Isipin ang sitwasyong ito. Malamig na umaga ng Oktubre, instituto ng disenyo sa sentro ng rehiyon ng isa sa mga rehiyon ng Russia. Isang tao mula sa departamento ng HR ang pumunta sa isa sa mga pahina ng bakante sa website ng institute, nag-post ilang araw na ang nakalipas, at nakakita ng larawan ng isang pusa doon. Mabilis na huminto sa pagiging boring ang umaga...
Sa artikulong ito, si Pavel Suprunyuk, teknikal na pinuno ng departamento ng pag-audit at pagkonsulta sa Group-IB, ay nagsasalita tungkol sa lugar ng mga sociotechnical na pag-atake sa mga proyektong nagtatasa ng praktikal na seguridad, kung anong mga hindi pangkaraniwang anyo ang maaari nilang gawin, at kung paano protektahan laban sa mga naturang pag-atake. Nilinaw ng may-akda na ang artikulo ay isang likas na pagsusuri, gayunpaman, kung anumang aspeto ang interesado sa mga mambabasa, ang mga eksperto ng Group-IB ay madaling sasagot sa mga tanong sa mga komento.
Part 1. Bakit sobrang seryoso?
Bumalik tayo sa ating pusa. Pagkaraan ng ilang oras, tinatanggal ng departamento ng HR ang larawan (ang mga screenshot dito at sa ibaba ay bahagyang ni-retouch para hindi makita ang mga tunay na pangalan), ngunit ito ay matigas ang ulo na bumalik, ito ay tinanggal muli, at ito ay nangyayari nang maraming beses. Nauunawaan ng departamento ng HR na ang pusa ay may pinakamabigat na intensyon, ayaw niyang umalis, at humihingi sila ng tulong mula sa isang web programmer - isang taong lumikha ng site at naiintindihan ito, at ngayon ay pinangangasiwaan ito. Ang programmer ay pumunta sa site, muling tinanggal ang nakakainis na pusa, nalaman na ito ay nai-post sa ngalan ng departamento ng HR mismo, pagkatapos ay ipagpalagay na ang password ng departamento ng HR ay tumagas sa ilang mga online na hooligans, at binago ito. Hindi na muling lumilitaw ang pusa.
Ano ba talaga ang nangyari? Kaugnay ng grupo ng mga kumpanyang kasama ang institute, ang mga espesyalista ng Group-IB ay nagsagawa ng penetration testing sa isang format na malapit sa Red Teaming (sa madaling salita, ito ay isang imitasyon ng mga naka-target na pag-atake sa iyong kumpanya gamit ang mga pinaka-advanced na pamamaraan at tool mula sa arsenal ng mga grupo ng hacker). Nag-usap kami nang detalyado tungkol sa Red Teaming . Mahalagang malaman na kapag nagsasagawa ng naturang pagsubok, maaaring gumamit ng napakalawak na hanay ng mga paunang napagkasunduang pag-atake, kabilang ang social engineering. Ito ay malinaw na ang paglalagay ng pusa mismo ay hindi ang pangwakas na layunin ng kung ano ang nangyayari. At nagkaroon ng mga sumusunod:
- ang website ng institute ay naka-host sa isang server sa loob mismo ng network ng institute, at hindi sa mga third-party na server;
- May nakitang leak sa HR department account (ang email log file sa ugat ng site). Imposibleng pangasiwaan ang site gamit ang account na ito, ngunit posibleng i-edit ang mga pahina ng trabaho;
- Sa pamamagitan ng pagbabago ng mga pahina, maaari mong ilagay ang iyong mga script sa JavaScript. Kadalasan ay ginagawa nilang interactive ang mga page, ngunit sa sitwasyong ito, maaaring magnakaw ang parehong mga script mula sa browser ng bisita kung ano ang pinagkaiba ng HR department mula sa programmer, at ang programmer mula sa isang simpleng bisita - ang session identifier sa site. Ang pusa ay isang trigger ng pag-atake at isang larawan upang makaakit ng pansin. Sa markup language ng HTML website, ganito ang hitsura: kung nag-load ang iyong larawan, naisakatuparan na ang JavaScript at ninakaw na ang iyong session ID, kasama ang data tungkol sa iyong browser at IP address.
