Predstavljajte si to situacijo. Hladno oktobrsko jutro, oblikovalski inštitut v regionalnem središču ene od regij Rusije. Nekdo iz kadrovske službe gre na eno od strani s prostimi delovnimi mesti na spletni strani inštituta, objavljeno pred nekaj dnevi, in tam vidi fotografijo mačke. Jutro hitro preneha biti dolgočasno...
V tem članku Pavel Suprunyuk, tehnični vodja oddelka za revizijo in svetovanje pri Group-IB, govori o mestu sociotehničnih napadov v projektih, ki ocenjujejo praktično varnost, kakšne neobičajne oblike lahko imajo in kako se zaščititi pred takšnimi napadi. Avtor pojasnjuje, da je članek pregledne narave, če pa kateri koli vidik zanima bralce, bodo strokovnjaki Group-IB z veseljem odgovorili na vprašanja v komentarjih.
1. del. Zakaj tako resno?
Vrnimo se k naši mački. Čez nekaj časa kadrovska služba fotografijo izbriše (zaslonska posnetka tukaj in spodaj sta delno retuširana, da ne razkrivata pravih imen), a se trmasto vrne, jo spet izbrišejo in to se zgodi še večkrat. Kadrovska služba razume, da ima maček najresnejše namene, noče oditi, in na pomoč pokličejo spletnega programerja - osebo, ki je ustvarila stran in jo razume, zdaj pa jo upravlja. Programer gre na stran, še enkrat izbriše nadležnega mačka, ugotovi, da je bil objavljen v imenu same kadrovske službe, nato pa domneva, da je geslo kadrovske službe ušlo nekaterim spletnim huliganom, in ga spremeni. Maček se ne pojavi več.
Kaj se je res zgodilo? V zvezi s skupino podjetij, ki je vključevala inštitut, so strokovnjaki Group-IB izvedli penetracijsko testiranje v formatu, ki je blizu Red Teaming (z drugimi besedami, to je imitacija ciljnih napadov na vaše podjetje z uporabo najnaprednejših metod in orodij iz arzenal hekerskih skupin). Podrobno smo govorili o Red Teamingu . Pomembno je vedeti, da je pri izvajanju takšnega testa mogoče uporabiti zelo širok spekter vnaprej dogovorjenih napadov, vključno s socialnim inženiringom. Jasno je, da sama postavitev mačke ni bila končni cilj dogajanja. In tam je bilo naslednje:
- spletna stran inštituta je gostovala na strežniku znotraj omrežja inštituta in ne na strežnikih tretjih oseb;
- Ugotovljeno je bilo puščanje v računu kadrovskega oddelka (e-poštna dnevniška datoteka je v korenu spletnega mesta). S tem računom ni bilo mogoče upravljati spletnega mesta, vendar je bilo mogoče urejati strani z zaposlitvijo;
- Če spremenite strani, lahko postavite svoje skripte v JavaScript. Običajno naredijo strani interaktivne, toda v tej situaciji bi lahko isti skripti iz obiskovalčevega brskalnika ukradli tisto, kar je kadrovsko službo razlikovalo od programerja in programerja od preprostega obiskovalca - identifikator seje na spletnem mestu. Mačka je bila povod za napad in slika za pritegovanje pozornosti. V označevalnem jeziku spletnega mesta HTML je bilo videti takole: če se je vaša slika naložila, je bil JavaScript že izveden in vaš ID seje, skupaj s podatki o vašem brskalniku in naslovu IP, je že ukraden.
- Z ukradenim ID-jem skrbniške seje bi bilo mogoče pridobiti popoln dostop do spletnega mesta, gostiti izvršljive strani v PHP-ju in s tem pridobiti dostop do strežniškega operacijskega sistema in nato do samega lokalnega omrežja, kar je bil pomemben vmesni cilj projekt.
Napad je bil delno uspešen: administratorjev ID seje je bil ukraden, vendar je bil vezan na naslov IP. Temu se nismo mogli izogniti; svojih privilegijev spletnega mesta nismo mogli dvigniti na skrbniške privilegije, vendar smo si izboljšali razpoloženje. Končni rezultat je bil na koncu dosežen v drugem delu omrežnega oboda.
2. del. Pišem ti - kaj še? Prav tako kličem in visim v vaši pisarni in odlagam bliskovne pogone.
Kar se je zgodilo v situaciji z mačko, je primer socialnega inženiringa, čeprav ne povsem klasičnega. Pravzaprav je bilo v tej zgodbi več dogodkov: bila je mačka, inštitut, kadrovska služba in programer, vendar so bila tudi e-poštna sporočila s pojasnilnimi vprašanji, ki so jih domnevno "kandidati" pisali sami kadrovski službi in osebno programerju, da bi ga spodbudili, da obišče stran spletnega mesta.
