Bayangkeun kaayaan ieu. Tiis Oktober isuk, desain institut di puseur régional salah sahiji wewengkon Rusia. Batur ti departemén HR angkat ka salah sahiji halaman lowongan dina situs wéb lembaga, dipasang sababaraha dinten ka pengker, sareng ningali poto ucing di dinya. Isuk-isuk gancang eureun jadi bosen...
Dina artikel ieu, Pavel Suprunyuk, kapala teknis ti Inok sarta konsultan departemén di Grup-IB, Talks About tempat serangan sosiotechnical dina proyék assessing kaamanan praktis, naon bentuk ilahar aranjeunna tiasa nyandak, sarta kumaha carana ngajaga ngalawan serangan misalna. Panulis netelakeun yén tulisan éta mangrupikeun ulasan, tapi upami aya aspék anu dipikaresep ku pamiarsa, para ahli Grup-IB bakal gampang ngajawab patarosan dina koméntar.
Bagian 1. Naha jadi serius?
Hayu urang balik ka ucing urang. Saatos sababaraha waktos, departemén SDM ngahapus poto éta (screenshot di dieu sareng di handap sawaréh dirobih supados henteu nunjukkeun nami asli), tapi nekad mulang, dihapus deui, sareng ieu kajantenan sababaraha kali deui. Departemén HR understands yén ucing boga niat paling serius, anjeunna teu hayang ninggalkeun, sarta aranjeunna nelepon pitulung ti programmer web - jalma anu nyieun situs na understands eta, sarta ayeuna administers eta. Programmer mana kana loka, sakali deui ngahapus ucing bangor, manggihan yén ieu dipasang atas nama departemén HR sorangan, lajeng ngajadikeun asumsi yén kecap akses departemen HR geus bocor ka sababaraha hooligans online, sarta ngarobah éta. Ucing teu némbongan deui.
Naon sabenerna kajadian? Dina hubungan sareng grup perusahaan anu kalebet lembaga, spesialis Grup-IB ngalaksanakeun tés penetrasi dina format anu caket sareng Red Teaming (dina kecap sanésna, ieu mangrupikeun tiruan serangan anu ditargetkeun ka perusahaan anjeun nganggo metode sareng alat anu paling canggih ti arsenal grup hacker). Urang ngobrol sacara rinci ngeunaan Red Teaming . Penting pikeun terang yén nalika ngalaksanakeun tés sapertos kitu, sajumlah ageung serangan anu tos sapuk tiasa dianggo, kalebet rékayasa sosial. Ieu jelas yén panempatan ucing sorangan teu tujuan pamungkas tina naon anu lumangsung. Sareng aya anu kieu:
- ramatloka institut ieu hosted dina server dina jaringan institut sorangan, sarta henteu dina server pihak katilu;
- A bocor dina akun departemen HR kapanggih (file log email aya dina akar situs). Teu mungkin mun administer loka kalawan akun ieu, tapi éta mungkin pikeun ngédit kaca pakasaban;
- Ku cara ngarobah kaca, anjeun tiasa nempatkeun skrip anjeun dina JavaScript. Biasana aranjeunna ngadamel halaman interaktif, tapi dina kaayaan ieu, skrip anu sami tiasa maok tina browser sémah anu ngabédakeun jabatan HR ti programmer, sareng programmer ti sémah anu sederhana - identifier sési dina situs. Ucing mangrupikeun pemicu serangan sareng gambar pikeun narik perhatian. Dina basa markup halaman wéb HTML, katingalina sapertos kieu: upami gambar anjeun parantos dimuat, JavaScript parantos dieksekusi sareng ID sési anjeun, sareng data ngeunaan browser sareng alamat IP anjeun, parantos dipaling.
- Kalawan ID sési administrator dipaling, éta bakal mungkin pikeun meunangkeun aksés pinuh ka loka, host kaca laksana di PHP, sarta ku kituna meunang aksés ka sistem operasi server, lajeng ka jaringan lokal sorangan, nu éta hiji tujuan panengah penting. proyék.