- Sa isang ninakaw na session ID ng administrator, posibleng makakuha ng ganap na access sa site, mag-host ng mga executable na page sa PHP, at samakatuwid ay makakuha ng access sa operating system ng server, at pagkatapos ay sa lokal na network mismo, na isang mahalagang intermediate na layunin ng ang proyekto.
Bahagyang matagumpay ang pag-atake: ninakaw ang session ID ng administrator, ngunit nakatali ito sa isang IP address. Hindi namin maaabot ito; hindi namin maitaas ang aming mga pribilehiyo sa site sa mga pribilehiyo ng administrator, ngunit pinagbuti namin ang aming kalooban. Ang huling resulta ay nakuha sa ibang seksyon ng perimeter ng network.
Part 2. Sumulat ako sa iyo - ano pa? Tumatawag din ako at tumambay sa opisina mo, naghuhulog ng mga flash drive.
Ang nangyari sa sitwasyon kasama ang pusa ay isang halimbawa ng social engineering, kahit na hindi masyadong klasikal. Sa katunayan, marami pang mga kaganapan sa kuwentong ito: mayroong isang pusa, at isang institute, at isang departamento ng mga tauhan, at isang programmer, ngunit mayroon ding mga email na may mga paglilinaw na tanong na sinasabing "mga kandidato" ay sumulat sa mismong departamento ng mga tauhan at personal. sa programmer upang hikayatin silang pumunta sa pahina ng site.
Nagsasalita ng mga liham. Ang ordinaryong email, marahil ang pangunahing sasakyan para sa pagsasakatuparan ng social engineering, ay hindi nawala ang kaugnayan nito sa loob ng ilang dekada at kung minsan ay humahantong sa pinaka-hindi pangkaraniwang mga kahihinatnan.
Madalas nating ikwento ang mga sumusunod na kuwento sa ating mga kaganapan, dahil ito ay napakahayag.
Karaniwan, batay sa mga resulta ng mga proyekto sa social engineering, pinagsama-sama namin ang mga istatistika, na, tulad ng alam namin, ay isang tuyo at nakakainip na bagay. Napakaraming porsyento ng mga tatanggap ang nagbukas ng attachment mula sa liham, napakaraming sumunod sa link, ngunit ang tatlong ito ay talagang nagpasok ng kanilang username at password. Sa isang proyekto, nakatanggap kami ng higit sa 100% ng mga password na inilagay - ibig sabihin, mas marami ang lumabas kaysa sa ipinadala namin.
Ganito ang nangyari: nagpadala ng liham ng phishing, na diumano'y mula sa CISO ng isang korporasyon ng estado, na may kahilingan na "mamadaling subukan ang mga pagbabago sa serbisyo ng mail." Nakarating ang liham sa pinuno ng isang malaking departamento na tumutugon sa teknikal na suporta. Ang tagapamahala ay napakasipag sa pagsasagawa ng mga tagubilin mula sa matataas na awtoridad at ipinasa ito sa lahat ng mga nasasakupan. Medyo malaki pala ang call center mismo. Sa pangkalahatan, ang mga sitwasyon kung saan ang isang tao ay nagpapasa ng "kawili-wiling" mga phishing na email sa kanilang mga kasamahan at sila rin ay nahuhuli ay isang pangkaraniwang pangyayari. Para sa amin, ito ang pinakamahusay na feedback sa kalidad ng pagsulat ng isang liham.
