Föreställ dig den här situationen. Kall oktobermorgon, designinstitut i det regionala centrumet i en av regionerna i Ryssland. Någon från HR-avdelningen går till en av de lediga sidorna på institutets hemsida, publicerad för ett par dagar sedan, och ser ett foto av en katt där. Morgonen slutar snabbt att vara tråkig...
I den här artikeln berättar Pavel Suprunyuk, teknisk chef för revisions- och konsultavdelningen på Group-IB, om platsen för sociotekniska attacker i projekt som bedömer praktisk säkerhet, vilka ovanliga former de kan ta och hur man skyddar sig mot sådana attacker. Författaren klargör att artikeln är av recensionskaraktär, men om någon aspekt intresserar läsarna kommer Group-IB-experter lätt att svara på frågor i kommentarerna.
Del 1. Varför så allvarligt?
Låt oss återvända till vår katt. Efter en tid raderar HR-avdelningen bilden (skärmbilderna här och nedan är delvis retuscherade för att inte avslöja riktiga namn), men det återkommer envist, det raderas igen, och detta händer flera gånger till. HR-avdelningen förstår att katten har de mest seriösa avsikterna, han vill inte lämna, och de kallar på hjälp från en webbprogrammerare - en person som skapade webbplatsen och förstår den och nu administrerar den. Programmeraren går till sajten, tar än en gång bort den irriterande katten, får reda på att den postades på uppdrag av HR-avdelningen själv, antar sedan att HR-avdelningens lösenord har läckt ut till några onlinehuliganer och ändrar det. Katten dyker inte upp igen.
Vad hände egentligen? I förhållande till den grupp av företag som inkluderade institutet, genomförde Group-IB-specialister penetrationstester i ett format nära Red Teaming (med andra ord är detta en imitation av riktade attacker mot ditt företag med de mest avancerade metoderna och verktygen från arsenal av hackergrupper). Vi pratade i detalj om Red Teaming . Det är viktigt att veta att när man genomför ett sådant test kan ett mycket brett utbud av i förväg överenskomna attacker användas, inklusive social ingenjörskonst. Det är tydligt att själva placeringen av katten inte var det yttersta målet för det som hände. Och det var följande:
- institutets webbplats var värd på en server inom institutets nätverk och inte på tredjepartsservrar;
- En läcka i HR-avdelningens konto hittades (e-postloggfilen finns i roten på sajten). Det var omöjligt att administrera webbplatsen med detta konto, men det var möjligt att redigera jobbsidor;
- Genom att ändra sidorna kan du placera dina skript i JavaScript. Vanligtvis gör de sidor interaktiva, men i den här situationen kan samma skript stjäla från besökarens webbläsare vad som skilde HR-avdelningen från programmeraren och programmeraren från en enkel besökare - sessionsidentifieraren på webbplatsen. Katten var en attackutlösare och en bild för att väcka uppmärksamhet. I HTML-webbplatsens uppmärkningsspråk såg det ut så här: om din bild har laddats har JavaScript redan körts och ditt sessions-ID, tillsammans med data om din webbläsare och IP-adress, har redan stulits.
- Med ett stulet administratörssessions-ID skulle det vara möjligt att få full åtkomst till sajten, vara värd för körbara sidor i PHP och därför få tillgång till serverns operativsystem och sedan till själva det lokala nätverket, vilket var ett viktigt delmål för projektet.
Attacken lyckades delvis: administratörens sessions-ID stals, men det var kopplat till en IP-adress. Vi kunde inte komma runt detta; vi kunde inte höja våra webbplatsprivilegier till administratörsprivilegier, men vi förbättrade vårt humör. Slutresultatet erhölls så småningom i en annan del av nätverkets omkrets.
Del 2. Jag skriver till dig - vad mer? Jag ringer också och hänger på ditt kontor och tappar flash-enheter.
Det som hände i situationen med katten är ett exempel på social ingenjörskonst, om än inte helt klassiskt. Faktum är att det fanns fler händelser i den här historien: det fanns en katt, och ett institut, och en personalavdelning och en programmerare, men det fanns också e-postmeddelanden med förtydligande frågor som förment "kandidater" skrev till personalavdelningen själv och personligen till programmeraren för att provocera dem att gå till webbplatsens sida.