Ko smo že pri črkah. Navadna elektronska pošta, verjetno glavno sredstvo za izvajanje socialnega inženiringa, že nekaj desetletij ni izgubila svoje pomembnosti in včasih vodi do najbolj nenavadnih posledic.
Na naših dogodkih pogosto povemo naslednjo zgodbo, saj je zelo razkrivajoča.
Običajno na podlagi rezultatov projektov socialnega inženiringa sestavljamo statistiko, ki pa je, kot vemo, suhoparna in dolgočasna stvar. Toliko odstotkov prejemnikov je odprlo priponko iz pisma, toliko jih je sledilo povezavi, ti trije pa so dejansko vpisali svoje uporabniško ime in geslo. Pri enem projektu smo prejeli več kot 100% vnesenih gesel – torej jih je prišlo ven, kot smo jih poslali.
Zgodilo se je takole: poslano je bilo lažno pismo, domnevno iz CISO državne korporacije, z zahtevo po "nujnem testiranju sprememb v poštni storitvi." Pismo je prišlo do vodje velikega oddelka, ki se je ukvarjal s tehnično podporo. Vodja je zelo vestno izpolnjeval navodila visokih organov in jih posredoval vsem podrejenim. Sam klicni center se je izkazal za precej velikega. Nasploh so situacije, ko nekdo posreduje »zanimiva« phishing e-poštna sporočila svojim kolegom in se pri tem tudi ujamejo, precej pogost pojav. Za nas je to najboljša povratna informacija o kakovosti pisanja pisma.
Malo kasneje so izvedeli za nas (pismo je bilo vzeto v kompromitiranem nabiralniku):
Uspeh napada je bil posledica dejstva, da je pošiljanje izkoriščalo številne tehnične pomanjkljivosti v odjemalčevem poštnem sistemu. Konfiguriran je bil tako, da je bilo mogoče nepooblaščeno pošiljati poljubna pisma v imenu katerega koli pošiljatelja same organizacije, tudi z interneta. Se pravi, lahko se pretvarjate, da ste CISO, ali vodja tehnične podpore, ali kdo drug. Še več, poštni vmesnik je ob opazovanju pisem iz »svoje« domene skrbno vstavil fotografijo iz imenika, kar je pošiljatelju dodalo naravnost.
V resnici takšen napad ni posebej zapletena tehnologija; gre za uspešno izkoriščanje zelo osnovne napake v nastavitvah pošte. Redno se pregleduje na specializiranih virih IT in informacijske varnosti, a kljub temu še vedno obstajajo podjetja, ki imajo vse to prisotno. Ker nihče ni nagnjen k temeljitemu preverjanju zaglavij storitev poštnega protokola SMTP, se pismo običajno preveri za »nevarnost« z opozorilnimi ikonami v poštnem vmesniku, ki ne prikažejo vedno celotne slike.
Zanimivo je, da podobna ranljivost deluje tudi v drugo smer: napadalec lahko pošlje e-pošto v imenu vašega podjetja prejemniku tretje osebe. V vašem imenu lahko na primer ponaredi račun za redno plačilo in navede druge podatke namesto vaših. Poleg težav s preprečevanjem goljufij in izplačilom denarja je to verjetno eden najlažjih načinov za krajo denarja s socialnim inženiringom.
Poleg kraje gesel z lažnim predstavljanjem je klasičen sociotehnični napad pošiljanje izvedljivih prilog. Če te naložbe presežejo vse varnostne ukrepe, ki jih imajo sodobna podjetja običajno veliko, se ustvari kanal za oddaljeni dostop do računalnika žrtve. Za prikaz posledic napada je mogoče nastali daljinski upravljalnik razviti do dostopa do posebej pomembnih zaupnih informacij. Omeniti velja, da se velika večina napadov, s katerimi mediji strašijo, začne natanko tako.
V našem revizijskem oddelku za šalo izračunamo okvirno statistiko: kakšna je skupna vrednost premoženja podjetij, do katerih smo pridobili skrbniški dostop predvsem z lažnim predstavljanjem in pošiljanjem izvršljivih priponk? Letos je dosegel približno 150 milijard evrov.
Jasno je, da pošiljanje provokativnih elektronskih sporočil in objavljanje fotografij mačk na spletnih straneh nista edini metodi socialnega inženiringa. V teh primerih smo skušali prikazati raznolikost oblik napadov in njihovih posledic. Poleg pisem lahko potencialni napadalec pokliče, da pridobi potrebne informacije, razprši medije (na primer bliskovne pogone) z izvedljivimi datotekami v pisarni ciljnega podjetja, se zaposli kot pripravnik, pridobi fizični dostop do lokalnega omrežja. pod krinko monterja CCTV kamer. Vse to so, mimogrede, primeri iz naših uspešno izvedenih projektov.
