想像一下這種情況。 十月寒冷的早晨,位於俄羅斯某地區區域中心的設計院。 人力資源部門的某人訪問了幾天前發布的研究所網站上的一個職位空缺頁面,並看到了一張貓的照片。 早上很快就不再無聊了…
在本文中,Group-IB 審計和諮詢部門的技術主管 Pavel Suprunyuk 討論了社會技術攻擊在評估實際安全性的項目中的地位、它們可以採取哪些不尋常的形式以及如何防範此類攻擊。 作者澄清,該文章屬於評論性質,但如果讀者對任何方面感興趣,IB組專家將很樂意在評論中回答問題。
第 1 部分:為什麼這麼嚴肅?
讓我們回到我們的貓。 一段時間後,人事部門刪除了這張照片(這裡和下面的截圖經過部分修飾,以免暴露真實姓名),但它頑固地返回,再次刪除,這樣的情況又發生了幾次。 人力資源部門明白這隻貓有最嚴肅的意圖,他不想離開,他們向網路程式設計師尋求幫助——一個創建了該網站並理解它的人,現在負責管理它。 程式設計師前往該網站,再次刪除了煩人的貓,發現它是代表人力資源部門自己發布的,然後假設人力資源部門的密碼已洩露給一些網路流氓,並更改了它。 貓再也沒有出現。
到底發生了什麼事? 對於包括該研究所在內的公司集團,Group-IB 專家以接近紅隊的形式進行了滲透測試(換句話說,這是使用來自該機構的最先進的方法和工具對您的公司進行的定向攻擊的模仿)。駭客組織的武器庫)。 我們詳細討論了紅隊 。 重要的是要知道,在進行此類測試時,可以使用非常廣泛的預先商定的攻擊,包括社會工程。 很明顯,貓的安置本身並不是所發生事情的最終目標。 還有以下內容:
- 該研究所的網站託管在該研究所網路內的伺服器上,而不是第三方伺服器上;
- 發現人力資源部門帳戶有洩漏(電子郵件日誌檔案位於網站的根目錄)。 使用此帳戶無法管理網站,但可以編輯職位頁面;
- 透過更改頁面,您可以將腳本放入 JavaScript 中。 通常它們使頁面具有互動性,但在這種情況下,相同的腳本可以從訪客的瀏覽器中竊取人力資源部門與程式設計師以及程式設計師與簡單訪客的區別 - 網站上的會話標識符。 貓是攻擊的觸發點,也是吸引註意力的圖片。 在 HTML 網站標記語言中,它看起來像這樣:如果您的圖像已加載,則 JavaScript 已被執行,並且您的會話 ID 以及有關您的瀏覽器和 IP 位址的資料已被竊取。
- 透過竊取管理員會話 ID,可以獲得對網站的完全存取權限,以 PHP 託管可執行頁面,從而獲得對伺服器作業系統的存取權限,然後存取本機網路本身,這是一個重要的中間目標該專案。
攻擊部分成功:管理員的會話 ID 被盜,但它與 IP 位址綁定。 我們無法解決這個問題;我們無法將網站權限提升為管理員權限,但我們確實改善了心情。 最終的結果最終是在網路週邊的另一段得到的。
第 2 部分。我寫信給你──還有什麼? 我也會打電話並在你的辦公室閒逛,扔掉閃存驅動器。
貓的情況發生的事情是社會工程的一個例子,儘管不是很經典。 事實上,這個故事裡還有更多的事件:有一隻貓、一個研究所、一個人事部門和一個程式設計師,但也有一些澄清問題的電子郵件,這些郵件被認為是「候選人」寫給人事部門本身和親自的給程式設計師,以激發他們訪問網站頁面。
說到字母。 普通電子郵件可能是進行社會工程的主要工具,幾十年來一直沒有失去其相關性,有時甚至會導致最不尋常的後果。
我們經常在活動中講述以下故事,因為它非常有啟發性。
通常,我們會根據社會工程項目的結果來編制統計數據,眾所周知,這是一件枯燥乏味的事情。 很多百分比的收件人打開了信中的附件,很多人點擊了鏈接,但這三個人實際上輸入了他們的用戶名和密碼。 在一個專案中,我們收到了超過 100% 的輸入密碼,也就是說,發出的密碼多於發出的密碼。
事情是這樣的:一封釣魚信被發送,據稱是來自一家國有企業的 CISO,要求「緊急測試郵件服務的變化」。 這封信送到了負責技術支援的一個大部門的負責人手中。 經理非常勤勉地執行上級的指示,並將其傳達給所有下屬。 事實證明,呼叫中心本身相當大。 一般來說,有人向同事轉發「有趣的」網路釣魚電子郵件而他們也被抓住的情況是相當常見的。 對我們來說,這是對寫信品質最好的回饋。