På tal om bokstäver. Vanlig e-post, förmodligen det huvudsakliga verktyget för att utföra social ingenjörskonst, har inte förlorat sin relevans på ett par decennier och leder ibland till de mest ovanliga konsekvenserna.
Vi berättar ofta följande historia vid våra evenemang, eftersom den är mycket avslöjande.
Vanligtvis, baserat på resultaten av sociala ingenjörsprojekt, sammanställer vi statistik, som, som vi vet, är en torr och tråkig sak. Så många procent av mottagarna öppnade bilagan från brevet, så många följde länken, men dessa tre angav faktiskt sitt användarnamn och lösenord. I ett projekt fick vi mer än 100 % av lösenorden inmatade – det vill säga det kom ut fler än vi skickade ut.
Det hände så här: ett nätfiskebrev skickades, förmodligen från CISO för ett statligt företag, med en begäran om att "brådskande testa ändringar i posttjänsten." Brevet nådde chefen för en stor avdelning som sysslade med teknisk support. Chefen var mycket flitig med att utföra instruktioner från höga myndigheter och vidarebefordrade dem till alla underordnade. Själva callcentret visade sig vara ganska stort. I allmänhet är situationer där någon vidarebefordrar "intressanta" nätfiske-e-postmeddelanden till sina kollegor och de också åker fast en ganska vanlig företeelse. För oss är detta den bästa feedbacken om kvaliteten på att skriva ett brev.
Lite senare fick de reda på oss (brevet togs i en komprometterad brevlåda):
Attentatens framgång berodde på att utskicket utnyttjade ett antal tekniska brister i klientens postsystem. Den var konfigurerad på ett sådant sätt att det var möjligt att skicka alla brev på uppdrag av vilken avsändare som helst av organisationen själv utan tillstånd, även från Internet. Det vill säga, du kan låtsas vara en CISO, eller chef för teknisk support, eller någon annan. Dessutom infogade e-postgränssnittet, som observerade brev från "dess" domän, noggrant ett foto från adressboken, vilket gav avsändaren naturlighet.
I själva verket är en sådan attack inte en särskilt komplex teknik, det är ett framgångsrikt utnyttjande av ett mycket grundläggande fel i e-postinställningar. Den granskas regelbundet på specialiserade IT- och informationssäkerhetsresurser, men ändå finns det fortfarande företag som har allt detta närvarande. Eftersom ingen är benägen att noggrant kontrollera tjänstens rubriker i SMTP-e-postprotokollet, kontrolleras vanligtvis ett brev för "fara" med hjälp av varningsikoner i e-postgränssnittet, som inte alltid visar hela bilden.
Intressant nog fungerar en liknande sårbarhet också åt andra hållet: en angripare kan skicka ett e-postmeddelande på uppdrag av ditt företag till en tredje parts mottagare. Han kan till exempel förfalska en faktura för regelbunden betalning för din räkning, och ange andra uppgifter istället för dina. Bortsett från antibedrägeri och utbetalningsproblem är detta förmodligen ett av de enklaste sätten att stjäla pengar genom social ingenjörskonst.
Förutom att stjäla lösenord genom nätfiske, är en klassisk socioteknisk attack att skicka körbara bilagor. Om dessa investeringar övervinner alla säkerhetsåtgärder, som moderna företag vanligtvis har många av, kommer en fjärråtkomstkanal att skapas till offrets dator. För att visa konsekvenserna av attacken kan den resulterande fjärrkontrollen utvecklas för att få tillgång till särskilt viktig konfidentiell information. Det är anmärkningsvärt att de allra flesta attacker som media skrämmer alla med börjar precis så här.
På vår revisionsavdelning, för skojs skull, beräknar vi ungefärlig statistik: vad är det totala värdet av tillgångarna i företag som vi har fått domänadministratörsåtkomst till, främst genom nätfiske och att skicka körbara bilagor? I år nådde den cirka 150 miljarder euro.
Det är tydligt att det inte är de enda metoderna för social ingenjörskonst att skicka provocerande e-postmeddelanden och lägga ut bilder av katter på webbplatser. I dessa exempel har vi försökt visa olika attackformer och deras konsekvenser. Förutom brev kan en potentiell angripare ringa för att få nödvändig information, sprida media (till exempel flash-enheter) med körbara filer på målföretagets kontor, få ett jobb som praktikant, få fysisk tillgång till det lokala nätverket under sken av en CCTV-kamerainstallatör. Alla dessa är för övrigt exempel från våra framgångsrikt genomförda projekt.
