Predstavte si túto situáciu. Studené októbrové ráno, dizajnérsky inštitút v regionálnom centre jedného z regiónov Ruska. Niekto z oddelenia ľudských zdrojov prejde na jednu zo stránok s voľnými pracovnými miestami na webovej stránke inštitútu, uverejnenú pred pár dňami, a uvidí tam fotku mačky. Ráno rýchlo prestáva byť nudné...
V tomto článku Pavel Suprunyuk, technický vedúci oddelenia auditu a poradenstva Group-IB, hovorí o mieste sociotechnických útokov v projektoch hodnotiacich praktickú bezpečnosť, aké môžu mať nezvyčajné formy a ako sa pred takýmito útokmi chrániť. Autor objasňuje, že článok je recenzného charakteru, ak však čitateľov nejaký aspekt zaujme, experti Group-IB ochotne odpovedia na otázky v komentároch.
Časť 1. Prečo tak vážne?
Vráťme sa k našej mačke. Po určitom čase HR oddelenie fotku vymaže (snímky obrazovky tu a nižšie sú čiastočne retušované, aby neprezrádzali skutočné mená), ale tvrdohlavo sa vráti, znova sa vymaže a to sa stane ešte niekoľkokrát. Personálne oddelenie chápe, že mačka má najvážnejšie úmysly, nechce odísť a zavolá na pomoc webového programátora - človeka, ktorý stránku vytvoril, rozumie jej a teraz ju spravuje. Programátor ide na stránku, ešte raz vymaže otravnú mačku, zistí, že bola zverejnená v mene samotného HR oddelenia, potom predpokladá, že heslo HR oddelenia uniklo nejakým online chuligánom a zmení ho. Mačka sa už neobjaví.
Čo sa naozaj stalo? Vo vzťahu ku skupine spoločností, ktorá zahŕňala inštitút, vykonali špecialisti Group-IB penetračné testovanie vo formáte blízkom Red Teamingu (inými slovami ide o imitáciu cielených útokov na vašu spoločnosť pomocou najmodernejších metód a nástrojov z arzenál hackerských skupín). O Red Teaming sme sa podrobne rozprávali . Je dôležité vedieť, že pri realizácii takéhoto testu možno použiť veľmi širokú škálu vopred dohodnutých útokov, vrátane sociálneho inžinierstva. Je jasné, že samotné umiestnenie mačky nebolo konečným cieľom toho, čo sa dialo. A bolo tam nasledovné:
- webová stránka ústavu bola hosťovaná na serveri v rámci samotnej siete ústavu a nie na serveroch tretích strán;
- Zistil sa únik v účte oddelenia ľudských zdrojov (súbor denníka e-mailov sa nachádza v koreňovom adresári lokality). S týmto účtom nebolo možné spravovať stránku, ale bolo možné upravovať pracovné stránky;
- Zmenou stránok môžete umiestniť svoje skripty do JavaScriptu. Zvyčajne robia stránky interaktívnymi, ale v tejto situácii by rovnaké skripty mohli ukradnúť prehliadaču návštevníka to, čo odlišovalo HR oddelenie od programátora a programátora od jednoduchého návštevníka – identifikátor relácie na stránke. Mačka bola spúšťačom útoku a obrázkom na upútanie pozornosti. V značkovacom jazyku webových stránok HTML to vyzeralo takto: ak sa váš obrázok načítal, JavaScript už bol spustený a vaše ID relácie spolu s údajmi o vašom prehliadači a IP adrese už bolo ukradnuté.
- S ukradnutým ID relácie administrátora by bolo možné získať úplný prístup na stránku, hostiť spustiteľné stránky v PHP, a teda získať prístup k operačnému systému servera a následne k samotnej lokálnej sieti, čo bol dôležitý prechodný cieľ projekt.
Útok bol čiastočne úspešný: ID relácie správcu bolo ukradnuté, ale bolo viazané na IP adresu. Nemohli sme to obísť; nemohli sme zvýšiť oprávnenia našich stránok na oprávnenia správcu, ale zlepšili sme si náladu. Konečný výsledok bol nakoniec získaný v inej časti obvodu siete.
Časť 2. Píšem vám - čo ešte? Tiež volám a poflakujem sa vo vašej kancelárii a púšťam flash disky.
To, čo sa stalo v situácii s mačkou, je príkladom sociálneho inžinierstva, aj keď nie celkom klasického. V skutočnosti bolo v tomto príbehu viac udalostí: bola tam mačka, ústav a personálne oddelenie a programátor, ale boli tam aj e-maily s objasňujúcimi otázkami, ktoré údajne „kandidáti“ písali samotnému personálnemu oddeleniu a osobne programátorovi s cieľom vyprovokovať ich, aby prešli na stránku lokality.