3. del. Nauk je luč, neizučeno pa tema
Postavlja se razumno vprašanje: no, v redu, obstaja socialni inženiring, izgleda nevarno, ampak kaj naj podjetja storijo glede vsega tega? Captain Obvious priskoči na pomoč: braniti se morate, in to na celovit način. Del zaščite bo namenjen že klasičnim varnostnim ukrepom, kot so tehnična sredstva varovanja informacij, spremljanje, organizacijska in pravna podpora procesom, glavnina pa bi morala biti po našem mnenju usmerjena v neposredno delo z zaposlenimi kot najšibkejši člen. Konec koncev, ne glede na to, koliko krepite tehnologijo ali pišete stroge predpise, se bo vedno našel uporabnik, ki bo odkril nov način, kako vse zlomiti. Poleg tega niti predpisi niti tehnologija ne bodo dohajali poleta ustvarjalnosti uporabnika, še posebej, če ga k temu spodbudi kvalificiran napadalec.
Najprej je pomembno usposobiti uporabnika: pojasnite, da lahko tudi pri njegovem rutinskem delu pride do situacij, povezanih s socialnim inženiringom. Za naše stranke pogosto izvajamo o digitalni higieni – dogodek, ki uči osnovnih veščin za boj proti napadom na splošno.
Dodam lahko, da eden najboljših zaščitnih ukrepov ne bi bil, da bi se pravila informacijske varnosti sploh naučili na pamet, ampak malce odmaknjeno ocenili situacijo:
- Kdo je moj sogovornik?
- Od kod njegov predlog oziroma zahteva (to se še nikoli ni zgodilo, zdaj pa se je pojavilo)?
- Kaj je nenavadnega pri tej zahtevi?
Celo neobičajna vrsta pisave ali slog govora, ki je za pošiljatelja nenavaden, lahko sproži verigo dvomov, ki bo ustavila napad. Potrebna so tudi predpisana navodila, ki pa delujejo drugače in ne morejo določiti vseh možnih situacij. Na primer, skrbniki za informacijsko varnost v njih pišejo, da svojega gesla ne morete vnesti v vire tretjih oseb. Kaj pa, če "vaš", "korporacijski" omrežni vir zahteva geslo? Uporabnik pomisli: "Naše podjetje ima že dva ducata storitev z enim računom, zakaj ne bi imeli še enega?" Iz tega izhaja še eno pravilo: dobro strukturiran delovni proces neposredno vpliva tudi na varnost: če lahko sosednji oddelek od vas zahteva podatke le pisno in samo preko vašega vodje, oseba »od zaupanja vrednega partnerja podjetja« zagotovo ne bo lahko zahtevate po telefonu - to je za vas nesmisel. Še posebej morate biti previdni, če vaš sogovornik zahteva, da storite vse takoj, ali "ASAP", kot je moderno pisati. Tudi pri normalnem delu ta situacija pogosto ni zdrava, ob morebitnih napadih pa je močan sprožilec. Ni časa za razlago, zaženi mojo datoteko!
Opažamo, da so uporabniki vedno tarče kot legende za sociotehnični napad s temami, povezanimi z denarjem v takšni ali drugačni obliki: obljube napredovanj, preferenc, daril, pa tudi informacije z domnevno lokalnimi trači in spletkami. Z drugimi besedami, na delu so banalni »smrtni grehi«: želja po dobičku, pohlep in pretirana radovednost.
Dobro usposabljanje mora vedno vključevati prakso. Tukaj lahko na pomoč priskočijo strokovnjaki za penetracijsko testiranje. Naslednje vprašanje je: kaj in kako bomo testirali? V Group-IB predlagamo naslednji pristop: takoj izberite fokus testiranja: ali ocenite pripravljenost na napade samo uporabnikov samih ali preverite varnost podjetja kot celote. In preizkusite z metodami socialnega inženiringa, ki simulirajo resnične napade - to je isto lažno predstavljanje, pošiljanje izvedljivih dokumentov, klice in druge tehnike.