Serangan éta sawaréh suksés: ID sési administrator dipaling, tapi dihijikeun ka alamat IP. Kami henteu tiasa ngurilingan ieu; kami henteu tiasa naékkeun hak istimewa situs urang kana hak istimewa administrator, tapi kami ningkatkeun haté urang. Hasil ahir ahirna dicandak dina bagian séjén perimeter jaringan.
Bagian 2. Kuring keur nulis ka anjeun - naon deui? Kuring ogé nelepon jeung nongkrong di kantor anjeun, muterna flash drives.
Naon anu lumangsung dina situasi jeung ucing - conto rékayasa sosial, sanajan teu rada klasik. Nyatana, aya deui kajadian dina carita ieu: aya ucing, sareng lembaga, sareng departemén tanaga, sareng programmer, tapi aya ogé email anu ngajelaskeun patarosan anu konon "calon" nyerat ka departemén personel sorangan sareng pribadi. ka programmer pikeun ngadorong aranjeunna pikeun muka halaman situs.
Diomongkeun surat. Surélék biasa, sigana mangrupikeun wahana utama pikeun ngalaksanakeun rékayasa sosial, henteu leungit relevansina pikeun sababaraha dekade sareng kadang ngakibatkeun akibat anu paling luar biasa.
Urang sering nyarioskeun carita di handap ieu dina acara urang, sabab éta pisan ngalaan pikiran.
Biasana, dumasar kana hasil proyék rékayasa sosial, urang nyusun statistik, anu, sakumaha anu urang terang, mangrupikeun hal anu garing sareng pikaboseneun. Jadi loba persén panarima dibuka kantétan tina surat, jadi loba dituturkeun link, tapi tilu ieu sabenerna diasupkeun ngaran pamaké sarta sandi maranéhanana. Dina hiji proyék, kami nampi langkung ti 100% kecap akses anu diasupkeun - nyaéta, langkung seueur anu kaluar ti anu kami kirimkeun.
Kajadian sapertos kieu: surat phishing dikirim, konon ti CISO perusahaan nagara, kalayan paménta pikeun "urgently nguji parobahan dina layanan mail." Suratna dugi ka kapala jabatan ageung anu ngurus dukungan téknis. Gerentesna getol pisan ngalaksanakeun parentah ti panguasa luhur sarta diteruskeun ka sakumna bawahan. Call center sorangan tétéla cukup badag. Sacara umum, kaayaan dimana batur ngirimkeun surelek phishing anu "menarik" ka kolega maranéhanana sarta aranjeunna ogé katangkep mangrupikeun kajadian anu cukup umum. Pikeun kami, ieu mangrupikeun tanggapan anu pangsaéna ngeunaan kualitas nyerat surat.
Sakedapan aranjeunna terang ngeunaan kami (suratna dicandak dina kotak surat anu dikompromi):
Kasuksésan serangan éta alatan kanyataan yén milis dieksploitasi sababaraha deficiencies teknis dina sistem mail klien urang. Éta dikonpigurasi ku cara anu ngamungkinkeun pikeun ngirim surat-surat atas nama pangirim organisasi sorangan tanpa otorisasi, bahkan tina Internét. Nyaéta, anjeun tiasa nyamar janten CISO, atanapi kapala dukungan téknis, atanapi anu sanés. Leuwih ti éta, antarbeungeut mail, observasi hurup tina domain "na", taliti diselapkeun poto tina buku alamat, nu ditambahkeun naturalness ka pangirim.
Saleresna, serangan sapertos kitu sanés téknologi anu rumit; éta mangrupikeun mangpaat anu suksés tina cacad dasar dina setélan surat. Éta rutin diulas dina sumber IT sareng kaamanan inpormasi khusus, tapi masih aya perusahaan anu gaduh sadayana ieu. Kusabab teu aya anu condong mariksa sacara saksama lulugu jasa tina protokol surat SMTP, surat biasana dipariksa pikeun "bahaya" nganggo ikon peringatan dina antarmuka surat, anu henteu salawasna nunjukkeun sadayana gambar.
Narikna, kerentanan anu sami ogé tiasa dianggo dina arah anu sanés: panyerang tiasa ngirim email atas nama perusahaan anjeun ka panampi pihak katilu. Contona, anjeunna bisa falsify hiji invoice keur mayar biasa atas nama anjeun, nunjukkeun rinci sejenna tinimbang milik anjeun. Salian ti masalah anti panipuan sareng kas-kaluar, ieu sigana salah sahiji cara anu paling gampang pikeun maok artos ngalangkungan rékayasa sosial.
