Bu vaziyatni tasavvur qiling. Sovuq oktyabr ertalab, Rossiyaning viloyatlaridan birining viloyat markazidagi loyiha instituti. Kadrlar bo'limidan kimdir institut veb-saytidagi bo'sh ish o'rinlari sahifalaridan biriga kirib, bir necha kun oldin joylashtirilgan va u erda mushukning fotosuratini ko'radi. Ertalab tezda zerikarli bo'lishni to'xtatadi ...
Ushbu maqolada Group-IB audit va konsalting bo'limining texnik rahbari Pavel Suprunyuk amaliy xavfsizlikni baholovchi loyihalarda ijtimoiy-texnik hujumlarning o'rni, ular qanday noodatiy shakllarga ega bo'lishi mumkinligi va bunday hujumlardan qanday himoyalanish haqida gapiradi. Muallifning ta'kidlashicha, maqola sharh xarakteriga ega, ammo agar biron bir jihat o'quvchilarni qiziqtirsa, Group-IB ekspertlari sharhlarda savollarga osongina javob berishadi.
1-qism. Nega bunchalik jiddiy?
Keling, mushukimizga qaytaylik. Biroz vaqt o'tgach, kadrlar bo'limi fotosuratni o'chiradi (bu erda va pastda skrinshotlar haqiqiy ismlarni oshkor qilmaslik uchun qisman retushlangan), lekin u o'jarlik bilan qaytib keladi, u yana o'chiriladi va bu yana bir necha marta sodir bo'ladi. Kadrlar bo'limi mushukning eng jiddiy niyatlari borligini tushunadi, u ketishni istamaydi va ular veb-dasturchidan yordam so'rashadi - saytni yaratgan va uni tushunadigan va hozir uni boshqaradigan odam. Dasturchi saytga kirib, zerikarli mushukni yana bir bor o'chirib tashlaydi, u kadrlar bo'limining o'zi nomidan e'lon qilinganini bilib oladi, so'ngra HR bo'limi paroli ba'zi onlayn bezorilarga sizib ketgan deb taxmin qiladi va uni o'zgartiradi. Mushuk boshqa ko'rinmaydi.
Haqiqatan ham nima bo'ldi? Institutni o'z ichiga olgan kompaniyalar guruhiga nisbatan Group-IB mutaxassislari Red Teamingga yaqin formatda penetratsion testlarni o'tkazdilar (boshqacha qilib aytganda, bu sizning kompaniyangizning eng ilg'or usullari va vositalaridan foydalangan holda sizning kompaniyangizga maqsadli hujumlarga taqlid qilishdir. xakerlik guruhlari arsenali). Biz Red Teaming haqida batafsil gaplashdik . Bunday testni o'tkazishda oldindan kelishilgan hujumlarning juda keng doirasi, jumladan, ijtimoiy muhandislikdan foydalanish mumkinligini bilish muhimdir. Mushukni joylashtirishning o'zi sodir bo'layotgan voqealarning yakuniy maqsadi emasligi aniq. Va quyidagilar bor edi:
- institut veb-sayti uchinchi tomon serverlarida emas, balki institut tarmog‘idagi serverda joylashtirilgan;
- Kadrlar bo'limi hisobidagi oqish aniqlandi (elektron pochta jurnali fayli saytning ildizida joylashgan). Ushbu hisob bilan saytni boshqarish mumkin emas edi, lekin ish sahifalarini tahrirlash mumkin edi;
- Sahifalarni o'zgartirish orqali siz skriptlaringizni JavaScript-ga joylashtirishingiz mumkin. Odatda ular sahifalarni interaktiv qiladi, ammo bu holatda, xuddi shu skriptlar tashrif buyuruvchi brauzeridan kadrlar bo'limi dasturchidan va dasturchini oddiy tashrifchidan - saytdagi sessiya identifikatoridan ajratib turadigan narsalarni o'g'irlashi mumkin. Mushuk hujum tetik va diqqatni jalb qilish uchun rasm edi. HTML veb-sayt belgilash tilida u shunday ko'rinardi: agar sizning rasmingiz yuklangan bo'lsa, JavaScript allaqachon bajarilgan va seans identifikatoringiz, brauzeringiz va IP manzilingiz haqidagi ma'lumotlaringiz allaqachon o'g'irlangan.