Del 3. Undervisning är ljus, men det olärda är mörker
En rimlig fråga uppstår: ja, okej, det finns social ingenjörskonst, det ser farligt ut, men vad ska företagen göra åt allt detta? Captain Obvious kommer till undsättning: du måste försvara dig själv och på ett heltäckande sätt. En del av skyddet kommer att inriktas på redan klassiska säkerhetsåtgärder, såsom tekniska medel för informationsskydd, övervakning, organisatoriskt och juridiskt stöd av processer, men huvuddelen bör enligt vår mening inriktas på ett direkt arbete med anställda som bl.a. svagaste länken. Trots allt, oavsett hur mycket du stärker tekniken eller skriver hårda regler, kommer det alltid att finnas en användare som kommer att upptäcka ett nytt sätt att bryta allt. Dessutom kommer varken regler eller teknik att hålla jämna steg med användarens kreativitet, särskilt om han uppmanas av en kvalificerad angripare.
Först och främst är det viktigt att träna användaren: förklara att även i hans rutinarbete kan situationer relaterade till social ingenjörskonst uppstå. För våra kunder bedriver vi ofta om digital hygien – ett evenemang som lär ut grundläggande färdigheter för att motverka attacker i allmänhet.
Jag kan tillägga att en av de bästa skyddsåtgärderna inte alls skulle vara att memorera informationssäkerhetsregler, utan att bedöma situationen på ett lite distanserat sätt:
- Vem är min samtalspartner?
- Var kom hans förslag eller begäran ifrån (detta har aldrig hänt förut, och nu har det dykt upp)?
- Vad är ovanligt med denna begäran?
Även en ovanlig typ av bokstavstypsnitt eller en talstil som är ovanlig för avsändaren kan starta en kedja av tvivel som kommer att stoppa en attack. Det behövs också föreskrivna instruktioner, men de fungerar annorlunda och kan inte specificera alla möjliga situationer. Till exempel skriver informationssäkerhetsadministratörer i dem att du inte kan ange ditt lösenord på tredjepartsresurser. Vad händer om "din", "företags" nätverksresurs ber om ett lösenord? Användaren tänker: "Vårt företag har redan två dussin tjänster med ett enda konto, varför inte ha ett till?" Detta leder till en annan regel: en välstrukturerad arbetsprocess påverkar också säkerheten direkt: om en angränsande avdelning kan begära information från dig endast skriftligen och endast genom din chef, kommer en person "från en pålitlig partner till företaget" säkerligen inte att vara kan begära det per telefon - det här är för dig det kommer att vara nonsens. Du bör vara särskilt försiktig om din samtalspartner kräver att göra allt just nu, eller "ASAP", eftersom det är på modet att skriva. Även i normalt arbete är denna situation ofta inte hälsosam, och inför eventuella attacker är det en stark utlösande faktor. Ingen tid att förklara, kör min fil!
Vi märker att användare alltid är måltavlor som legender för en socioteknisk attack av ämnen relaterade till pengar i en eller annan form: löften om kampanjer, preferenser, gåvor, såväl som information med förment lokalt skvaller och intriger. Med andra ord, de banala "dödssynderna" är verksamma: vinsttörst, girighet och överdriven nyfikenhet.
Bra träning bör alltid innehålla övning. Det är här experter på penetrationstester kan komma till undsättning. Nästa fråga är: vad och hur ska vi testa? Vi på Group-IB föreslår följande tillvägagångssätt: välj omedelbart fokus för testning: antingen utvärdera beredskapen för attacker av endast användarna själva, eller kontrollera säkerheten för företaget som helhet. Och testa med sociala ingenjörsmetoder, simulera riktiga attacker - det vill säga samma nätfiske, skicka körbara dokument, samtal och andra tekniker.
