Уявіть собі таку ситуацію. Холодний жовтневий ранок, проектний інститут в обласному центрі одного з регіонів Росії. Хтось із відділу кадрів заходить на одну зі сторінок вакансій на сайті інституту, розміщену кілька днів тому, і бачить там фотографію кота. Ранок швидко перестає бути нудним.
У цій статті Павло Супрунюк, технічний керівник департаменту аудиту та консалтингу Group-IB, розповідає про те, яке місце займають соціотехнічні атаки в проектах з оцінки практичної захищеності, які незвичайні форми вони можуть набувати, а також як захиститися від таких атак. Автор уточнює, що стаття має оглядовий характер, проте, якщо якийсь аспект зацікавить читачів, експерти Group-IB охоче дадуть відповіді на запитання в коментарях.
Частина 1. Why so serious?
Повернемося до нашого кота. Через деякий час відділ кадрів видаляє фото (знімки екрану тут і далі частково заретушовані, щоб не розкривати реальні імена), але воно вперто повертається, його знову видаляють, і так відбувається ще кілька разів. У відділі кадрів розуміють, що наміри кота найсерйозніші, йти він не хоче, і закликають на допомогу веб-програміста — людину, яка робила сайт і розбирається в ньому, а зараз його адмініструє. Програміст заходить на сайт, ще раз видаляє набридлого кота, виявляє, що його розмістили від імені самого відділу кадрів, потім припускає, що пароль відділу кадрів витік до якихось мережевих хуліганів, і змінює його. Кіт більше не з'являється.
Що сталося насправді? Щодо групи компаній, куди входив інститут, фахівці Group-IB проводили тестування на проникнення у форматі близькому до Red Teaming (простіше кажучи, це імітація цільових атак на вашу компанію з використанням найпросунутіших методів та інструментів з арсеналу хакерських угруповань). Ми докладно розповідали про Red Teaming . Важливо знати, що під час проведення такого тесту може застосовуватися дуже широкий спектр атак із заздалегідь узгоджених, зокрема соціальна інженерія. Зрозуміло, що саме розміщення кота не було кінцевою метою того, що відбувається. А було таке:
- веб-сайт інституту був розміщений на сервері у самій мережі інституту, а не на сторонніх серверах;
- знайдено витік облікового запису відділу кадрів (файл журналу листів на корені сайту). Адмініструвати сайт із цим обліковим записом було неможливо, але можна було редагувати сторінки вакансій;
- змінюючи сторінки, можна було розмістити свої скрипти мовою JavaScript. Зазвичай вони роблять сторінки інтерактивними, але в цій ситуації цими ж скриптами можна було викрасти з браузера відвідувача те, що відрізняло відділ кадрів від програміста, а програміста простого відвідувача — ідентифікатор сесії на сайті. Кіт був тригером атаки та картинкою для привернення уваги. На мові розмітки сайтів HTML це виглядало так: якщо у вас завантажилася картинка, JavaScript вже виповнився і ваш ідентифікатор сесії разом з даними про ваш браузер і IP-адресу вже викрали.
- З викраденим ідентифікатором сесії адміністратора можна було б отримати повний доступ до сайту, розміщувати сторінки, що виконуються на мові PHP, а значить, отримати вихід в операційну систему сервера, а потім вже і в саму локальну мережу, що і було важливою проміжною метою проекту.
Атака закінчилася частковим успіхом — ідентифікатор сесії адміністратора викрали, але він був прив'язаний до IP-адреси. Обійти це не вдалося, ми не змогли підвищити привілеї на сайті до адміністраторських, натомість підвищили собі настрій. Кінцевий результат отримали на іншому ділянці мережного периметра.
Частина 2. Я пишу до вас — чого ж більше? А ще дзвоню і тупцюю у вас в офісі, гублячи флешки
Те, що сталося в ситуації з котом, — приклад соціальної інженерії, хай не зовсім класичної. Насправді в цій історії подій було більше: був і кіт, і інститут, і відділ кадрів, і програміст, але були ще й електронні листи з уточнювальними питаннями, які нібито писали «кандидати» в сам відділ кадрів і особисто програмісту, щоб спровокувати їх зайти на сторінку сайту.