Maya-maya ay nalaman nila ang tungkol sa amin (ang sulat ay kinuha sa isang nakompromisong mailbox):
Ang tagumpay ng pag-atake ay dahil sa ang katunayan na ang pagpapadala ng koreo ay pinagsamantalahan ang isang bilang ng mga teknikal na kakulangan sa sistema ng mail ng kliyente. Ito ay na-configure sa paraang posible na magpadala ng anumang mga sulat sa ngalan ng sinumang nagpadala ng organisasyon mismo nang walang pahintulot, kahit na mula sa Internet. Iyon ay, maaari kang magpanggap na isang CISO, o pinuno ng teknikal na suporta, o ibang tao. Bukod dito, ang interface ng mail, na nagmamasid sa mga titik mula sa "nito" na domain, ay maingat na nagpasok ng isang larawan mula sa address book, na nagdagdag ng pagiging natural sa nagpadala.
Sa totoo lang, ang gayong pag-atake ay hindi partikular na kumplikadong teknolohiya; ito ay isang matagumpay na pagsasamantala ng isang napaka-pangunahing kapintasan sa mga setting ng mail. Regular itong sinusuri sa mga espesyal na mapagkukunan ng IT at seguridad ng impormasyon, ngunit gayunpaman, mayroon pa ring mga kumpanya na mayroong lahat ng ito. Dahil walang sinuman ang hilig na lubusang suriin ang mga header ng serbisyo ng SMTP mail protocol, ang isang sulat ay karaniwang sinusuri para sa "panganib" gamit ang mga icon ng babala sa mail interface, na hindi palaging ipinapakita ang buong larawan.
Kapansin-pansin, gumagana din ang isang katulad na kahinaan sa kabilang direksyon: maaaring magpadala ang isang attacker ng email sa ngalan ng iyong kumpanya sa isang third-party na tatanggap. Halimbawa, maaari niyang palsipikado ang isang invoice para sa regular na pagbabayad sa ngalan mo, na nagsasaad ng iba pang mga detalye sa halip na sa iyo. Bukod sa mga isyu sa anti-fraud at cash-out, ito ay marahil ang isa sa mga pinakamadaling paraan upang magnakaw ng pera sa pamamagitan ng social engineering.
Bilang karagdagan sa pagnanakaw ng mga password sa pamamagitan ng phishing, isang klasikong sociotechnical na pag-atake ang pagpapadala ng mga executable na attachment. Kung ang mga pamumuhunang ito ay nagtagumpay sa lahat ng mga hakbang sa seguridad, kung saan ang mga modernong kumpanya ay kadalasang mayroong marami, isang remote access channel ang gagawin sa computer ng biktima. Upang ipakita ang mga kahihinatnan ng pag-atake, ang nagreresultang remote control ay maaaring mabuo upang ma-access ang partikular na mahalagang kumpidensyal na impormasyon. Kapansin-pansin na ang karamihan sa mga pag-atake na ginagamit ng media upang takutin ang lahat ay nagsisimula nang eksakto tulad nito.
Sa aming departamento ng pag-audit, para masaya, kinakalkula namin ang mga tinatayang istatistika: ano ang kabuuang halaga ng mga asset ng mga kumpanya kung saan kami nakakuha ng access sa Domain Administrator, pangunahin sa pamamagitan ng phishing at pagpapadala ng mga executable na attachment? Sa taong ito umabot ito ng humigit-kumulang 150 bilyong euro.
Malinaw na ang pagpapadala ng mga nakakapukaw na email at pag-post ng mga larawan ng mga pusa sa mga website ay hindi lamang ang mga paraan ng social engineering. Sa mga halimbawang ito, sinubukan naming ipakita ang iba't ibang anyo ng pag-atake at ang kanilang mga kahihinatnan. Bilang karagdagan sa mga liham, maaaring tumawag ang isang potensyal na umaatake upang makuha ang kinakailangang impormasyon, magkalat ng media (halimbawa, mga flash drive) na may mga executable na file sa opisina ng target na kumpanya, makakuha ng trabaho bilang intern, makakuha ng pisikal na access sa lokal na network sa ilalim ng pagkukunwari ng isang CCTV camera installer. Ang lahat ng ito, sa pamamagitan ng paraan, ay mga halimbawa mula sa aming matagumpay na natapos na mga proyekto.