- O'g'irlangan administrator seansi identifikatori bilan saytga to'liq kirish, PHP-da bajariladigan sahifalarni joylashtirish va shuning uchun server operatsion tizimiga, so'ngra mahalliy tarmoqning o'ziga kirish huquqiga ega bo'lish mumkin edi, bu muhim oraliq maqsad edi. loyiha.
Hujum qisman muvaffaqiyatli bo'ldi: administratorning seans identifikatori o'g'irlangan, ammo u IP-manzilga bog'langan. Biz buni hal qila olmadik; saytimiz imtiyozlarini administrator imtiyozlariga oshira olmadik, lekin kayfiyatimizni yaxshiladik. Yakuniy natija oxir-oqibat tarmoq perimetrining boshqa qismida qo'lga kiritildi.
2-qism. Men sizga yozyapman - yana nima? Men ham qo'ng'iroq qilaman va sizning ofisingizda flesh-disklarni tashlab o'tiraman.
Mushuk bilan bo'lgan vaziyatda sodir bo'lgan narsa, klassik bo'lmasa ham, ijtimoiy muhandislikning namunasidir. Darhaqiqat, bu hikoyada ko'proq voqealar bo'lgan: mushuk, institut, kadrlar bo'limi va dasturchi bor edi, ammo "nomzodlar" kadrlar bo'limining o'ziga va shaxsan yozgan aniq savollari bo'lgan elektron pochta xabarlari ham bor edi. dasturchiga ularni sayt sahifasiga o'tishga undash uchun.
Harflar haqida gapirganda. Oddiy elektron pochta, ehtimol, ijtimoiy muhandislikni amalga oshirishning asosiy vositasi, bir necha o'n yillar davomida o'z ahamiyatini yo'qotmadi va ba'zida eng noodatiy oqibatlarga olib keladi.
Biz o'z tadbirlarimizda ko'pincha quyidagi voqeani aytib beramiz, chunki u juda ochib beradi.
Odatda, ijtimoiy muhandislik loyihalari natijalariga ko'ra, biz statistik ma'lumotlarni tuzamiz, bu biz bilganimizdek, quruq va zerikarli narsadir. Qabul qiluvchilarning ko'p foizi xatdan ilovani ochdi, shuning uchun ko'pchilik havolaga ergashdi, lekin bu uchtasi aslida foydalanuvchi nomi va parolini kiritdi. Bitta loyihada biz kiritilgan parollarning 100% dan ortig'ini oldik - ya'ni biz yuborganimizdan ko'proq chiqdi.
Bu shunday bo'ldi: go'yoki davlat korporatsiyasining CISO'dan "pochta xizmatidagi o'zgarishlarni zudlik bilan sinab ko'rish" talabi bilan fishing xati yuborildi. Xat texnik ta'minot bilan shug'ullanadigan katta bo'lim boshlig'iga etib keldi. Menejer yuqori hokimiyatlarning ko'rsatmalarini bajarishda juda astoydil harakat qildi va ularni barcha qo'l ostidagilarga yubordi. Call-markazning o'zi juda katta bo'lib chiqdi. Umuman olganda, kimdir o'z hamkasblariga "qiziqarli" fishing xatlarini yuborishi va ular ham qo'lga tushishi odatiy holdir. Biz uchun bu xat yozish sifati bo'yicha eng yaxshi fikrdir.