Salian maok kecap akses ngaliwatan phishing, serangan sosioteknis klasik ngirimkeun lampiran anu tiasa dieksekusi. Upami Investasi ieu ngatasi sadaya ukuran kaamanan, dimana perusahaan modéren biasana seueur, saluran aksés jauh bakal diciptakeun kana komputer korban. Pikeun nunjukkeun akibat tina serangan éta, kadali jauh anu dihasilkeun tiasa dikembangkeun pikeun ngaksés inpormasi rahasia anu penting pisan. Perlu dicatet yén seuseueurna serangan anu dianggo ku média pikeun nyingsieunan sadayana ngamimitian sapertos kieu.
Di departemen Inok kami, keur senang, urang ngitung perkiraan statistik: naon nilai total aset pausahaan nu urang geus meunang aksés Administrator Domain, utamana ngaliwatan phishing jeung ngirim kantétan laksana? Taun ieu ngahontal kira-kira 150 milyar euro.
Éta jelas yén ngirim email provokatif sareng ngeposkeun poto ucing dina situs wéb sanés ngan ukur metode rékayasa sosial. Dina conto ieu kami geus diusahakeun nembongkeun rupa-rupa bentuk serangan jeung konsékuansi maranéhanana. Salian hurup, panyerang poténsial tiasa nelepon pikeun kéngingkeun inpormasi anu diperyogikeun, nyebarkeun média (contona, flash drive) kalayan file anu tiasa dieksekusi di kantor perusahaan target, kéngingkeun padamelan salaku intern, kéngingkeun aksés fisik kana jaringan lokal. dina kedok pamasangan kaméra CCTV. Sadayana ieu, ku jalan kitu, mangrupikeun conto tina proyék-proyék anu suksés réngsé.
Bagian 3. Pangajaran téh caang, tapi unlearned nyaeta gelap
Patarosan anu wajar timbul: sumur, oke, aya rékayasa sosial, sigana bahaya, tapi naon anu kedah dilakukeun ku perusahaan ngeunaan sadaya ieu? Kaptén Obvious datang pikeun nyalametkeun: anjeun kedah ngabela diri, sareng sacara komprehensif. Sawatara bagian tina panyalindungan bakal ditujukeun pikeun ukuran kaamanan anu klasik, sapertos cara téknis panyalindungan inpormasi, ngawaskeun, organisasi sareng dukungan hukum prosés, tapi bagian utama, dina pendapat urang, kedah diarahkeun pikeun langsung damel sareng karyawan salaku link weakest. Barina ogé, euweuh urusan sabaraha anjeun nguatkeun téhnologi atawa nulis peraturan kasar, bakal salawasna aya pamaké anu bakal manggihan cara anyar pikeun megatkeun sagalana. Sumawona, peraturan atanapi téknologi henteu bakal nuturkeun penerbangan kréativitas pangguna, khususna upami anjeunna dipenta ku panyerang anu mumpuni.
Anu mimiti, hal anu penting pikeun ngalatih pamaké: ngajelaskeun yén sanajan dina karya rutin-Na, kaayaan nu patali jeung rékayasa sosial bisa timbul. Pikeun klien kami kami sering ngalaksanakeun ngeunaan kabersihan digital - acara anu ngajarkeun kaahlian dasar pikeun ngalawan serangan sacara umum.
Abdi tiasa nambihan yén salah sahiji ukuran panyalindungan anu pangsaéna sanés ngan ukur ngapalkeun aturan kaamanan inpormasi, tapi pikeun meunteun kaayaan dina cara anu rada jauh:
- Saha anu jadi lawan tutur kuring?
- Ti mana usul atanapi pamundut na (ieu henteu kantos kajantenan sateuacanna, sareng ayeuna parantos muncul)?
- Naon anu teu biasa ngeunaan pamundut ieu?