Bahagi 3. Ang pagtuturo ay liwanag, ngunit ang hindi pinag-aralan ay kadiliman
Ang isang makatwirang tanong ay lumitaw: mabuti, okay, mayroong social engineering, mukhang mapanganib, ngunit ano ang dapat gawin ng mga kumpanya tungkol sa lahat ng ito? Si Captain Obvious ay sumagip: kailangan mong ipagtanggol ang iyong sarili, at sa isang komprehensibong paraan. Ang ilang bahagi ng proteksyon ay maglalayon sa mga klasikong hakbang sa seguridad, tulad ng mga teknikal na paraan ng proteksyon ng impormasyon, pagsubaybay, organisasyonal at legal na suporta ng mga proseso, ngunit ang pangunahing bahagi, sa aming opinyon, ay dapat ituro sa direktang trabaho sa mga empleyado bilang ang pinakamahina na link. Pagkatapos ng lahat, kahit gaano mo palakasin ang teknolohiya o magsulat ng malupit na mga regulasyon, palaging mayroong isang gumagamit na makakatuklas ng isang bagong paraan upang sirain ang lahat. Bukod dito, hindi makakasabay ang mga regulasyon o teknolohiya sa paglipad ng pagkamalikhain ng user, lalo na kung sinenyasan siya ng isang kwalipikadong umaatake.
Una sa lahat, mahalagang sanayin ang gumagamit: ipaliwanag na kahit na sa kanyang nakagawiang trabaho, maaaring lumitaw ang mga sitwasyong nauugnay sa social engineering. Para sa aming mga kliyente ay madalas naming isinasagawa sa digital hygiene - isang kaganapan na nagtuturo ng mga pangunahing kasanayan upang labanan ang mga pag-atake sa pangkalahatan.
Maaari kong idagdag na ang isa sa mga pinakamahusay na hakbang sa proteksyon ay hindi ang pagsasaulo ng mga panuntunan sa seguridad ng impormasyon, ngunit upang masuri ang sitwasyon sa isang bahagyang hiwalay na paraan:
- Sino ang aking kausap?
- Saan nagmula ang kanyang panukala o kahilingan (hindi pa ito nangyari noon, at ngayon ay lumitaw na)?
- Ano ang hindi karaniwan sa kahilingang ito?
Kahit na ang isang hindi pangkaraniwang uri ng font ng liham o isang istilo ng pananalita na hindi karaniwan para sa nagpadala ay maaaring magdulot ng isang chain ng pagdududa na magpapahinto sa isang pag-atake. Kinakailangan din ang mga iniresetang tagubilin, ngunit gumagana ang mga ito nang iba at hindi maaaring tukuyin ang lahat ng posibleng sitwasyon. Halimbawa, isinulat ng mga administrator ng seguridad ng impormasyon sa kanila na hindi mo mailalagay ang iyong password sa mga mapagkukunan ng third-party. Paano kung ang "iyong", "corporate" na mapagkukunan ng network ay humingi ng password? Iniisip ng user: "Ang aming kumpanya ay mayroon nang dalawang dosenang serbisyo na may isang account, bakit hindi magkaroon ng isa pa?" Ito ay humahantong sa isa pang tuntunin: ang isang maayos na proseso ng trabaho ay direktang nakakaapekto sa seguridad: kung ang isang kalapit na departamento ay maaaring humiling ng impormasyon mula sa iyo sa pamamagitan lamang ng sulat at sa pamamagitan lamang ng iyong manager, ang isang tao "mula sa isang pinagkakatiwalaang kasosyo ng kumpanya" ay tiyak na hindi magiging magagawang humiling nito sa pamamagitan ng telepono - ito ay para sa iyo ito ay magiging walang kapararakan. Dapat kang maging maingat lalo na kung hinihiling ng iyong kausap na gawin ang lahat ngayon, o "ASAP", dahil ito ay naka-istilong magsulat. Kahit na sa normal na trabaho, ang sitwasyong ito ay madalas na hindi malusog, at sa harap ng mga posibleng pag-atake, ito ay isang malakas na pag-trigger. Walang oras upang magpaliwanag, patakbuhin ang aking file!
