Wyobraź sobie tę sytuację. Zimny październikowy poranek, instytut projektowy w regionalnym centrum jednego z regionów Rosji. Ktoś z działu HR wchodzi na jedną z zamieszczonych kilka dni temu stron z ofertami pracy na stronie internetowej instytutu i widzi tam zdjęcie kota. Poranek szybko przestaje być nudny...
W artykule Pavel Suprunyuk, kierownik techniczny działu audytu i doradztwa w Group-IB, opowiada o miejscu ataków socjotechnicznych w projektach oceniających bezpieczeństwo praktyczne, o tym, jakie nietypowe formy mogą one przybierać i jak się przed nimi chronić. Autor wyjaśnia, że artykuł ma charakter recenzyjny, jeżeli jednak jakiś aspekt zainteresuje czytelników, eksperci Grupy-IB chętnie odpowiedzą na pytania w komentarzach.
Część 1. Dlaczego tak poważnie?
Wróćmy do naszego kota. Po pewnym czasie dział HR usuwa zdjęcie (zrzuty ekranu tutaj i poniżej są częściowo wyretuszowane, aby nie ujawniać prawdziwych nazwisk), ale uparcie wraca, jest ponownie usuwane i dzieje się to jeszcze kilka razy. Dział HR rozumie, że kot ma najpoważniejsze intencje, nie chce odejść, dlatego zwraca się o pomoc do programisty internetowego – osoby, która stworzyła witrynę i ją rozumie, a teraz nią administruje. Programista wchodzi na stronę, ponownie usuwa irytującego kota, dowiaduje się, że został on zamieszczony w imieniu samego działu HR, po czym zakłada, że hasło działu HR wyciekło do jakichś internetowych chuliganów i zmienia je. Kot już się nie pojawia.
Co się naprawdę stało? W stosunku do grupy firm, do której należał instytut, specjaliści Group-IB przeprowadzili testy penetracyjne w formacie zbliżonym do Red Teaming (innymi słowy jest to imitacja ataków ukierunkowanych na Twoją firmę przy użyciu najbardziej zaawansowanych metod i narzędzi z branży arsenał grup hakerskich). Rozmawialiśmy szczegółowo o Red Teaming . Warto wiedzieć, że przeprowadzając taki test, można zastosować bardzo szeroką gamę wcześniej uzgodnionych ataków, w tym socjotechnikę. Oczywiste jest, że samo umieszczenie kota nie było ostatecznym celem tego, co się działo. A było co następuje:
- strona internetowa instytutu była hostowana na serwerze znajdującym się w sieci samego instytutu, a nie na serwerach stron trzecich;
- Stwierdzono wyciek na koncie działu HR (plik dziennika poczty e-mail znajduje się w katalogu głównym witryny). Z tego konta nie można było administrować stroną, ale można było edytować strony z ofertami pracy;
- Zmieniając strony, możesz umieścić swoje skrypty w JavaScript. Zwykle czynią strony interaktywnymi, ale w tej sytuacji te same skrypty mogłyby ukraść przeglądarkę odwiedzającego, co odróżnia dział HR od programisty, a programistę od zwykłego odwiedzającego – identyfikator sesji na stronie. Kot był wyzwalaczem ataku i obrazem przyciągającym uwagę. W języku znaczników stron HTML wyglądało to tak: jeśli Twój obraz się załadował, JavaScript został już wykonany, a Twój identyfikator sesji wraz z danymi o przeglądarce i adresie IP został już skradziony.
- Dzięki skradzionemu identyfikatorowi sesji administratora możliwe byłoby uzyskanie pełnego dostępu do serwisu, hostowanie stron wykonywalnych w PHP, a co za tym idzie uzyskanie dostępu do systemu operacyjnego serwera, a następnie do samej sieci lokalnej, co było ważnym celem pośrednim projekt.