V prvem primeru je napad skrbno pripravljen skupaj s predstavniki naročnika, predvsem z njegovimi strokovnjaki za IT in informacijsko varnost. Legende, orodja in tehnike napada so skladni. Stranka sama zagotovi fokusne skupine in sezname uporabnikov za napad, ki vključujejo vse potrebne kontakte. Izjeme so ustvarjene pri varnostnih ukrepih, saj morajo sporočila in izvedljiva obremenitve prispeti do prejemnika, saj so v takem projektu zanimive le reakcije ljudi. Po želji lahko v napad vključite oznake, s katerimi lahko uporabnik ugane, da gre za napad - na primer, lahko naredite nekaj črkovalnih napak v sporočilih ali pustite netočnosti pri kopiranju sloga podjetja. Na koncu projekta dobimo enako »suhoparno statistiko«: katere fokusne skupine so se odzvale na scenarije in v kolikšni meri.
V drugem primeru je napad izveden z nič začetnim znanjem, z uporabo metode "črne skrinjice". Samostojno zbiramo podatke o podjetju, njegovih zaposlenih, omrežnem perimetru, ustvarjamo legende napadov, izbiramo metode, iščemo možne varnostne ukrepe v ciljnem podjetju, prilagajamo orodja in izdelujemo scenarije. Naši strokovnjaki uporabljajo tako klasične odprtokodne obveščevalne metode (OSINT) kot lastni izdelek Group-IB - Threat Intelligence, sistem, ki lahko pri pripravi na lažno predstavljanje deluje kot zbiralnik informacij o podjetju v daljšem obdobju, vključno s tajnimi podatki. Da napad ne postane neprijetno presenečenje, se o njegovih podrobnostih seveda dogovorimo s stranko. Izkazalo se je, da gre za popoln penetracijski test, ki pa bo temeljil na naprednem socialnem inženiringu. Logična možnost v tem primeru je razvoj napada znotraj omrežja, vse do pridobitve najvišjih pravic v notranjih sistemih. Mimogrede, na podoben način uporabljamo sociotehnične napade v in v nekaterih testih prodora. Stranka bo tako prejela neodvisno celovito vizijo svoje varnosti pred določeno vrsto sociotehničnih napadov ter prikaz učinkovitosti (ali obratno neučinkovitosti) zgrajene linije obrambe pred zunanjimi grožnjami.
Priporočamo, da to usposabljanje izvajate vsaj dvakrat letno. Prvič, v vsakem podjetju prihaja do fluktuacije osebja in zaposleni postopoma pozabijo na prejšnje izkušnje. Drugič, metode in tehnike napadov se nenehno spreminjajo, kar vodi v potrebo po prilagajanju varnostnih procesov in zaščitnih orodij.
Če govorimo o tehničnih ukrepih za zaščito pred napadi, najbolj pomagajo:
- Prisotnost obvezne dvofaktorske avtentikacije na storitvah, objavljenih na internetu. Objava takšnih storitev v letu 2019 brez sistemov enotne prijave, brez zaščite pred grobo silo z geslom in brez dvofaktorske avtentikacije v podjetju več sto ljudi je enako odprtemu pozivu, da me »zlomite«. Pravilno implementirana zaščita bo onemogočila hitro uporabo ukradenih gesel in dala čas za odpravo posledic lažnega predstavljanja.
- Nadzor nadzora dostopa, zmanjševanje uporabniških pravic v sistemih in sledenje smernicam za varno konfiguracijo izdelkov, ki jih izdajo vsi večji proizvajalci. To so pogosto preprosti, a zelo učinkoviti in težko izvedljivi ukrepi, ki jih vsi tako ali drugače zanemarjajo zaradi hitrosti. In nekateri so tako potrebni, da brez njih nobeno zaščitno sredstvo ne bo rešilo.
- Dobro zgrajena linija za filtriranje elektronske pošte. Zaščita pred neželeno pošto, popolno skeniranje prilog za zlonamerno kodo, vključno z dinamičnim testiranjem prek peskovnikov. Dobro pripravljen napad pomeni, da protivirusna orodja ne bodo zaznala izvršljive priloge. Nasprotno, peskovnik bo sam preizkusil vse z uporabo datotek na enak način, kot jih uporablja oseba. Posledično bo morebitna zlonamerna komponenta razkrita s spremembami znotraj peskovnika.
- Sredstva za zaščito pred ciljnimi napadi. Kot smo že omenili, klasična protivirusna orodja v primeru dobro pripravljenega napada ne bodo zaznala zlonamernih datotek. Najnaprednejši izdelki naj bi samodejno spremljali celotno dogajanje v omrežju – tako na ravni posameznega gostitelja kot na ravni prometa znotraj omrežja. Pri napadih se pojavljajo zelo značilne verige dogodkov, ki jim je mogoče slediti in jih ustaviti, če imate nadzor osredotočen na tovrstne dogodke.
Originalni članek v reviji “Informacijska varnost/Informacijska varnost” št.6, 2019.
Vir: www.habr.com