Malahan jenis hurup anu teu biasa atanapi gaya pidato anu teu biasa pikeun pangirim tiasa nyetél ranté ragu anu bakal ngeureunkeun serangan. Parentah anu ditunjuk ogé diperyogikeun, tapi tiasa dianggo béda-béda sareng henteu tiasa netepkeun sadaya kaayaan anu mungkin. Contona, administrator kaamanan informasi nulis dina eta nu teu bisa ngasupkeun sandi anjeun dina sumber pihak katilu. Kumaha upami sumber jaringan "anjeun", "perusahaan" naroskeun kecap konci? Pamaké nyangka: "Perusahaan kami parantos ngagaduhan dua belasan jasa sareng hiji akun, naha henteu gaduh anu sanés?" Ieu ngakibatkeun aturan sejen: prosés gawé well-terstruktur ogé langsung mangaruhan kaamanan: lamun departemén tatangga bisa menta informasi ti anjeun ukur dina tulisan sarta ngan ngaliwatan manajer anjeun, hiji jalma "ti mitra dipercaya parusahaan" pasti moal. tiasa nyuhunkeun ku telepon - ieu kanggo anjeun éta bakal omong kosong. Anjeun kedah waspada khususna upami interlocutor anjeun nungtut pikeun ngalakukeun sadayana ayeuna, atanapi "ASAP", sabab éta modis pikeun nyerat. Malah dina karya normal, kaayaan ieu mindeng teu cageur, sarta dina nyanghareupan kamungkinan serangan, éta pemicu kuat. Taya waktu pikeun ngajelaskeun, ngajalankeun file abdi!
Kami perhatikeun yén pangguna sok disasarkeun salaku legenda pikeun serangan sosiotéknis ku topik anu aya hubunganana sareng artos dina hiji bentuk atanapi anu sanés: janji promosi, karesep, kado, ogé inpormasi kalayan gosip sareng intrik lokal. Dina basa sejen, nu banal "dosa deadly" aya dina karya: haus kauntungan, karanjingan jeung panasaran kaleuleuwihan.
latihan alus kudu salawasna ngawengku latihan. Ieu tempat para ahli nguji penetrasi tiasa nyalametkeun. Patarosan salajengna nyaéta: naon sareng kumaha urang bakal nguji? Kami di Grup-IB ngajukeun pendekatan di handap ieu: langsung pilih fokus tés: boh meunteun kesiapan pikeun serangan ngan ukur pangguna sorangan, atanapi pariksa kaamanan perusahaan sacara gembleng. Jeung nguji ngagunakeun métode rékayasa sosial, simulating serangan nyata - nyaeta, phishing sarua, ngirim dokumén laksana, nelepon jeung téhnik séjén.
Dina kasus nu pertama, serangan kasebut disiapkeun sacara saksama sareng wawakil palanggan, utamina sareng spesialis IT sareng kaamanan inpormasi. Katerangan, alat sareng téknik serangan konsisten. Palanggan nyalira nyayogikeun grup fokus sareng daptar pangguna pikeun serangan, anu kalebet sadaya kontak anu diperyogikeun. Pangecualian didamel dina ukuran kaamanan, sabab pesen sareng beban anu tiasa dieksekusi kedah dugi ka panarima, sabab dina proyék sapertos kitu ngan ukur réaksi jalma anu dipikaresep. Opsional, anjeun tiasa ngalebetkeun spidol dina serangan, anu ku pangguna tiasa nebak yén ieu serangan - contona, anjeun tiasa ngadamel sababaraha kasalahan éjahan dina pesen atanapi ngantepkeun kasalahan dina nyalin gaya perusahaan. Dina ahir proyék, "statistik garing" sami dicandak: kelompok fokus anu ngaréspon kana skenario sareng sajauh mana.