Atak był częściowo udany: skradziono identyfikator sesji administratora, ale był on powiązany z adresem IP. Nie mogliśmy tego obejść; nie mogliśmy podnieść uprawnień naszej witryny do uprawnień administratora, ale poprawiliśmy nasz nastrój. Ostateczny wynik uzyskano ostatecznie w innym odcinku obwodu sieci.
Część 2. Piszę do Ciebie – co jeszcze? Dzwonię też i kręcę się po twoim biurze, upuszczając dyski flash.
To, co wydarzyło się w sytuacji z kotem, jest przykładem socjotechniki, choć nie do końca klasycznej. Tak naprawdę wydarzeń w tej historii było więcej: był kot, instytut, dział personalny i programista, ale były też e-maile z pytaniami wyjaśniającymi, które rzekomo „kandydaci” pisali do samego działu personalnego i osobiście do programisty w celu sprowokowania go do przejścia na stronę serwisu.
Skoro mowa o literach. Zwykły e-mail, prawdopodobnie główne narzędzie socjotechniki, od kilkudziesięciu lat nie stracił na aktualności i czasami prowadzi do najbardziej niezwykłych konsekwencji.
Często na naszych wydarzeniach opowiadamy następującą historię, ponieważ jest ona bardzo odkrywcza.
Zazwyczaj na podstawie wyników projektów socjotechnicznych sporządzamy statystyki, które jak wiemy są rzeczą suchą i nudną. Tak wiele procent odbiorców otworzyło załącznik z listu, tak wielu kliknęło link, ale ci trzej faktycznie wprowadzili swoją nazwę użytkownika i hasło. W jednym projekcie otrzymaliśmy ponad 100% wprowadzonych haseł – czyli więcej wyszło, niż wysłaliśmy.
Stało się tak: wysłano list phishingowy, rzekomo od CISO państwowej korporacji, z żądaniem „pilnego przetestowania zmian w usłudze pocztowej”. List dotarł do szefa dużego działu zajmującego się wsparciem technicznym. Kierownik bardzo sumiennie wykonywał polecenia wysokich władz i przekazywał je wszystkim podwładnym. Samo call center okazało się dość duże. Ogólnie rzecz biorąc, sytuacje, w których ktoś przekazuje swoim współpracownikom „interesujące” e-maile phishingowe i on również zostaje złapany, są dość częstym zjawiskiem. Dla nas jest to najlepsza opinia na temat jakości napisania listu.
Nieco później dowiedzieli się o nas (list został zabrany do skompromitowanej skrzynki pocztowej):
Sukces ataku wynikał z faktu, że mailing wykorzystywał szereg usterek technicznych w systemie pocztowym klienta. Został skonfigurowany w taki sposób, aby możliwe było wysyłanie dowolnych listów w imieniu dowolnego nadawcy samej organizacji bez autoryzacji, nawet z Internetu. Oznacza to, że możesz udawać CISO, szefa wsparcia technicznego lub kogoś innego. Co więcej, interfejs pocztowy obserwując listy ze „swojej” domeny, starannie wstawiał zdjęcie z książki adresowej, co dodawało nadawcy naturalności.
Tak naprawdę taki atak nie jest szczególnie złożoną technologią; jest to udane wykorzystanie bardzo podstawowej luki w ustawieniach poczty. Jest regularnie przeglądany pod kątem wyspecjalizowanych zasobów IT i bezpieczeństwa informacji, ale mimo to wciąż istnieją firmy, które mają to wszystko. Ponieważ nikt nie ma ochoty dokładnie sprawdzać nagłówków usług protokołu pocztowego SMTP, list jest zwykle sprawdzany pod kątem „niebezpieczeństwa” za pomocą ikon ostrzegawczych w interfejsie poczty, które nie zawsze wyświetlają cały obraz.