Napansin namin na ang mga user ay palaging tinatarget bilang mga alamat para sa isang sociotechnical na pag-atake sa pamamagitan ng mga paksang nauugnay sa pera sa isang anyo o iba pa: mga pangako ng mga promosyon, kagustuhan, regalo, pati na rin ang impormasyon na may diumano'y lokal na tsismis at intriga. Sa madaling salita, ang mga banal na "nakamamatay na mga kasalanan" ay gumagana: pagkauhaw sa kita, kasakiman at labis na pag-usisa.
Ang mabuting pagsasanay ay dapat palaging kasama ang pagsasanay. Dito maaaring sumagip ang mga eksperto sa pagsubok sa pagtagos. Ang susunod na tanong ay: ano at paano natin susuriin? Iminumungkahi namin sa Group-IB ang sumusunod na diskarte: agad na piliin ang pokus ng pagsubok: alinman sa tasahin ang kahandaan para sa mga pag-atake ng mga user lang mismo, o suriin ang seguridad ng kumpanya sa kabuuan. At subukan gamit ang mga pamamaraan ng social engineering, pagtulad sa mga tunay na pag-atake - iyon ay, ang parehong phishing, pagpapadala ng mga maipapatupad na dokumento, mga tawag at iba pang mga diskarte.
Sa unang kaso, ang pag-atake ay maingat na inihanda kasama ng mga kinatawan ng customer, pangunahin sa mga IT at mga espesyalista sa seguridad ng impormasyon nito. Ang mga alamat, tool at diskarte sa pag-atake ay pare-pareho. Ang customer mismo ang nagbibigay ng mga focus group at listahan ng mga user para sa pag-atake, na kinabibilangan ng lahat ng kinakailangang contact. Ang mga pagbubukod ay nilikha sa mga hakbang sa seguridad, dahil ang mga mensahe at executable load ay dapat maabot ang tatanggap, dahil sa naturang proyekto ay ang mga reaksyon ng mga tao lamang ang interesado. Opsyonal, maaari mong isama ang mga marker sa pag-atake, kung saan mahuhulaan ng user na ito ay isang pag-atake - halimbawa, maaari kang gumawa ng ilang mga error sa spelling sa mga mensahe o mag-iwan ng mga kamalian sa pagkopya sa istilo ng kumpanya. Sa pagtatapos ng proyekto, ang parehong "dry statistics" ay nakuha: kung aling mga focus group ang tumugon sa mga senaryo at hanggang saan.
Sa pangalawang kaso, ang pag-atake ay isinasagawa nang walang paunang kaalaman, gamit ang pamamaraang "itim na kahon". Independyente kaming nangongolekta ng impormasyon tungkol sa kumpanya, mga empleyado nito, sa perimeter ng network, lumikha ng mga alamat ng pag-atake, pumili ng mga pamamaraan, naghahanap ng mga posibleng hakbang sa seguridad na ginagamit sa target na kumpanya, umaangkop sa mga tool, at lumikha ng mga sitwasyon. Ginagamit ng aming mga espesyalista ang mga klasikong pamamaraan ng open source intelligence (OSINT) at ang sariling produkto ng Group-IB - Threat Intelligence, isang sistema na, kapag naghahanda para sa phishing, ay maaaring kumilos bilang isang aggregator ng impormasyon tungkol sa isang kumpanya sa loob ng mahabang panahon, kabilang ang classified na impormasyon . Siyempre, upang ang pag-atake ay hindi maging isang hindi kasiya-siyang sorpresa, ang mga detalye nito ay napagkasunduan din sa customer. Ito ay lumabas na isang ganap na pagsubok sa pagtagos, ngunit ito ay ibabatay sa advanced na social engineering. Ang lohikal na opsyon sa kasong ito ay upang bumuo ng isang pag-atake sa loob ng network, hanggang sa pagkuha ng pinakamataas na karapatan sa mga panloob na sistema. Sa pamamagitan ng paraan, sa isang katulad na paraan ginagamit namin ang mga sociotechnical na pag-atake sa , at sa ilang mga pagsubok sa pagtagos. Bilang resulta, ang customer ay makakatanggap ng isang independiyenteng komprehensibong pangitain ng kanilang seguridad laban sa isang tiyak na uri ng mga pag-atake ng sociotechnical, pati na rin ang isang pagpapakita ng pagiging epektibo (o, sa kabilang banda, hindi epektibo) ng binuo na linya ng depensa laban sa mga panlabas na banta.