Birozdan keyin ular biz haqimizda bilib olishdi (xat buzilgan pochta qutisiga olingan):
Hujumning muvaffaqiyati pochta jo'natmalari mijozning pochta tizimidagi bir qator texnik kamchiliklardan foydalanganligi bilan bog'liq. U shunday tuzilganki, tashkilotning istalgan jo'natuvchisi nomidan ruxsatsiz, hatto Internetdan ham istalgan xat yuborish mumkin edi. Ya'ni, siz o'zingizni CISO yoki texnik yordam boshlig'i yoki boshqa birov sifatida ko'rsatishingiz mumkin. Bundan tashqari, pochta interfeysi "o'z" domenidagi harflarni kuzatib, manzillar kitobidan fotosuratni diqqat bilan joylashtirdi, bu jo'natuvchiga tabiiylik qo'shdi.
Aslida, bunday hujum unchalik murakkab texnologiya emas, bu pochta sozlamalaridagi juda asosiy kamchilikdan muvaffaqiyatli foydalanishdir. U muntazam ravishda maxsus IT va axborot xavfsizligi resurslarida ko'rib chiqiladi, ammo shunga qaramay, bularning barchasiga ega bo'lgan kompaniyalar hali ham mavjud. Hech kim SMTP pochta protokolining xizmat sarlavhalarini sinchkovlik bilan tekshirishga moyil emasligi sababli, xat odatda pochta interfeysidagi ogohlantirish belgilaridan foydalangan holda "xavf" uchun tekshiriladi, ular har doim ham butun rasmni ko'rsatmaydi.
Qizig'i shundaki, shunga o'xshash zaiflik boshqa yo'nalishda ham ishlaydi: tajovuzkor uchinchi tomon oluvchiga kompaniyangiz nomidan elektron pochta xabarini yuborishi mumkin. Misol uchun, u sizning nomingizdan muntazam to'lov uchun hisob-fakturani soxtalashtirishi mumkin, bu sizning o'rniga boshqa ma'lumotlarni ko'rsatadi. Firibgarlikka qarshi va naqd pul chiqarish masalalaridan tashqari, bu ijtimoiy muhandislik orqali pul o'g'irlashning eng oson usullaridan biri bo'lishi mumkin.
Fishing orqali parollarni o'g'irlashdan tashqari, klassik ijtimoiy-texnik hujum bajariladigan qo'shimchalarni yuboradi. Agar ushbu investitsiyalar zamonaviy kompaniyalar odatda ko'p bo'lgan barcha xavfsizlik choralarini yengib chiqsa, jabrlanuvchining kompyuteriga masofadan kirish kanali yaratiladi. Hujum oqibatlarini ko'rsatish uchun, natijada paydo bo'lgan masofadan boshqarish pulti ayniqsa muhim maxfiy ma'lumotlarga kirish uchun ishlab chiqilishi mumkin. Shunisi e'tiborga loyiqki, ommaviy axborot vositalari barchani qo'rqitish uchun foydalanadigan hujumlarning aksariyati aynan shunday boshlanadi.
Auditorlik bo'limimizda zavqlanish uchun biz taxminiy statistik ma'lumotlarni hisoblaymiz: asosan fishing va bajariladigan qo'shimchalarni yuborish orqali biz domen administratoriga kirish huquqiga ega bo'lgan kompaniyalar aktivlarining umumiy qiymati qancha? Bu yil u taxminan 150 milliard yevroga yetdi.
Provokatsion elektron pochta xabarlarini yuborish va mushuklarning fotosuratlarini veb-saytlarga joylashtirish ijtimoiy muhandislikning yagona usullari emasligi aniq. Ushbu misollarda biz hujum shakllarining xilma-xilligini va ularning oqibatlarini ko'rsatishga harakat qildik. Maktublarga qo'shimcha ravishda, potentsial tajovuzkor kerakli ma'lumotlarni olish, maqsadli kompaniyaning ofisida bajariladigan fayllar bilan ommaviy axborot vositalarini (masalan, flesh-disklarni) tarqatish, stajyor sifatida ishga kirish, mahalliy tarmoqqa jismoniy kirish uchun qo'ng'iroq qilishi mumkin. CCTV kamerasi o'rnatuvchi niqobi ostida. Aytgancha, bularning barchasi muvaffaqiyatli yakunlangan loyihalarimizdan namunadir.