Co ciekawe, podobna luka działa również w drugą stronę: osoba atakująca może wysłać wiadomość e-mail w imieniu Twojej firmy do zewnętrznego odbiorcy. Może na przykład sfałszować w Twoim imieniu fakturę za regularną płatność, podając inne dane zamiast Twoich. Oprócz kwestii związanych ze zwalczaniem oszustw i wypłatą pieniędzy, jest to prawdopodobnie jeden z najłatwiejszych sposobów kradzieży pieniędzy za pomocą inżynierii społecznej.
Oprócz kradzieży haseł poprzez phishing, klasyczny atak socjotechniczny polega na wysyłaniu wykonywalnych załączników. Jeśli te inwestycje przezwyciężą wszelkie zabezpieczenia, których współczesne firmy zwykle posiadają wiele, do komputera ofiary zostanie utworzony kanał zdalnego dostępu. Aby zademonstrować skutki ataku, powstały pilot można rozbudować o dostęp do szczególnie ważnych poufnych informacji. Warto zauważyć, że zdecydowana większość ataków stosowanych przez media w celu zastraszenia wszystkich zaczyna się właśnie w ten sposób.
W naszym dziale audytu dla zabawy wyliczamy przybliżone statystyki: jaka jest łączna wartość aktywów firm, do których uzyskaliśmy dostęp Administratora Domeny, głównie poprzez phishing i wysyłanie załączników wykonywalnych? W tym roku sięgnęła ona około 150 miliardów euro.
Oczywiste jest, że wysyłanie prowokacyjnych e-maili i umieszczanie zdjęć kotów na stronach internetowych to nie jedyne metody inżynierii społecznej. Na tych przykładach staraliśmy się pokazać różnorodność form ataku i ich konsekwencje. Oprócz listów potencjalny atakujący może zadzwonić w celu uzyskania niezbędnych informacji, rozrzucić nośniki (na przykład dyski flash) z plikami wykonywalnymi w biurze docelowej firmy, zdobyć pracę jako stażysta, uzyskać fizyczny dostęp do sieci lokalnej pod przykrywką instalatora kamer CCTV. Nawiasem mówiąc, to wszystko są przykłady z naszych pomyślnie zrealizowanych projektów.
Część 3. Nauczanie jest światłem, ale niewykształceni jest ciemnością
Rodzi się rozsądne pytanie: no cóż, jest socjotechnika, wygląda to niebezpiecznie, ale co firmy powinny z tym wszystkim zrobić? Z pomocą przychodzi Kapitan Oczywisty: trzeba się bronić i to kompleksowo. Część ochrony będzie ukierunkowana na klasyczne już środki bezpieczeństwa, takie jak techniczne środki ochrony informacji, monitorowanie, organizacyjne i prawne wsparcie procesów, jednak główna część naszym zdaniem powinna być skierowana na bezpośrednią pracę z pracownikami jako najsłabsze ogniwo. W końcu niezależnie od tego, jak bardzo wzmocnisz technologię lub napiszesz surowe przepisy, zawsze znajdzie się użytkownik, który odkryje nowy sposób na zepsucie wszystkiego. Co więcej, ani przepisy, ani technologia nie nadążą za lotem kreatywności użytkownika, zwłaszcza jeśli zostanie on poproszony przez wykwalifikowanego atakującego.
Przede wszystkim ważne jest przeszkolenie użytkownika: wyjaśnij, że nawet w jego rutynowej pracy mogą pojawić się sytuacje związane z inżynierią społeczną. Dla naszych klientów często prowadzimy o higienie cyfrowej – wydarzenie uczące podstawowych umiejętności przeciwdziałania atakom w ogóle.
Dodam, że jednym z najlepszych zabezpieczeń nie byłoby w ogóle zapamiętywanie zasad bezpieczeństwa informacji, ale ocena sytuacji z lekkim dystansem:
- Kto jest moim rozmówcą?
- Skąd wzięła się jego propozycja lub prośba (nigdy wcześniej się to nie zdarzyło, a teraz się pojawiło)?
- Co jest niezwykłego w tej prośbie?