До речі про листи. Звичайний email - напевно, основний транспорт для проведення соціальної інженерії - не втрачає своєї актуальності вже кілька десятків років і іноді призводить до незвичайних наслідків.
Наступну історію ми часто розповідаємо на наших заходах, оскільки вона є дуже показовою.
Зазвичай за результатами проектів із соціальною інженерією ми складаємо статистику, яка, як відомо, річ суха та нудна. Стільки відсотків одержувачів відкрило вкладення з листа, стільки перейшло за посиланням, а ці троє взагалі ввели свої логін і пароль. В одному проекті ми отримали понад 100% введення паролів, тобто вийшло більше, ніж розіслали.
Сталося це так: надсилався фішинговий лист, нібито від CISO держкорпорації, з вимогою терміново протестувати зміни в поштовому сервісі. Лист потрапив на керівника великого підрозділу, який займався техпідтримкою. Керівник був дуже старанний у виконанні доручень від високого начальства та переслав його всім підлеглим. Сам колл-центр виявився досить великим. Загалом ситуації, коли хтось пересилає «цікаві» фішингові листи своїм колегам і ті теж трапляються досить часто. Для нас це найкращий зворотний зв'язок щодо якості складання листа.
Трохи пізніше нас розкусили (лист знятий у скомпрометованій поштовій скриньці):
Такий успіх атаки був викликаний тим, що при розсилці використовували ряд технічних недоліків поштової системи клієнта. Вона була налаштована таким чином, що можна було надсилати будь-які листи від імені будь-якого відправника самої організації без авторизації, навіть із інтернету. Тобто можна було прикинутися CISO, чи начальником техпідтримки, чи ще кимось. Більше того, поштовий інтерфейс, спостерігаючи листи зі свого домена, дбайливо підставляв фотографію з адресної книги, що додавало натуральності відправнику.
Така атака не відноситься до особливо складних технологій, це успішна експлуатація дуже базового недоліку налаштування пошти. Вона регулярно розбирається на профільних ІТ-і ІБ-ресурсах, але досі зустрічаються компанії, у яких все це присутній. Оскільки ніхто не схильний досконально перевіряти службові заголовки поштового протоколу SMTP, лист зазвичай перевіряється на «небезпеку» за значками інтерфейсу пошти, що попереджають, які не завжди відображають всю картину.
Цікаво, що подібна вразливість працює і в іншому напрямку: зловмисник може надіслати листа від імені вашої компанії сторонньому одержувачу. Наприклад, він може підробити рахунок на регулярну оплату від вашого імені, вказавши замість ваших реквізитів інші. Якщо не розглядати питання антифроду і переведення в готівку коштів, це, ймовірно, один з найпростіших способів крадіжки грошей за допомогою соціальної інженерії.
Крім викрадення паролів через фішинг, класикою соціотехнічних атак є розсилка вкладень, що виконуються. Якщо ці вкладення подолають усі засоби захисту, яких у сучасних компаній зазвичай багато, утворюється канал віддаленого доступу на комп'ютер жертви. Для демонстрації наслідків атаки отримане віддалене управління можна розвивати до доступу до особливо важливої конфіденційної інформації. Цікаво, що переважна більшість атак, якими всіх лякають ЗМІ, саме так і починаються.
У нашому відділі аудиту ми заради інтересу вважаємо приблизну статистику: яка сумарна вартість активів компаній, до яких нами було отримано доступ рівня «Адміністратор домену» в основному за рахунок фішингу та розсилки вкладень, що виконуються? Цього року вона сягнула приблизно 150 млрд євро.
Зрозуміло, що розсилка електронних листів, що провокують, і розміщення фотографій котів на сайтах — не єдині способи соціальної інженерії. У цих прикладах ми намагалися показати різноманітність форм атаки та їх наслідків. Крім листів, потенційний атакуючий може дзвонити для отримання потрібної інформації, розкидати носії (наприклад, флешки) з файлами, що виконуються в офісі цільової компанії, влаштовуватися на роботу як стажер, отримувати фізичний доступ до локальної мережі під виглядом монтажника камер відеоспостереження. Все це, до речі, — приклади наших успішно завершених проектів.