Inirerekomenda namin ang pagsasagawa ng pagsasanay na ito nang hindi bababa sa dalawang beses sa isang taon. Una, sa anumang kumpanya mayroong paglilipat ng kawani at ang nakaraang karanasan ay unti-unting nakalimutan ng mga empleyado. Pangalawa, ang mga pamamaraan at pamamaraan ng pag-atake ay patuloy na nagbabago at ito ay humahantong sa pangangailangan na iakma ang mga proseso ng seguridad at mga tool sa proteksyon.
Kung pag-uusapan natin ang tungkol sa mga teknikal na hakbang upang maprotektahan laban sa mga pag-atake, ang mga sumusunod ay higit na nakakatulong:
- Ang pagkakaroon ng ipinag-uutos na dalawang-factor na pagpapatunay sa mga serbisyong nai-publish sa Internet. Ang pagpapalabas ng mga naturang serbisyo sa 2019 nang walang Single Sign On system, nang walang proteksyon laban sa malupit na puwersa ng password at walang dalawang-factor na pagpapatotoo sa isang kumpanya ng ilang daang tao ay katumbas ng isang bukas na tawag na "sirain ako." Ang wastong ipinatupad na proteksyon ay gagawing imposible ang mabilis na paggamit ng mga ninakaw na password at magbibigay ng oras upang maalis ang mga kahihinatnan ng pag-atake ng phishing.
- Pagkontrol sa kontrol sa pag-access, pagliit ng mga karapatan ng user sa mga system, at pagsunod sa mga alituntunin para sa secure na configuration ng produkto na inilabas ng bawat pangunahing manufacturer. Ang mga ito ay madalas na simple sa kalikasan, ngunit napaka-epektibo at mahirap ipatupad ang mga hakbang, na ang lahat, sa isang antas o iba pa, ay napapabayaan para sa kapakanan ng bilis. At ang ilan ay lubhang kailangan na kung wala ang mga ito ay walang paraan ng proteksyon ang makakapagligtas.
- Mahusay na binuong linya ng pag-filter ng email. Antispam, kabuuang pag-scan ng mga attachment para sa malisyosong code, kabilang ang dynamic na pagsubok sa pamamagitan ng mga sandbox. Ang isang mahusay na inihanda na pag-atake ay nangangahulugan na ang maipapatupad na attachment ay hindi makikita ng mga tool ng antivirus. Ang sandbox, sa kabaligtaran, ay susubukan ang lahat para sa sarili nito, gamit ang mga file sa parehong paraan tulad ng paggamit ng isang tao sa kanila. Bilang resulta, ang isang posibleng malisyosong bahagi ay ipapakita sa pamamagitan ng mga pagbabagong ginawa sa loob ng sandbox.
- Paraan ng proteksyon laban sa mga naka-target na pag-atake. Tulad ng nabanggit na, ang mga klasikong tool ng antivirus ay hindi makaka-detect ng mga nakakahamak na file sa kaganapan ng isang mahusay na inihandang pag-atake. Ang pinaka-advanced na mga produkto ay dapat awtomatikong subaybayan ang kabuuan ng mga kaganapan na nagaganap sa network - parehong sa antas ng isang indibidwal na host at sa antas ng trapiko sa loob ng network. Sa kaso ng mga pag-atake, lumilitaw ang napaka-katangi-tanging mga hanay ng mga kaganapan na maaaring masubaybayan at itigil kung nakatuon ka sa pagsubaybay sa mga kaganapang tulad nito.
Orihinal na artikulo sa magazine na βInformation Security/ Information Securityβ #6, 2019.
Pinagmulan: www.habr.com