Dina kasus kadua, serangan dilumangsungkeun kalawan enol pangaweruh awal, ngagunakeun métode "kotak hideung". Urang sacara mandiri ngumpulkeun inpormasi ngeunaan perusahaan, karyawanna, perimeter jaringan, nyiptakeun legenda serangan, milih metode, milarian ukuran kaamanan anu mungkin dianggo dina perusahaan target, adaptasi alat, sareng nyiptakeun skenario. Spesialis kami nganggo metodeu klasik open source intelligence (OSINT) sareng produk Group-IB sorangan - Threat Intelligence, sistem anu, nalika nyiapkeun phishing, tiasa janten agrégator inpormasi ngeunaan perusahaan dina waktos anu lami, kalebet inpormasi anu digolongkeun . Tangtosna, supados serangan éta henteu janten kejutan anu pikaresepeun, detilna ogé sapuk sareng palanggan. Tétéla éta tés penetrasi full-fledged, tapi bakal dumasar kana rékayasa sosial canggih. Pilihan logis dina hal ieu pikeun ngembangkeun serangan dina jaringan, nepi ka meunangkeun hak pangluhurna dina sistem internal. Ku jalan kitu, dina cara nu sarupa urang ngagunakeun serangan sosiotechnical di , sarta dina sababaraha tés penetrasi. Hasilna, nasabah bakal nampa hiji bebas visi komprehensif ngeunaan kaamanan maranéhanana ngalawan hiji tipe tangtu serangan sosio-technical, kitu ogé demonstrasi efektivitas (atawa, sabalikna, ineffectiveness) tina garis diwangun pertahanan ngalawan ancaman éksternal.
Kami nyarankeun ngalaksanakeun latihan ieu sahenteuna dua kali sataun. Firstly, di pausahaan mana wae aya elehan staf jeung pangalaman saméméhna saeutik demi saeutik poho ku pagawé. Kadua, metode sareng téknik serangan terus robih sareng ieu nyababkeun kabutuhan pikeun adaptasi prosés kaamanan sareng alat panyalindungan.
Upami urang ngobrol ngeunaan ukuran téknis pikeun ngajagaan tina serangan, ieu mangrupikeun pitulung anu paling:
- Ayana auténtikasi dua-faktor wajib dina jasa anu diterbitkeun dina Internét. Pikeun ngabebaskeun jasa sapertos kitu dina 2019 tanpa sistem Single Sign On, tanpa panyalindungan ngalawan kakuatan kasar sandi sareng tanpa auténtikasi dua faktor dina perusahaan sababaraha ratus urang sami sareng telepon kabuka pikeun "megatkeun kuring." Perlindungan anu dilaksanakeun leres bakal ngajantenkeun pamakean gancang kecap konci anu dipaling teu mungkin sareng bakal masihan waktos pikeun ngaleungitkeun akibat tina serangan phishing.
- Ngadalikeun kontrol aksés, ngaminimalkeun hak pamaké dina sistem, sarta nuturkeun tungtunan pikeun konfigurasi produk aman anu dikaluarkeun ku unggal produsén utama. Ieu sering basajan di alam, tapi pohara efektif sarta hésé pikeun nerapkeun ukuran, nu dulur, ka hiji gelar atawa sejen, neglects demi speed. Jeung sababaraha anu jadi diperlukeun nu tanpa aranjeunna euweuh hartosna panyalindungan bakal nyalametkeun.
- Garis panyaring email anu saé. Antispam, total scanning kantétan pikeun kode jahat, kaasup nguji dinamis ngaliwatan sandboxes. Serangan anu disiapkeun saé hartosna yén lampiran anu tiasa dieksekusi moal dideteksi ku alat antipirus. Sandbox, sabalikna, bakal nguji sadayana pikeun dirina, ngagunakeun file dina cara anu sami sareng jalma anu ngagunakeunana. Hasilna, kamungkinan komponén jahat bakal diungkabkeun ku parobahan anu dilakukeun di jero kotak pasir.
- Sarana panyalindungan ngalawan serangan sasaran. Sakumaha anu parantos dicatet, alat antipirus klasik moal ngadeteksi file jahat upami aya serangan anu disiapkeun. Produk anu paling canggih kedah otomatis ngawaskeun totalitas kajadian dina jaringan - boh dina tingkat host individu sareng dina tingkat lalu lintas dina jaringan. Dina kasus serangan, ranté pisan ciri kajadian mucunghul nu bisa dilacak jeung dieureunkeun lamun geus ngawaskeun fokus kana kajadian nanaon ieu.
Tulisan aslina dina majalah "Kaamanan Informasi / Kaamanan Informasi" #6, 2019.
sumber: www.habr.com