Nawet nietypowy rodzaj czcionki lub styl wypowiedzi nietypowy dla nadawcy może wywołać łańcuch wątpliwości, który powstrzyma atak. Potrzebne są również przepisane instrukcje, ale działają one inaczej i nie mogą określić wszystkich możliwych sytuacji. Na przykład administratorzy bezpieczeństwa informacji piszą w nich, że nie można wprowadzać hasła na zasobach obcych. Co się stanie, jeśli „twój”, „korporacyjny” zasób sieciowy poprosi o hasło? Użytkownik myśli: „Nasza firma ma już dwadzieścia usług na jednym koncie, dlaczego nie mieć kolejnego?” Prowadzi to do kolejnej zasady: dobrze zorganizowany proces pracy wpływa także bezpośrednio na bezpieczeństwo: jeśli sąsiedni dział może żądać od Ciebie informacji tylko pisemnie i tylko za pośrednictwem Twojego menadżera, to osoba „z zaufanego partnera firmy” na pewno nie będzie możesz poprosić o to telefonicznie - dla ciebie to będzie bzdura. Zachowaj szczególną ostrożność, jeśli Twój rozmówca żąda zrobienia wszystkiego od razu, czyli „jak najszybciej”, jak to się modnie pisze. Nawet w normalnej pracy taka sytuacja często nie jest zdrowa, a w obliczu ewentualnych ataków jest silnym wyzwalaczem. Nie ma czasu na wyjaśnienia, uruchom mój plik!
Zauważamy, że użytkownicy są zawsze celem ataków socjotechnicznych jako legendy z tematów związanych z pieniędzmi w takiej czy innej formie: obietnice promocji, preferencji, prezentów, a także informacje zawierające rzekomo lokalne plotki i intrygi. Inaczej mówiąc, działają banalne „grzechy główne”: żądza zysku, chciwość i nadmierna ciekawość.
Dobry trening powinien zawsze obejmować praktykę. Tutaj na ratunek mogą przyjść eksperci od testów penetracyjnych. Kolejne pytanie brzmi: co i jak będziemy testować? W Group-IB proponujemy następujące podejście: natychmiast wybierz cel testów: albo oceń gotowość do ataków tylko samych użytkowników, albo sprawdź bezpieczeństwo firmy jako całości. I przetestuj, używając metod socjotechniki, symulując prawdziwe ataki - czyli ten sam phishing, wysyłanie dokumentów wykonywalnych, połączenia i inne techniki.
W pierwszym przypadku atak jest starannie przygotowany wspólnie z przedstawicielami klienta, głównie ze specjalistami z zakresu IT i bezpieczeństwa informacji. Legendy, narzędzia i techniki ataku są spójne. Klient sam udostępnia grupy fokusowe i listy użytkowników do ataku, które zawierają wszystkie niezbędne kontakty. Tworzone są wyjątki dotyczące środków bezpieczeństwa, ponieważ wiadomości i pliki wykonywalne muszą dotrzeć do odbiorcy, ponieważ w takim projekcie interesujące są tylko reakcje ludzi. Opcjonalnie w ataku możesz uwzględnić znaczniki, po których użytkownik będzie mógł odgadnąć, że jest to atak - możesz na przykład popełnić kilka błędów ortograficznych w wiadomościach lub pozostawić nieścisłości w kopiowaniu stylu korporacyjnego. Na koniec projektu uzyskuje się te same „suche statystyki”: które grupy fokusowe odpowiedziały na scenariusze i w jakim stopniu.