3-qism. O'rgatish - yorug'lik, ammo o'qimagan - zulmat
O'rinli savol tug'iladi: yaxshi, yaxshi, ijtimoiy muhandislik bor, bu xavfli ko'rinadi, ammo bularning barchasiga kompaniyalar nima qilishlari kerak? Kapitan Obvious yordamga keladi: siz o'zingizni himoya qilishingiz kerak va har tomonlama. Himoyaning bir qismi ma'lumotlarni himoya qilishning texnik vositalari, jarayonlarni monitoring qilish, tashkiliy-huquqiy ta'minlash kabi klassik xavfsizlik choralariga qaratilgan bo'ladi, ammo asosiy qismi, bizning fikrimizcha, xodimlar bilan bevosita ishlashga yo'naltirilishi kerak. eng zaif bo'g'in. Axir, siz texnologiyani qanchalik mustahkamlamasligingizdan yoki qattiq qoidalarni yozishingizdan qat'i nazar, har doim hamma narsani buzishning yangi usulini kashf etadigan foydalanuvchi bo'ladi. Bundan tashqari, na qoidalar, na texnologiya foydalanuvchi ijodining parvoziga mos kelmaydi, ayniqsa uni malakali tajovuzkor taklif qilsa.
Avvalo, foydalanuvchini o'rgatish muhim: uning muntazam ishida ham ijtimoiy muhandislik bilan bog'liq vaziyatlar paydo bo'lishi mumkinligini tushuntiring. Mijozlarimiz uchun biz tez-tez o'tkazamiz raqamli gigiena bo'yicha - umumiy hujumlarga qarshi turish uchun asosiy ko'nikmalarni o'rgatadigan tadbir.
Shuni qo'shimcha qilishim mumkinki, eng yaxshi himoya choralaridan biri bu axborot xavfsizligi qoidalarini umuman yodlash emas, balki vaziyatni biroz ajralgan tarzda baholash:
- Mening suhbatdoshim kim?
- Uning taklifi yoki iltimosi qayerdan kelgan (bu ilgari hech qachon bo'lmagan, endi esa paydo bo'ldi)?
- Bu soʻrovning nimasi gʻayrioddiy?
Hatto jo'natuvchi uchun g'ayrioddiy harf shrifti yoki nutq uslubi ham hujumni to'xtatadigan shubhalar zanjirini keltirib chiqarishi mumkin. Belgilangan ko'rsatmalar ham kerak, ammo ular boshqacha ishlaydi va barcha mumkin bo'lgan vaziyatlarni aniqlay olmaydi. Masalan, axborot xavfsizligi ma'murlari ularga parolingizni uchinchi tomon resurslariga kirita olmasligingizni yozadilar. Agar "sizning", "korporativ" tarmoq resursingiz parol so'rasa-chi? Foydalanuvchi shunday deb o'ylaydi: "Bizning kompaniyamizda bitta hisob qaydnomasi bo'lgan yigirmata xizmatlar mavjud, nega boshqasi yo'q?" Bu yana bir qoidaga olib keladi: yaxshi tuzilgan ish jarayoni xavfsizlikka ham bevosita ta'sir qiladi: agar qo'shni bo'lim sizdan faqat yozma ravishda va faqat menejeringiz orqali ma'lumot so'rashi mumkin bo'lsa, "kompaniyaning ishonchli hamkoridan" odam, albatta, bo'lmaydi. uni telefon orqali so'rash mumkin - bu siz uchun bema'nilik bo'ladi. Agar suhbatdoshingiz hamma narsani hoziroq yoki "ASAP" qilishni talab qilsa, ayniqsa ehtiyot bo'lishingiz kerak, chunki yozish moda. Oddiy ishda ham bu holat ko'pincha sog'lom emas va mumkin bo'lgan hujumlar oldida bu kuchli tetikdir. Tushuntirishga vaqt yo'q, faylimni ishga tushiring!