過了一會兒,他們發現了我們(這封信是在一個受感染的郵箱中收到的):
這次攻擊之所以成功,是因為郵件利用了客戶郵件系統中的一些技術缺陷。 它的配置方式使得可以在未經授權的情況下代表組織本身的任何寄件者發送任何信件,甚至可以從網路發送信件。 也就是說,您可以假裝自己是 CISO、技術支援主管或其他人。 此外,郵件介面會觀察來自「其」網域的信件,並小心地插入通訊錄中的照片,這為寄件者增添了自然感。
事實上,此類攻擊並不是一項特別複雜的技術;它是對郵件設定中一個非常基本的缺陷的成功利用。 它會定期接受專業 IT 和資訊安全資源的審查,但儘管如此,仍然有一些公司擁有這一切。 由於沒有人願意徹底檢查 SMTP 郵件協定的服務標頭,因此通常會使用郵件介面中的警告圖示來檢查一封信是否“危險”,但這些圖示並不總是顯示全貌。
有趣的是,類似的漏洞也適用於另一個方向:攻擊者可以代表您的公司向第三方收件者發送電子郵件。 例如,他可以代表您偽造定期付款發票,註明其他詳細資訊而不是您的詳細資訊。 除了反詐騙和套現問題之外,這可能是透過社會工程竊取資金的最簡單方法之一。
除了透過網路釣魚竊取密碼之外,典型的社會技術攻擊還包括發送可執行附件。 如果這些投資克服了現代公司通常擁有的所有安全措施,那麼將為受害者的電腦創建一個遠端存取通道。 為了演示攻擊的後果,可以開發最終的遠端控制來存取特別重要的機密資訊。 值得注意的是,媒體用來嚇唬所有人的絕大多數攻擊都是這樣開始的。
在我們的審計部門,為了好玩,我們計算了近似統計數據:我們主要透過網路釣魚和發送可執行附件獲得網域管理員存取權限的公司的資產總價值是多少? 今年這數字達到了約150億歐元。
顯然,發送挑釁性電子郵件和在網站上發布貓的照片並不是社會工程的唯一方法。 在這些範例中,我們試圖展示攻擊形式的多樣性及其後果。 除了信件之外,潛在的攻擊者還可以致電獲取必要的資訊、在目標公司的辦公室散佈帶有可執行文件的媒體(例如閃存驅動器)、獲得實習生的工作、獲得對本地網路的實體存取權限打著閉路電視攝影機安裝工的幌子。 順便說一下,所有這些都是我們成功完成的專案的例子。
第三部分 教學是光明,未學則黑暗
一個合理的問題出現了:好吧,有社會工程,它看起來很危險,但是公司應該如何應對這一切? Captain Obvious 來救援:你需要以全面的方式保護自己。 部分保護將針對已經經典的安全措施,例如資訊保護的技術手段、監控、流程的組織和法律支持,但我們認為,主要部分應針對與員工的直接合作,因為最脆弱的聯繫。 畢竟,無論你如何加強技術或編寫嚴厲的法規,總會有用戶發現打破一切的新方法。 此外,無論是法規還是技術都無法跟上用戶創造力的快速發展,尤其是在合格攻擊者的推動下。
首先,培訓使用者很重要:向其解釋,即使在他的日常工作中,也可能會出現與社會工程相關的情況。 我們經常為我們的客戶進行 關於數位衛生 - 一項教授反擊一般攻擊的基本技能的活動。
我可以補充一點,最好的保護措施之一根本不是記住資訊安全規則,而是以一種稍微超然的方式評估情況:
- 誰是我的對話者?
- 他的提議或要求從何而來(以前沒有出現過,現在出現了)?
- 這個請求有什麼不尋常之處?
即使是寄件者不尋常的字母字體或講話風格,也可能引發一系列懷疑,從而阻止攻擊。 還需要規定的指令,但它們的工作方式不同,並且不能指定所有可能的情況。 例如,資訊安全管理員在其中寫道,您不能在第三方資源上輸入密碼。 如果「您的」、「公司」網路資源要求輸入密碼怎麼辦? 用戶想:“我們公司一個帳號已經有兩打服務了,為什麼不再多一個呢?” 這就引出了另一條規則:結構良好的工作流程也直接影響安全性:如果鄰近部門只能透過您的經理以書面形式向您索取訊息,那麼「來自公司值得信賴的合作夥伴」的人肯定不會被要求提供資訊。能夠透過電話要求 - 這對你來說將是無稽之談。 如果你的對話者要求立即做所有事情,或「盡快」(因為現在很流行這樣寫),你應該特別小心。 即使在正常工作中,這種情況也往往是不健康的,並且在面對可能的攻擊時,它是一個強烈的觸發因素。 沒時間解釋了,運行我的文件吧!