Keď už hovoríme o písmenách. Obyčajný e-mail, pravdepodobne hlavný nástroj vykonávania sociálneho inžinierstva, nestratil svoj význam už niekoľko desaťročí a niekedy vedie k najneobvyklejším dôsledkom.
Na našich akciách často rozprávame nasledujúci príbeh, pretože je veľmi objavný.
Väčšinou na základe výsledkov projektov sociálneho inžinierstva zostavujeme štatistiky, ktoré, ako vieme, sú suchá a nudná záležitosť. Toľko percent príjemcov otvorilo prílohu z listu, toľko nasledovalo odkaz, no títo traja v skutočnosti zadali svoje používateľské meno a heslo. V rámci jedného projektu sme dostali viac ako 100 % zadaných hesiel – to znamená, že viac vyšlo, ako sme odoslali.
Stalo sa to takto: bol odoslaný phishingový list, údajne od CISO štátnej korporácie, s požiadavkou „naliehavo otestovať zmeny v poštovej službe“. List sa dostal k šéfovi veľkého oddelenia, ktoré sa zaoberalo technickou podporou. Manažér veľmi usilovne plnil pokyny od vysokých orgánov a postúpil ich všetkým podriadeným. Samotné call centrum sa ukázalo byť dosť veľké. Vo všeobecnosti sú situácie, keď niekto preposiela „zaujímavé“ phishingové e-maily svojim kolegom a oni sa tiež chytia, pomerne častým javom. Pre nás je to najlepšia spätná väzba na kvalitu písania listu.
O niečo neskôr sa o nás dozvedeli (list bol prijatý v napadnutej poštovej schránke):
Úspech útoku bol spôsobený tým, že mailing zneužil množstvo technických nedostatkov v poštovom systéme klienta. Bol nakonfigurovaný tak, aby bolo možné bez autorizácie posielať akékoľvek listy v mene ktoréhokoľvek odosielateľa samotnej organizácie, dokonca aj z internetu. To znamená, že môžete predstierať, že ste CISO, vedúci technickej podpory alebo niekto iný. Navyše, poštové rozhranie, pozorujúce listy zo „svojej“ domény, opatrne vložilo fotografiu z adresára, čo odosielateľovi dodalo prirodzenosť.
V skutočnosti takýto útok nie je obzvlášť zložitá technológia; je to úspešné využitie úplne základnej chyby v nastaveniach pošty. Je pravidelne kontrolovaný na špecializovaných zdrojoch IT a informačnej bezpečnosti, no napriek tomu sa stále nájdu firmy, ktoré toto všetko majú. Keďže nikto nie je naklonený dôkladnej kontrole hlavičiek služieb poštového protokolu SMTP, list sa zvyčajne kontroluje na „nebezpečenstvo“ pomocou výstražných ikon v poštovom rozhraní, ktoré nie vždy zobrazujú celý obrázok.
Je zaujímavé, že podobná zraniteľnosť funguje aj v opačnom smere: útočník môže poslať e-mail v mene vašej spoločnosti príjemcovi tretej strany. Môže napríklad sfalšovať faktúru za pravidelnú platbu vo vašom mene, pričom namiesto vašich údajov uvedie iné údaje. Okrem problémov s bojom proti podvodom a vyberaním peňazí je to pravdepodobne jeden z najjednoduchších spôsobov, ako ukradnúť peniaze prostredníctvom sociálneho inžinierstva.
Okrem kradnutia hesiel prostredníctvom phishingu je klasickým sociotechnickým útokom posielanie spustiteľných príloh. Ak tieto investície prekonajú všetky bezpečnostné opatrenia, ktorých majú moderné spoločnosti zvyčajne veľa, vytvorí sa kanál vzdialeného prístupu k počítaču obete. Na demonštráciu dôsledkov útoku je možné výsledné diaľkové ovládanie vyvinúť až po prístup k obzvlášť dôležitým dôverným informáciám. Je pozoruhodné, že drvivá väčšina útokov, ktorými médiá všetkých vystrašia, začína presne takto.
Na našom oddelení auditu si pre zábavu počítame približnú štatistiku: aká je celková hodnota majetku spoločností, ku ktorým sme získali prístup správcu domény najmä prostredníctvom phishingu a odosielania spustiteľných príloh? V tomto roku dosiahol približne 150 miliárd eur.
Je jasné, že posielanie provokatívnych e-mailov a zverejňovanie fotografií mačiek na webových stránkach nie sú jediné metódy sociálneho inžinierstva. Na týchto príkladoch sme sa pokúsili ukázať rôznorodosť foriem útokov a ich dôsledky. Okrem listov môže potenciálny útočník zavolať, aby získal potrebné informácie, rozhádzať médiá (napríklad flash disky) so spustiteľnými súbormi v kancelárii cieľovej spoločnosti, získať prácu stážistu, fyzický prístup do lokálnej siete pod rúškom inštalatéra CCTV kamier. To všetko sú, mimochodom, príklady z našich úspešne zrealizovaných projektov.
