想象一下这种情况。 十月寒冷的早晨,位于俄罗斯某地区区域中心的设计院。 人力资源部门的某人访问了几天前发布的研究所网站上的一个职位空缺页面,并看到了一张猫的照片。 早上很快就不再无聊了……
在本文中,Group-IB 审计和咨询部门的技术主管 Pavel Suprunyuk 讨论了社会技术攻击在评估实际安全性的项目中的地位、它们可以采取哪些不寻常的形式以及如何防范此类攻击。 作者澄清,该文章属于评论性质,但如果读者对任何方面感兴趣,IB组专家将很乐意在评论中回答问题。
第 1 部分:为什么这么严肃?
让我们回到我们的猫。 一段时间后,人事部门删除了这张照片(这里和下面的截图经过部分修饰,以免暴露真实姓名),但它顽固地返回,再次删除,这样的情况又发生了几次。 人力资源部门明白这只猫有最严肃的意图,他不想离开,他们向网络程序员寻求帮助——一个创建了该网站并理解它的人,现在负责管理它。 程序员前往该网站,再次删除了烦人的猫,发现它是代表人力资源部门自己发布的,然后假设人力资源部门的密码已泄露给一些网络流氓,并更改了它。 猫再也没有出现。
到底发生了什么? 对于包括该研究所在内的公司集团,Group-IB 专家以接近红队的形式进行了渗透测试(换句话说,这是使用来自该机构的最先进的方法和工具对您的公司进行的定向攻击的模仿)。黑客组织的武器库)。 我们详细讨论了红队 。 重要的是要知道,在进行此类测试时,可以使用非常广泛的预先商定的攻击,包括社会工程。 很明显,猫的安置本身并不是所发生事情的最终目标。 还有以下内容:
- 该研究所的网站托管在该研究所网络内的服务器上,而不是第三方服务器上;
- 发现人力资源部门帐户存在泄漏(电子邮件日志文件位于网站的根目录)。 使用此帐户无法管理网站,但可以编辑职位页面;
- 通过更改页面,您可以将脚本放入 JavaScript 中。 通常它们使页面具有交互性,但在这种情况下,相同的脚本可以从访问者的浏览器中窃取人力资源部门与程序员以及程序员与简单访问者的区别 - 网站上的会话标识符。 猫是攻击的触发点,也是吸引注意力的图片。 在 HTML 网站标记语言中,它看起来像这样:如果您的图像已加载,则 JavaScript 已被执行,并且您的会话 ID 以及有关您的浏览器和 IP 地址的数据已被窃取。
- 通过盗取管理员会话 ID,可以获得对站点的完全访问权限,以 PHP 托管可执行页面,从而获得对服务器操作系统的访问权限,然后访问本地网络本身,这是一个重要的中间目标该项目。
攻击部分成功:管理员的会话 ID 被盗,但它与 IP 地址绑定。 我们无法解决这个问题;我们无法将网站权限提升为管理员权限,但我们确实改善了心情。 最终的结果最终是在网络周边的另一段得到的。
第 2 部分。我写信给你——还有什么? 我也会打电话并在你的办公室闲逛,扔掉闪存驱动器。
猫的情况发生的事情是社会工程的一个例子,尽管不是很经典。 事实上,这个故事里还有更多的事件:有一只猫、一个研究所、一个人事部门和一个程序员,但也有一些澄清问题的电子邮件,这些邮件被认为是“候选人”写给人事部门本身和亲自的给程序员,以激发他们访问网站页面。
说到字母。 普通电子邮件可能是进行社会工程的主要工具,几十年来一直没有失去其相关性,有时甚至会导致最不寻常的后果。
我们经常在活动中讲述以下故事,因为它非常有启发性。
通常,我们根据社会工程项目的结果来编制统计数据,众所周知,这是一件枯燥乏味的事情。 很多百分比的收件人打开了信中的附件,很多人点击了链接,但这三个人实际上输入了他们的用户名和密码。 在一个项目中,我们收到了超过 100% 的输入密码,也就是说,发出的密码多于发出的密码。
事情是这样的:一封钓鱼信被发送,据称是来自一家国有企业的 CISO,要求“紧急测试邮件服务的变化”。 这封信送到了负责技术支持的一个大部门的负责人手中。 经理非常勤勉地执行上级的指示,并将其传达给所有下属。 事实证明,呼叫中心本身相当大。 一般来说,有人向同事转发“有趣的”网络钓鱼电子邮件而他们也被抓住的情况是相当常见的。 对于我们来说,这是对写信质量最好的反馈。