Biz foydalanuvchilarni har doim ijtimoiy-texnik hujum uchun afsonalar sifatida u yoki bu shaklda pul bilan bog'liq mavzular nishonga olishini e'tiborga olamiz: reklama aktsiyalari va'dalari, imtiyozlar, sovg'alar, shuningdek, go'yoki mahalliy g'iybat va intrigalar bilan bog'liq ma'lumotlar. Boshqacha qilib aytadigan bo'lsak, oddiy "o'limga olib keladigan gunohlar" ishlamoqda: foyda uchun tashnalik, ochko'zlik va haddan tashqari qiziquvchanlik.
Yaxshi mashg'ulot har doim amaliyotni o'z ichiga olishi kerak. Bu erda penetratsion sinov bo'yicha mutaxassislar yordamga kelishi mumkin. Keyingi savol: nimani va qanday sinovdan o'tkazamiz? Biz Group-IB kompaniyasida quyidagi yondashuvni taklif qilamiz: zudlik bilan test markazini tanlang: yo faqat foydalanuvchilarning o‘zlari hujumga tayyorligini baholang yoki umuman kompaniya xavfsizligini tekshiring. Va ijtimoiy muhandislik usullaridan foydalangan holda test qiling, haqiqiy hujumlarni simulyatsiya qiling - ya'ni bir xil fishing, bajariladigan hujjatlarni yuborish, qo'ng'iroqlar va boshqa usullar.
Birinchi holda, hujum mijozning vakillari, asosan uning IT va axborot xavfsizligi bo'yicha mutaxassislari bilan birgalikda ehtiyotkorlik bilan tayyorlanadi. Afsonalar, vositalar va hujum texnikasi izchil. Mijozning o'zi fokus-guruhlarni va barcha kerakli kontaktlarni o'z ichiga olgan hujum uchun foydalanuvchilar ro'yxatini taqdim etadi. Xavfsizlik choralari bo'yicha istisnolar yaratiladi, chunki xabarlar va bajariladigan yuklar qabul qiluvchiga etib borishi kerak, chunki bunday loyihada faqat odamlarning reaktsiyalari qiziqish uyg'otadi. Majburiy emas, siz hujumga markerlarni kiritishingiz mumkin, ular yordamida foydalanuvchi bu hujum ekanligini taxmin qilishi mumkin - masalan, siz xabarlarda bir nechta imlo xatolariga yo'l qo'yishingiz yoki korporativ uslubni nusxalashda noaniqliklar qoldirishingiz mumkin. Loyiha oxirida xuddi shunday "quruq statistika" olinadi: qaysi fokus-guruhlar stsenariylarga javob berishdi va qay darajada.
Ikkinchi holda, hujum "qora quti" usuli yordamida nol boshlang'ich bilim bilan amalga oshiriladi. Biz mustaqil ravishda kompaniya, uning xodimlari, tarmoq perimetri haqida ma'lumot to'playmiz, hujum afsonalarini yaratamiz, usullarni tanlaymiz, maqsadli kompaniyada qo'llanilishi mumkin bo'lgan xavfsizlik choralarini qidiramiz, asboblarni moslashtiramiz va stsenariylarni yaratamiz. Mutaxassislarimiz klassik ochiq manba razvedka (OSINT) usullaridan ham, Group-IBning o'z mahsuloti - Threat Intelligence tizimidan foydalanadilar, bu tizim fishingga tayyorgarlik ko'rayotganda uzoq vaqt davomida kompaniya haqidagi ma'lumotlar, shu jumladan maxfiy ma'lumotlarning yig'uvchisi vazifasini bajaradi. Albatta, hujum yoqimsiz ajablanib bo'lmasligi uchun uning tafsilotlari ham mijoz bilan kelishilgan. Bu to'liq huquqli penetratsion test bo'lib chiqadi, lekin u ilg'or ijtimoiy muhandislikka asoslangan bo'ladi. Bu holda mantiqiy variant tarmoq ichida hujumni ishlab chiqish, ichki tizimlarda eng yuqori huquqlarga ega bo'lishdir. Aytgancha, xuddi shunday tarzda biz ijtimoiy-texnik hujumlardan foydalanamiz , va ba'zi penetratsion testlarda. Natijada, mijoz ijtimoiy-texnik hujumlarning ma'lum bir turiga qarshi o'z xavfsizligi to'g'risida mustaqil ravishda har tomonlama tasavvurga ega bo'ladi, shuningdek, tashqi tahdidlarga qarshi qurilgan mudofaa chizig'ining samaradorligini (yoki aksincha, samarasizligini) namoyish etadi.