Частина 3. Вчення – світло, а невчених – темрява
Виникає резонне питання: ну добре, є соціальна інженерія, виглядає небезпечно, а що з цим робити компаніям? На допомогу поспішає Капітан Очевидність: треба захищатись, причому комплексно. Деяка частина захисту буде спрямована на заходи безпеки, що вже стали класичними, такі як технічні засоби захисту інформації, моніторинг, організаційно-правове забезпечення процесів, але основна частина, на наш погляд, повинна прямувати на безпосередню роботу зі співробітниками як із найслабшою ланкою. Адже скільки ні зміцнюй техніку, ні пиши суворі регламенти, завжди знайдеться користувач, який відкриє новий спосіб зламати все. Причому ні регламенти, ні техніка не встигатимуть за польотом креативності користувача, якщо йому підказує кваліфікований зловмисник.
Насамперед важливо навчити користувача: пояснити, що навіть у його рутинній роботі можуть виникнути ситуації, пов'язані із соціальною інженерією. Для наших клієнтів ми часто проводимо з цифрової гігієни — захід, який навчає базових навичок протидії атакам загалом.
Можу додати, що одним із найкращих заходів захисту буде зовсім не заучування правил інформаційної безпеки, а трохи відсторонена оцінка ситуації:
- Хто мій співрозмовник?
- Звідки виникла його пропозиція чи прохання (адже ніколи такого не було, і ось з'явилося)?
- Що незвичайного у цьому запиті?
Навіть незвичайний тип шрифту письма або невластивий відправнику стиль мови можуть запустити ланцюжок сумнівів, що зупинить атаку. Прописані інструкції теж потрібні, але вони працюють інакше, при цьому не можуть конкретизувати всі можливі ситуації. Наприклад, адміністратори ІБ пишуть у них, що не можна вводити свій пароль на сторонніх ресурсах. А якщо пароль вимагає "свій", "корпоративний" мережевий ресурс? Користувач думає: "У нашій компанії і так є два десятки сервісів з єдиним обліковим записом, чому б не з'явитися ще одному?" Звідси витікає ще одне правило: добре збудований робочий процес також прямо впливає на безпеку: якщо сусідній відділ може запросити у вас інформацію тільки письмово і тільки через вашого керівника, людина «від довіреного партнера компанії» подавно не зможе її запросити телефоном — це для вас це буде нонсенс. Особливо варто насторожитися, якщо ваш співрозмовник вимагає все зробити прямо зараз, або ASAP, як модно писати. Навіть у звичайній роботі така ситуація часто не є здоровою, а в умовах можливих атак це сильний тригер. Нема часу пояснювати, запускай мій файл!
Ми зауважуємо, що на користувачів як легенди для соціотехнічної атаки завжди діють теми, пов'язані з грошима в тій чи іншій формі: обіцянка підвищень, преференцій, подарунків, а також інформація з нібито місцевими плітками та інтригами. Інакше кажучи, працюють банальні «смертні гріхи»: спрага наживи, жадібність та зайва цікавість.
Добре навчання завжди має включати практику. Тут на допомогу можуть прийти спеціалісти з тестування на проникнення. Наступне питання: а що і як ми тестуватимемо? Ми в Group-IB пропонуємо наступний підхід — одразу вибрати фокус тестування: або оцінювати готовність до атак лише самих користувачів, або ж перевіряти захищеність компанії загалом. А тестувати методами соціальної інженерії, імітуючи реальні атаки — тобто тими самими фішингом, розсилкою документів, що виконуються, дзвінками та іншими техніками.