过了一会儿,他们发现了我们(这封信是在一个受感染的邮箱中收到的):
这次攻击之所以成功,是因为邮件利用了客户邮件系统中的一些技术缺陷。 它的配置方式使得可以在未经授权的情况下代表组织本身的任何发件人发送任何信件,甚至可以从互联网发送信件。 也就是说,您可以假装自己是 CISO、技术支持主管或其他人。 此外,邮件界面会观察来自“其”域的信件,并小心地插入地址簿中的照片,这为发件人增添了自然感。
事实上,此类攻击并不是一项特别复杂的技术;它是对邮件设置中一个非常基本的缺陷的成功利用。 它会定期接受专业 IT 和信息安全资源的审查,但尽管如此,仍然有一些公司拥有这一切。 由于没有人愿意彻底检查 SMTP 邮件协议的服务标头,因此通常使用邮件界面中的警告图标来检查一封信是否“危险”,但这些图标并不总是显示全貌。
有趣的是,类似的漏洞也适用于另一个方向:攻击者可以代表您的公司向第三方收件人发送电子邮件。 例如,他可以代表您伪造定期付款发票,注明其他详细信息而不是您的详细信息。 除了反欺诈和套现问题之外,这可能是通过社会工程窃取资金的最简单方法之一。
除了通过网络钓鱼窃取密码之外,典型的社会技术攻击还包括发送可执行附件。 如果这些投资克服了现代公司通常拥有的所有安全措施,那么将为受害者的计算机创建一个远程访问通道。 为了演示攻击的后果,可以开发最终的远程控制来访问特别重要的机密信息。 值得注意的是,媒体用来吓唬所有人的绝大多数攻击都是这样开始的。
在我们的审计部门,为了好玩,我们计算了近似统计数据:我们主要通过网络钓鱼和发送可执行附件获得域管理员访问权限的公司的资产总价值是多少? 今年这一数字达到了约150亿欧元。
显然,发送挑衅性电子邮件和在网站上发布猫的照片并不是社会工程的唯一方法。 在这些示例中,我们试图展示攻击形式的多样性及其后果。 除了信件之外,潜在的攻击者还可以致电获取必要的信息、在目标公司的办公室散布带有可执行文件的介质(例如闪存驱动器)、获得实习生的工作、获得对本地网络的物理访问权限打着闭路电视摄像机安装工的幌子。 顺便说一下,所有这些都是我们成功完成的项目的例子。
第三部分 教学是光明,未学则黑暗
一个合理的问题出现了:好吧,有社会工程,它看起来很危险,但是公司应该如何应对这一切? Captain Obvious 来救援:你需要以全面的方式保护自己。 部分保护将针对已经经典的安全措施,例如信息保护的技术手段、监控、流程的组织和法律支持,但我们认为,主要部分应针对与员工的直接合作,因为最脆弱的联系。 毕竟,无论你如何加强技术或编写严厉的法规,总会有用户发现打破一切的新方法。 此外,无论是法规还是技术都无法跟上用户创造力的飞速发展,尤其是在合格攻击者的推动下。
首先,培训用户很重要:向其解释,即使在他的日常工作中,也可能会出现与社会工程相关的情况。 我们经常为我们的客户进行 关于数字卫生 - 一项教授反击一般攻击的基本技能的活动。
我可以补充一点,最好的保护措施之一根本不是记住信息安全规则,而是以一种稍微超然的方式评估情况:
- 谁是我的对话者?
- 他的提议或要求从何而来(以前没有出现过,现在出现了)?
- 这个请求有什么不寻常之处?
即使是发件人不寻常的字母字体或讲话风格,也可能引发一系列怀疑,从而阻止攻击。 还需要规定的指令,但它们的工作方式不同,并且不能指定所有可能的情况。 例如,信息安全管理员在其中写道,您不能在第三方资源上输入密码。 如果“您的”、“公司”网络资源要求输入密码怎么办? 用户想:“我们公司一个账号已经有两打服务了,为什么不再多一个呢?” 这就引出了另一条规则:结构良好的工作流程也直接影响安全性:如果邻近部门只能通过您的经理以书面形式向您索取信息,那么“来自公司值得信赖的合作伙伴”的人肯定不会被要求提供信息。能够通过电话请求 - 这对你来说将是无稽之谈。 如果你的对话者要求立即做所有事情,或者“尽快”(因为现在很流行这样写),你应该特别小心。 即使在正常工作中,这种情况也往往是不健康的,并且在面对可能的攻击时,它是一个强烈的触发因素。 没时间解释了,运行我的文件吧!