Ushbu treningni yiliga kamida ikki marta o'tkazishni tavsiya etamiz. Birinchidan, har qanday kompaniyada kadrlar almashinuvi mavjud va oldingi tajriba asta-sekin xodimlar tomonidan unutiladi. Ikkinchidan, hujum qilish usullari va usullari doimo o'zgarib turadi va bu xavfsizlik jarayonlari va himoya vositalarini moslashtirish zarurligiga olib keladi.
Agar biz hujumlardan himoya qilishning texnik choralari haqida gapiradigan bo'lsak, quyidagilar eng ko'p yordam beradi:
- Internetda e'lon qilingan xizmatlarda majburiy ikki faktorli autentifikatsiya mavjudligi. 2019 yilda bunday xizmatlarni yagona tizimga kirish tizimlarisiz, parolni qo'pol kuchdan himoya qilmasdan va ikki faktorli autentifikatsiyasiz bir necha yuz kishilik kompaniyada chiqarish "meni sindirish" uchun ochiq chaqiruv bilan tengdir. To'g'ri amalga oshirilgan himoya o'g'irlangan parollardan tezda foydalanishni imkonsiz qiladi va fishing hujumining oqibatlarini bartaraf etishga vaqt beradi.
- Kirish nazoratini nazorat qilish, tizimlardagi foydalanuvchi huquqlarini minimallashtirish va har bir yirik ishlab chiqaruvchi tomonidan chiqarilgan xavfsiz mahsulot konfiguratsiyasi bo'yicha ko'rsatmalarga rioya qilish. Bu ko'pincha tabiatan oddiy, lekin juda samarali va amalga oshirish qiyin bo'lgan chora-tadbirlar, har bir kishi, u yoki bu darajada, tezlik uchun e'tiborsiz qoldiradi. Va ba'zilari shunchalik zarurki, ularsiz hech qanday himoya vositasi qutqarmaydi.
- Yaxshi qurilgan elektron pochta filtrlash liniyasi. Antispam, qo'shimchalarni zararli kod uchun to'liq skanerlash, shu jumladan qum qutilari orqali dinamik sinov. Yaxshi tayyorlangan hujum, bajariladigan biriktirma antivirus vositalari tomonidan aniqlanmasligini anglatadi. Qum qutisi, aksincha, hamma narsani o'zi uchun sinab ko'radi, fayllarni odam ulardan qanday foydalansa, xuddi shunday ishlatadi. Natijada, mumkin bo'lgan zararli komponent qum qutisiga kiritilgan o'zgarishlar orqali aniqlanadi.
- Maqsadli hujumlardan himoya qilish vositalari. Yuqorida aytib o'tilganidek, klassik antivirus vositalari yaxshi tayyorlangan hujumda zararli fayllarni aniqlay olmaydi. Eng ilg'or mahsulotlar tarmoqda sodir bo'layotgan voqealar jamlanmasini avtomatik ravishda kuzatishi kerak - individual xost darajasida ham, tarmoq ichidagi trafik darajasida ham. Hujumlar holatida juda xarakterli hodisalar zanjirlari paydo bo'ladi, agar siz ushbu turdagi voqealarga e'tibor qaratsangiz, kuzatilishi va to'xtatilishi mumkin.
Asl maqola “Axborot xavfsizligi/Axborot xavfsizligi” jurnalida №6, 2019 yil.
Manba: www.habr.com