I det första fallet förbereds attacken noggrant tillsammans med representanter för kunden, främst med dess IT- och informationssäkerhetsspecialister. Legender, verktyg och attacktekniker är konsekventa. Kunden tillhandahåller själv fokusgrupper och listor över användare för attack, som inkluderar alla nödvändiga kontakter. Undantag skapas på säkerhetsåtgärder, eftersom meddelanden och körbara laddningar måste nå mottagaren, för i ett sådant projekt är bara människors reaktioner av intresse. Alternativt kan du inkludera markörer i attacken, genom vilka användaren kan gissa att detta är en attack - du kan till exempel göra ett par stavfel i meddelanden eller lämna felaktigheter i kopieringen av företagsstilen. I slutet av projektet erhålls samma ”torra statistik”: vilka fokusgrupper som svarat på scenarierna och i vilken utsträckning.
I det andra fallet utförs attacken med noll initial kunskap, med metoden "svarta lådan". Vi samlar självständigt in information om företaget, dess anställda, nätverksperimetern, skapar attacklegender, väljer metoder, letar efter möjliga säkerhetsåtgärder som används i målföretaget, anpassar verktyg och skapar scenarier. Våra specialister använder både klassiska metoder för öppen källkodsintelligens (OSINT) och Group-IB:s egen produkt - Threat Intelligence, ett system som vid förberedelser för nätfiske kan fungera som en aggregator av information om ett företag under en lång period, inklusive sekretessbelagd information. Naturligtvis, för att attacken inte ska bli en obehaglig överraskning, avtalas även dess detaljer med kunden. Det visar sig vara ett fullfjädrat penetrationstest, men det kommer att baseras på avancerad social ingenjörskonst. Det logiska alternativet i detta fall är att utveckla en attack inom nätverket, upp till att erhålla de högsta rättigheterna i interna system. Förresten, på liknande sätt använder vi sociotekniska attacker i , och i vissa penetrationstester. Som ett resultat kommer kunden att få en oberoende övergripande vision av sin säkerhet mot en viss typ av sociotekniska attacker, såväl som en demonstration av effektiviteten (eller, omvänt, ineffektiviteten) hos den byggda försvarslinjen mot yttre hot.
Vi rekommenderar att du genomför denna utbildning minst två gånger om året. För det första, i alla företag finns personalomsättning och tidigare erfarenheter glöms gradvis bort av de anställda. För det andra, metoder och tekniker för attacker förändras ständigt och detta leder till behovet av att anpassa säkerhetsprocesser och skyddsverktyg.
Om vi talar om tekniska åtgärder för att skydda mot attacker, hjälper följande mest:
- Förekomsten av obligatorisk tvåfaktorsautentisering på tjänster som publiceras på Internet. Att släppa sådana tjänster 2019 utan Single Sign On-system, utan skydd mot brute force av lösenord och utan tvåfaktorsautentisering i ett företag med flera hundra personer är liktydigt med ett öppet samtal om att "knäcka mig." Ett korrekt implementerat skydd kommer att göra snabb användning av stulna lösenord omöjlig och kommer att ge tid att eliminera konsekvenserna av en nätfiskeattack.
- Kontrollera åtkomstkontroll, minimera användarrättigheter i system och följa riktlinjerna för säker produktkonfiguration som släpps av varje större tillverkare. Dessa är ofta enkla till sin natur, men mycket effektiva och svåra att genomföra åtgärder, som alla, i en eller annan grad, försummar för snabbhetens skull. Och en del är så nödvändiga att utan dem kommer inget skydd att rädda.
- Välbyggd e-postfiltreringslinje. Antispam, total genomsökning av bilagor efter skadlig kod, inklusive dynamisk testning genom sandlådor. En väl förberedd attack innebär att den körbara bilagan inte kommer att upptäckas av antivirusverktyg. Sandlådan, tvärtom, kommer att testa allt själv, med hjälp av filer på samma sätt som en person använder dem. Som ett resultat kommer en möjlig skadlig komponent att avslöjas av ändringar som görs inuti sandlådan.
- Skyddsmedel mot riktade attacker. Som redan nämnts kommer klassiska antivirusverktyg inte att upptäcka skadliga filer i händelse av en väl förberedd attack. De mest avancerade produkterna bör automatiskt övervaka helheten av händelser som inträffar på nätverket - både på nivån för en enskild värd och på nivån av trafik inom nätverket. Vid attacker dyker det upp mycket karaktäristiska händelsekedjor som kan spåras och stoppas om man har övervakning fokuserad på händelser av detta slag.
Originalartikel i tidningen "Informationssäkerhet/ Informationssäkerhet" #6, 2019.
Källa: will.com