我們注意到,用戶總是被以某種形式與金錢相關的主題作為社會技術攻擊的傳奇人物:促銷、優惠、禮物的承諾,以及據稱是當地八卦和陰謀的信息。 換句話說,就是平庸的「致命罪惡」正在發揮作用:對利潤的渴望、貪婪和過度的好奇心。
良好的訓練應該始終包括練習。 這就是滲透測試專家可以提供救援的地方。 下一個問題是:我們將測試什麼以及如何測試? Group-IB 提出以下方法:立即選擇測試重點:要么僅評估用戶本身對攻擊的準備情況,要么檢查整個公司的安全性。 並使用社會工程方法進行測試,模擬真實的攻擊——即同樣的網路釣魚、發送可執行檔、呼叫等技術。
在第一種情況下,攻擊是與客戶代表(主要是 IT 和資訊安全專家)一起精心準備的。 圖例、工具和攻擊技術是一致的。 客戶自己提供焦點小組和用於攻擊的用戶列表,其中包括所有必要的聯絡人。 由於訊息和可執行負載必須到達接收者,因此在安全措施上創建了例外,因為在這樣的專案中只有人們的反應才有意義。 或者,您可以在攻擊中包含標記,用戶可以透過這些標記猜測這是一次攻擊 - 例如,您可以在訊息中出現一些拼字錯誤,或者在複製公司風格時留下不準確的地方。 在專案結束時,獲得相同的「乾燥統計數據」:哪些焦點小組對場景做出了反應以及反應程度如何。
在第二種情況下,攻擊是在零初始知識的情況下使用「黑盒子」方法進行的。 我們獨立收集有關公司、員工、網路邊界的信息,創建攻擊圖例,選擇方法,尋找目標公司可能使用的安全措施,調整工具並創建場景。 我們的專家使用經典的開源情報 (OSINT) 方法和 Group-IB 自己的產品 - 威脅情報,該系統在準備網路釣魚時,可以充當公司長期資訊(包括機密資訊)的聚合器。 當然,為了使攻擊不會成為令人不快的意外,其細節也已與客戶達成協議。 事實證明,這是一次成熟的滲透測試,但它將基於先進的社會工程。 在這種情況下,合理的選擇是在網路內發動攻擊,直到獲得內部系統的最高權限。 順便說一句,我們以類似的方式使用社會技術攻擊 ,以及一些滲透測試。 因此,客戶將獲得針對某種類型的社會技術攻擊的安全性的獨立全面願景,以及針對外部威脅的已建防線的有效性(或相反,無效性)的演示。
我們建議每年至少進行兩次此類培訓。 首先,任何公司都會有人員流動,以前的經驗會逐漸被員工遺忘。 其次,攻擊的方法和技術不斷變化,這導致需要適應安全流程和保護工具。
如果我們談論防範攻擊的技術措施,以下措施最有幫助:
- 在網路上發佈的服務有強制雙重認證。 在 2019 年在沒有單一登入系統、沒有密碼暴力破解保護、沒有兩步驟認證的情況下,在數百人的公司中發布此類服務,無異於公開呼籲「打破我」。 正確實施的保護將使被盜密碼無法快速使用,並有時間消除網路釣魚攻擊的後果。
- 控制存取控制,最大限度地減少系統中的使用者權限,並遵循每個主要製造商發布的安全產品配置指南。 這些措施往往本質上很簡單,但非常有效且難以實施,每個人都在某種程度上為了速度而忽略了這些措施。 有些是非常必要的,沒有它們,任何保護手段都無法挽救。
- 精心建立的電子郵件過濾線。 反垃圾郵件,全面掃描附件中是否有惡意程式碼,包括透過沙箱進行動態測試。 準備充分的攻擊意味著防毒工具不會偵測到可執行附件。 相反,沙箱將自行測試所有內容,以與人們使用文件相同的方式使用文件。 因此,沙箱內的變更將暴露可能的惡意元件。
- 防禦針對性攻擊的手段。 如前所述,如果發生精心準備的攻擊,經典的防毒工具將無法偵測到惡意檔案。 最先進的產品應該會自動監控網路上發生的全部事件 - 無論是在單一主機的層級還是在網路內的流量等級。 在發生攻擊時,會出現非常有特徵的事件鏈,如果您專注於監控此類事件,則可以追蹤並阻止這些事件鏈。
來源文章 在雜誌《資訊安全/資訊安全》第 6 期,2019 年。
來源: www.habr.com