W drugim przypadku atak przeprowadzany jest z zerową wiedzą wstępną, metodą „czarnej skrzynki”. Samodzielnie zbieramy informacje o firmie, jej pracownikach, obwodzie sieci, tworzymy legendy ataków, dobieramy metody, szukamy możliwych zabezpieczeń zastosowanych w docelowej firmie, dostosowujemy narzędzia i tworzymy scenariusze. Nasi specjaliści korzystają zarówno z klasycznych metod wywiadu typu open source (OSINT), jak i z autorskiego produktu Group-IB – Threat Intelligence, systemu, który przygotowując się do phishingu, może przez długi czas pełnić rolę agregatora informacji o firmie, w tym informacji niejawnych. Oczywiście, aby atak nie stał się niemiłą niespodzianką, jego szczegóły również uzgadniamy z klientem. Okazuje się, że będzie to pełnoprawny test penetracyjny, ale oparty będzie na zaawansowanej inżynierii społecznej. Logiczną opcją w tym przypadku jest opracowanie ataku w obrębie sieci, aż do uzyskania najwyższych uprawnień w systemach wewnętrznych. Swoją drogą w podobny sposób stosujemy ataki socjotechniczne w oraz w niektórych testach penetracyjnych. W rezultacie klient otrzyma niezależną kompleksową wizję swojego bezpieczeństwa przed określonym rodzajem ataków socjotechnicznych, a także demonstrację skuteczności (lub odwrotnie nieskuteczności) zbudowanej linii obrony przed zagrożeniami zewnętrznymi.
Zalecamy przeprowadzanie tego szkolenia przynajmniej dwa razy w roku. Po pierwsze, w każdej firmie następuje rotacja kadr i pracownicy stopniowo zapominają o dotychczasowym doświadczeniu. Po drugie, metody i techniki ataków stale się zmieniają, co powoduje konieczność dostosowywania procesów bezpieczeństwa i narzędzi ochrony.
Jeśli mówimy o środkach technicznych chroniących przed atakami, najbardziej pomagają:
- Obecność obowiązkowego uwierzytelniania dwuskładnikowego w usługach publikowanych w Internecie. Wypuszczenie w 2019 roku takich usług bez systemów Single Sign On, bez zabezpieczeń przed brutalną siłą haseł i bez uwierzytelniania dwuskładnikowego w kilkusetosobowej firmie jest równoznaczne z otwartym wezwaniem do „złamania mnie”. Odpowiednio wdrożona ochrona uniemożliwi szybkie wykorzystanie skradzionych haseł i da czas na wyeliminowanie skutków ataku phishingowego.
- Kontrolowanie kontroli dostępu, minimalizowanie uprawnień użytkowników w systemach i przestrzeganie wytycznych dotyczących bezpiecznej konfiguracji produktów wydawanych przez każdego większego producenta. Są to często proste z natury, ale bardzo skuteczne i trudne do wdrożenia środki, które każdy w takim czy innym stopniu zaniedbuje ze względu na szybkość. A niektóre są tak potrzebne, że bez nich nie uratuje żaden środek ochrony.
- Dobrze zbudowana linia filtrowania poczty e-mail. Antyspam, całkowite skanowanie załączników pod kątem złośliwego kodu, w tym testy dynamiczne w piaskownicach. Dobrze przygotowany atak oznacza, że załącznik wykonywalny nie zostanie wykryty przez narzędzia antywirusowe. Wręcz przeciwnie, piaskownica przetestuje wszystko sama, korzystając z plików w taki sam sposób, w jaki korzysta z nich osoba. W rezultacie potencjalny szkodliwy komponent zostanie ujawniony poprzez zmiany dokonane w piaskownicy.
- Środki ochrony przed atakami ukierunkowanymi. Jak już wspomniano, klasyczne narzędzia antywirusowe nie wykryją szkodliwych plików w przypadku dobrze przygotowanego ataku. Najbardziej zaawansowane produkty powinny automatycznie monitorować całość zdarzeń zachodzących w sieci – zarówno na poziomie pojedynczego hosta, jak i na poziomie ruchu w sieci. W przypadku ataków pojawiają się bardzo charakterystyczne ciągi zdarzeń, które można prześledzić i zatrzymać, jeśli prowadzi się monitoring nastawiony na tego typu zdarzenia.
Oryginalny artykuł w czasopiśmie „Bezpieczeństwo Informacji/Bezpieczeństwo Informacji” nr 6, 2019.
Źródło: www.habr.com