Časť 3. Učenie je svetlo, ale neučení je tma
Vynára sa rozumná otázka: dobre, dobre, existuje sociálne inžinierstvo, vyzerá to nebezpečne, ale čo by s tým všetkým mali robiť firmy? Kapitán Obvious prichádza na pomoc: musíte sa brániť, a to komplexným spôsobom. Určitá časť ochrany bude zameraná na už klasické bezpečnostné opatrenia, akými sú technické prostriedky ochrany informácií, monitoring, organizačné a právne zabezpečenie procesov, no hlavná časť by podľa nášho názoru mala smerovať do priamej práce so zamestnancami ako napr. najslabší článok. Koniec koncov, bez ohľadu na to, ako veľmi posilníte technológiu alebo napíšete tvrdé nariadenia, vždy sa nájde používateľ, ktorý objaví nový spôsob, ako všetko prelomiť. Navyše, ani predpisy, ani technológie nebudú držať krok s úletom kreativity používateľa, najmä ak je vyzvaný kvalifikovaným útočníkom.
V prvom rade je dôležité používateľa zaškoliť: vysvetliť, že aj pri jeho rutinnej práci môžu nastať situácie súvisiace so sociálnym inžinierstvom. Pre našich klientov často vykonávame o digitálnej hygiene – podujatie, ktoré učí základné zručnosti v boji proti útokom vo všeobecnosti.
Môžem dodať, že jedným z najlepších ochranných opatrení by vôbec nebolo memorovať si pravidlá informačnej bezpečnosti, ale zhodnotiť situáciu trochu oddelene:
- Kto je môj partner?
- Odkiaľ prišiel jeho návrh alebo žiadosť (to sa ešte nikdy nestalo a teraz sa to objavilo)?
- Čo je na tejto žiadosti nezvyčajné?
Dokonca aj nezvyčajný typ písma alebo štýl reči, ktorý je pre odosielateľa neobvyklý, môže spustiť reťaz pochybností, ktorá zastaví útok. Potrebné sú aj predpísané pokyny, ktoré však fungujú inak a nedokážu špecifikovať všetky možné situácie. Napríklad správcovia informačnej bezpečnosti v nich píšu, že nemôžete zadať svoje heslo na zdroje tretích strán. Čo ak si „váš“, „firemný“ sieťový zdroj vyžiada heslo? Používateľ si myslí: „Naša spoločnosť má už dve desiatky služieb s jedným účtom, prečo nemať ďalší?“ To vedie k ďalšiemu pravidlu: dobre štruktúrovaný pracovný proces má priamy vplyv aj na bezpečnosť: ak si od vás susedné oddelenie môže vyžiadať informácie iba písomne a iba prostredníctvom vášho manažéra, osoba „od dôveryhodného partnera spoločnosti“ určite nebude. môcť požiadať o to telefonicky - to je pre vás to bude nezmysel. Mali by ste byť obzvlášť opatrní, ak váš partner požaduje urobiť všetko hneď, alebo „ASAP“, ako je módne písať. Ani v bežnej práci táto situácia často nie je zdravá a pri prípadných atakoch je silným spúšťačom. Nie je čas na vysvetľovanie, spustite môj súbor!
Všimli sme si, že používatelia sú vždy terčom legiend pre sociotechnický útok témami súvisiacimi s peniazmi v tej či onej forme: sľuby propagácie, preferencie, darčeky, ako aj informácie s údajne miestnymi klebetami a intrigami. Inými slovami, fungujú banálne „smrteľné hriechy“: smäd po zisku, chamtivosť a nadmerná zvedavosť.
Dobrý tréning by mal vždy zahŕňať prax. Tu môžu prísť na pomoc odborníci na penetračné testovanie. Ďalšia otázka znie: čo a ako budeme testovať? My v Group-IB navrhujeme nasledovný prístup: okamžite si vybrať zameranie testovania: buď posúdiť pripravenosť na útoky samotných používateľov, alebo skontrolovať bezpečnosť spoločnosti ako celku. A testovať pomocou metód sociálneho inžinierstva, simulovať skutočné útoky – teda rovnaký phishing, posielanie spustiteľných dokumentov, hovorov a iných techník.
