten met gebruikers voor aanval, waarop alle benodigde contacten staan. Er worden uitzonderingen gemaakt op het gebied van veiligheidsmaatregelen, omdat berichten en uitvoerbare bestanden de ontvanger moeten bereiken, omdat in een dergelijk project alleen de reacties van mensen van belang zijn. Optioneel kunt u markeringen in de aanval opnemen, waardoor de gebruiker kan raden dat het om een aanval gaat. Zo kunt u bijvoorbeeld enkele spelfouten in berichten maken of onnauwkeurigheden achterlaten bij het overnemen van de huisstijl. Aan het einde van het project worden dezelfde ‘droge statistieken’ verkregen: welke focusgroepen op de scenario’s hebben gereageerd en in welke mate.
In het tweede geval wordt de aanval uitgevoerd zonder enige initiële kennis, met behulp van de ‘black box’-methode. We verzamelen onafhankelijk informatie over het bedrijf, zijn werknemers en de netwerkperimeter, creëren aanvalslegenda's, selecteren methoden, zoeken naar mogelijke beveiligingsmaatregelen die in het doelbedrijf worden gebruikt, passen tools aan en creëren scenario's. Onze specialisten maken gebruik van zowel klassieke open source intelligence (OSINT)-methoden als het eigen product van Group-IB: Threat Intelligence, een systeem dat, bij de voorbereiding op phishing, gedurende een lange periode kan fungeren als aggregator van informatie over een bedrijf, inclusief geheime informatie. Om te voorkomen dat de aanval een onaangename verrassing wordt, worden de details uiteraard ook met de klant afgestemd. Het blijkt een volwaardige penetratietest te zijn, maar deze zal gebaseerd zijn op geavanceerde social engineering. De logische optie is in dit geval het ontwikkelen van een aanval binnen het netwerk, tot het verkrijgen van de hoogste rechten in interne systemen. Trouwens, op een vergelijkbare manier gebruiken we sociotechnische aanvallen , en in sommige penetratietests. Als gevolg hiervan krijgt de klant een onafhankelijke, alomvattende visie op zijn veiligheid tegen een bepaald type sociotechnische aanvallen, evenals een demonstratie van de effectiviteit (of, omgekeerd, ineffectiviteit) van de ingebouwde verdedigingslinie tegen externe bedreigingen.
Wij raden aan deze training minimaal tweemaal per jaar te geven. Ten eerste is er in elk bedrijf sprake van personeelsverloop en worden eerdere ervaringen geleidelijk door de werknemers vergeten. Ten tweede veranderen de aanvalsmethoden en -technieken voortdurend en dit leidt tot de noodzaak om beveiligingsprocessen en beschermingsinstrumenten aan te passen.
Als we het hebben over technische maatregelen ter bescherming tegen aanvallen, helpen de volgende het meest:
- De aanwezigheid van verplichte tweefactorauthenticatie op diensten die op internet zijn gepubliceerd. Om dergelijke diensten in 2019 uit te brengen zonder Single Sign On-systemen, zonder bescherming tegen brute kracht van wachtwoorden en zonder tweefactorauthenticatie in een bedrijf van enkele honderden mensen, komt neer op een open oproep om ‘mij te breken’. Een goed geïmplementeerde beveiliging maakt het snelle gebruik van gestolen wachtwoorden onmogelijk en geeft tijd om de gevolgen van een phishing-aanval te elimineren.
- Het controleren van de toegangscontrole, het minimaliseren van gebruikersrechten in systemen en het volgen van de richtlijnen voor veilige productconfiguratie die door elke grote fabrikant zijn vrijgegeven. Deze zijn vaak eenvoudig van aard, maar zeer effectief en lastig uit te voeren maatregelen, die iedereen ter wille van de snelheid in meer of mindere mate verwaarloost. En sommige zijn zo noodzakelijk dat zonder hen geen enkel beschermingsmiddel zal redden.
- Goed gebouwde e-mailfilterlijn. Antispam, totale scan van bijlagen op kwaadaardige code, inclusief dynamisch testen via sandboxen. Een goed voorbereide aanval betekent dat de uitvoerbare bijlage niet wordt gedetecteerd door antivirusprogramma's. De sandbox daarentegen zal alles zelf testen en bestanden gebruiken op dezelfde manier als iemand ze gebruikt. Als gevolg hiervan wordt een mogelijk kwaadaardig onderdeel onthuld door wijzigingen die in de sandbox worden aangebracht.
- Beschermingsmiddelen tegen gerichte aanvallen. Zoals reeds opgemerkt zullen klassieke antivirustools bij een goed voorbereide aanval geen kwaadaardige bestanden detecteren. De meest geavanceerde producten moeten automatisch het geheel van gebeurtenissen die op het netwerk plaatsvinden monitoren - zowel op het niveau van een individuele host als op het niveau van het verkeer binnen het netwerk. Bij aanvallen verschijnen zeer karakteristieke ketens van gebeurtenissen die kunnen worden gevolgd en gestopt als je monitoring gericht is op dit soort gebeurtenissen.
Origineel artikel in het tijdschrift “Informatiebeveiliging/ Informatiebeveiliging” #6, 2019.
Bron: www.habr.com