У першому випадку атака ретельно готується спільно з представниками замовника, в основному з його ІТ- та ІБ-фахівцями. Узгоджуються легенди, інструменти та техніки атак. Замовник сам надає фокус-групи та списки користувачів для атаки, які включають усі необхідні контакти. Створюються винятки на засобах захисту, оскільки повідомлення та навантаження, що виконуються, обов'язково повинні дійти до одержувача, адже в такому проекті інтерес представляє лише реакція людей. Опціонально можна закласти в атаку маркери, якими користувач може здогадатися про те, що це і є атака — наприклад, можна зробити пару орфографічних помилок у повідомленнях або залишити неточності в копіюванні фірмового стилю. Після закінчення проекту виходить та сама «суха статистика»: які фокус-групи та в якому обсязі зреагували на сценарії.
У другому випадку атака проводиться з нульовими вихідними знаннями, методом «чорної скриньки». Ми самостійно збираємо інформацію про компанію, її співробітників, мережевий периметр, формуємо легенди для атаки, вибираємо методи, шукаємо можливі засоби захисту, що застосовуються в цільовій компанії, адаптуємо інструменти, складаємо сценарії. Наші фахівці використовують як класичні методи розвідки за відкритими джерелами (OSINT), так і продукт власної розробки Group-IB - Threat Intelligence, систему, яка при підготовці до фішингу може виступати агрегатором інформації про компанію за тривалий період, використовуючи, зокрема, і закриту інформацію. . Зрозуміло, щоб атака стала неприємним сюрпризом, її деталі також узгоджуються із замовником. Виходить повноцінний тест на проникнення, але його основі буде просунута соціальна інженерія. Логічна опція у разі — розвиток атаки всередині мережі, до отримання найвищих прав у внутрішніх системах. До речі, подібним чином ми застосовуємо соціотехнічні атаки і в , та в деяких тестах на проникнення. В результаті замовник отримає незалежне комплексне бачення своєї захищеності від певного виду соціотехнічних атак, а також демонстрацію ефективності (або навпаки, неефективності) збудованої лінії оборони від зовнішніх загроз.
Ми рекомендуємо проводити таке навчання не менше двох разів на рік. По-перше, у будь-якій компанії є плинність кадрів і попередній досвід поступово забувається співробітниками. По-друге, постійно змінюються способи та техніки атак і це призводить до необхідності адаптації процесів безпеки та засобів захисту.
Якщо ж говорити про технічні заходи захисту від атак, то найбільше допомагають наступні:
- Наявність обов'язкової двофакторної аутентифікації на сервісах, які надруковані в інтернеті. Випускати у 2019 році такі сервіси без систем Single Sign On, без захисту від перебору паролів та без двофакторної автентифікації в компанії розміром від кількох сотень людей рівносильно відкритому заклику «зламай мене». Правильно впроваджений захист унеможливить швидке застосування викрадених паролів і дасть час на усунення наслідків фішингової атаки.
- Контроль розмежування доступу, мінімізація прав користувачів у системах та дотримання посібників з безпечного налаштування продуктів, які випускає кожен великий виробник. Це найчастіше прості за своєю суттю, але дуже ефективні та складні в практичній реалізації заходи, якими всі тією чи іншою мірою нехтують заради швидкості роботи. А деякі настільки необхідні, що без них жоден засіб захисту не врятує.
- Добре побудована лінія фільтрації електронної пошти. Антиспам, тотальна перевірка вкладень на наявність шкідливого коду, зокрема динамічне тестування через пісочниці. Добре підготовлена атака передбачає, що вкладення, що виконується, не буде детектуватися антивірусними засобами. Пісочниця, навпаки, перевірить усе на собі, використовуючи файли так само, як їх використовує людина. В результаті можлива шкідлива складова буде розкрита за змінами, що виробляються всередині пісочниці.
- Засоби захисту від цілеспрямованих атак. Як уже зазначалося, класичні антивірусні засоби не детектуватимуть шкідливі файли при добре підготовленій атаці. Найбільш просунуті продукти повинні автоматично відстежувати сукупність подій, що відбуваються в мережі, як на рівні окремого хоста, так і на рівні трафіку всередині мережі. У разі атак проявляються дуже характерні ланцюжки подій, які можна відстежити та зупинити, якщо мати сфокусований на події такого роду моніторинг.
оригінал статті у журналі «Information Security/ Інформаційна безпека» #6, 2019.
Джерело: habr.com