V prvom prípade je útok starostlivo pripravený spolu so zástupcami zákazníka, hlavne s jeho IT špecialistami a špecialistami na informačnú bezpečnosť. Legendy, nástroje a techniky útoku sú konzistentné. Zákazník sám poskytuje ohniskové skupiny a zoznamy používateľov na útok, ktoré obsahujú všetky potrebné kontakty. Výnimky sú vytvorené z bezpečnostných opatrení, pretože správy a spustiteľné súbory sa musia dostať k príjemcovi, pretože v takomto projekte sú zaujímavé iba reakcie ľudí. Voliteľne môžete do útoku zahrnúť značky, podľa ktorých používateľ uhádne, že ide o útok – môžete napríklad urobiť pár pravopisných chýb v správach alebo zanechať nepresnosti pri kopírovaní firemného štýlu. Na konci projektu sa získajú rovnaké „suché štatistiky“: ktoré cieľové skupiny reagovali na scenáre a do akej miery.
V druhom prípade je útok vykonaný s nulovými počiatočnými znalosťami pomocou metódy „čiernej skrinky“. Nezávisle zhromažďujeme informácie o spoločnosti, jej zamestnancoch, perimetri siete, vytvárame legendy útokov, vyberáme metódy, hľadáme možné bezpečnostné opatrenia používané v cieľovej spoločnosti, prispôsobujeme nástroje a vytvárame scenáre. Naši špecialisti využívajú ako klasické metódy open source intelligence (OSINT), tak aj vlastný produkt Group-IB - Threat Intelligence, systém, ktorý pri príprave na phishing dokáže dlhodobo pôsobiť ako agregátor informácií o spoločnosti, vrátane utajovaných skutočností. Samozrejme, aby sa útok nestal nepríjemným prekvapením, sú jeho detaily dohodnuté aj so zákazníkom. Ukazuje sa, že ide o plnohodnotný penetračný test, ktorý však bude založený na pokročilom sociálnom inžinierstve. Logickou možnosťou je v tomto prípade vyvinúť útok v rámci siete až po získanie najvyšších práv v interných systémoch. Mimochodom, podobným spôsobom používame sociotechnické útoky v a v niektorých penetračných testoch. Zákazník tak získa nezávislú komplexnú víziu svojho zabezpečenia proti určitému typu sociotechnických útokov, ako aj ukážku účinnosti (alebo naopak neúčinnosti) vybudovanej línie obrany pred vonkajšími hrozbami.
Toto školenie odporúčame vykonávať aspoň dvakrát ročne. Po prvé, v každej spoločnosti dochádza k fluktuácii zamestnancov a zamestnanci postupne zabúdajú na predchádzajúce skúsenosti. Po druhé, metódy a techniky útokov sa neustále menia a to vedie k potrebe prispôsobiť bezpečnostné procesy a ochranné nástroje.
Ak hovoríme o technických opatreniach na ochranu pred útokmi, najviac pomáhajú nasledovné:
- Prítomnosť povinného dvojfaktorového overovania v službách zverejnených na internete. Uvoľniť takéto služby v roku 2019 bez systémov Single Sign On, bez ochrany pred hrubou silou hesla a bez dvojfaktorovej autentifikácie v spoločnosti niekoľkých stoviek ľudí sa rovná otvorenej výzve „zlomte ma“. Správne implementovaná ochrana znemožní rýchle použitie ukradnutých hesiel a poskytne čas na odstránenie následkov phishingového útoku.
- Ovládanie riadenia prístupu, minimalizovanie používateľských práv v systémoch a dodržiavanie smerníc pre bezpečnú konfiguráciu produktov, ktoré vydáva každý hlavný výrobca. Tie sú svojou povahou často jednoduché, no veľmi účinné a ťažko realizovateľné opatrenia, ktoré každý v tej či onej miere zanedbáva kvôli rýchlosti. A niektoré sú také potrebné, že bez nich žiadne ochranné prostriedky nezachránia.
- Dobre postavená linka na filtrovanie e-mailov. Antispam, celkové skenovanie príloh na prítomnosť škodlivého kódu, vrátane dynamického testovania prostredníctvom sandboxov. Dobre pripravený útok znamená, že spustiteľná príloha nebude detekovaná antivírusovými nástrojmi. Naopak, pieskovisko si všetko otestuje sám, pričom použije súbory rovnakým spôsobom, ako ich používa človek. V dôsledku toho sa možný škodlivý komponent odhalí zmenami vykonanými vo vnútri karantény.
- Prostriedky ochrany pred cielenými útokmi. Ako už bolo poznamenané, klasické antivírusové nástroje neodhalia škodlivé súbory v prípade dobre pripraveného útoku. Najpokročilejšie produkty by mali automaticky monitorovať všetky udalosti vyskytujúce sa v sieti – na úrovni jednotlivého hostiteľa aj na úrovni prevádzky v rámci siete. V prípade útokov sa objavujú veľmi charakteristické reťazce udalostí, ktoré sa dajú sledovať a zastaviť, ak máte monitoring zameraný na udalosti tohto druhu.
Pôvodný článok v časopise „Informačná bezpečnosť/Informačná bezpečnosť“ #6, 2019.
Zdroj: hab.com