我们注意到,用户总是被以某种形式与金钱相关的主题作为社会技术攻击的传奇人物:促销、优惠、礼物的承诺,以及据称是当地八卦和阴谋的信息。 换句话说,是平庸的“致命罪孽”在起作用:对利润的渴求、贪婪和过度的好奇心。
良好的培训应该始终包括练习。 这就是渗透测试专家可以提供救援的地方。 下一个问题是:我们将测试什么以及如何测试? Group-IB 提出以下方法:立即选择测试重点:要么仅评估用户本身对攻击的准备情况,要么检查整个公司的安全性。 并使用社会工程方法进行测试,模拟真实的攻击——即同样的网络钓鱼、发送可执行文件、调用等技术。
在第一种情况下,攻击是与客户代表(主要是 IT 和信息安全专家)一起精心准备的。 图例、工具和攻击技术是一致的。 客户自己提供焦点小组和用于攻击的用户列表,其中包括所有必要的联系人。 由于消息和可执行负载必须到达接收者,因此在安全措施上创建了例外,因为在这样的项目中只有人们的反应才有意义。 或者,您可以在攻击中包含标记,用户可以通过这些标记猜测这是一次攻击 - 例如,您可以在消息中出现一些拼写错误,或者在复制公司风格时留下不准确的地方。 在项目结束时,获得相同的“干统计数据”:哪些焦点小组对场景做出了反应以及反应程度如何。
在第二种情况下,攻击是在零初始知识的情况下使用“黑匣子”方法进行的。 我们独立收集有关公司、员工、网络边界的信息,创建攻击图例,选择方法,寻找目标公司可能使用的安全措施,调整工具并创建场景。 我们的专家使用经典的开源情报 (OSINT) 方法和 Group-IB 自己的产品 - 威胁情报,该系统在准备网络钓鱼时,可以充当公司长期信息的聚合器,包括机密信息。 当然,为了使攻击不会成为令人不快的意外,其细节也已与客户达成一致。 事实证明,这是一次成熟的渗透测试,但它将基于先进的社会工程。 在这种情况下,合理的选择是在网络内发起攻击,直至获得内部系统的最高权限。 顺便说一句,我们以类似的方式使用社会技术攻击 ,以及一些渗透测试。 因此,客户将获得针对某种类型的社会技术攻击的安全性的独立全面愿景,以及针对外部威胁的已建防线的有效性(或相反,无效性)的演示。
我们建议每年至少进行两次此类培训。 首先,任何公司都会有人员流动,以前的经验会逐渐被员工遗忘。 其次,攻击的方法和技术不断变化,这导致需要适应安全流程和保护工具。
如果我们谈论防范攻击的技术措施,以下措施最有帮助:
- 对互联网上发布的服务存在强制双因素身份验证。 在 2019 年在没有单点登录系统、没有密码暴力破解保护、没有两步认证的情况下,在数百人的公司中发布此类服务,无异于公开呼吁“打破我”。 正确实施的保护将使被盗密码无法被快速使用,并有时间消除网络钓鱼攻击的后果。
- 控制访问控制,最大限度地减少系统中的用户权限,并遵循每个主要制造商发布的安全产品配置指南。 这些措施往往本质上很简单,但非常有效且难以实施,每个人都在某种程度上为了速度而忽视了这些措施。 有些是非常必要的,没有它们,任何保护手段都无法挽救。
- 精心构建的电子邮件过滤线。 反垃圾邮件,全面扫描附件中是否存在恶意代码,包括通过沙箱进行动态测试。 准备充分的攻击意味着防病毒工具不会检测到可执行附件。 相反,沙箱将自行测试所有内容,以与人使用文件相同的方式使用文件。 因此,沙箱内的更改将暴露可能的恶意组件。
- 防御针对性攻击的手段。 如前所述,如果发生精心准备的攻击,经典的防病毒工具将无法检测到恶意文件。 最先进的产品应该自动监控网络上发生的全部事件 - 无论是在单个主机的级别还是在网络内的流量级别。 在发生攻击时,会出现非常有特征的事件链,如果您重点监控此类事件,则可以跟踪并阻止这些事件链。
原创文章 在杂志《信息安全/信息安全》第 6 期,2019 年。
来源: habr.com