Контакты
Подписка
МЕНЮ
Контакты
Подписка

Обмани меня, если сможешь: особенности проведения социотехнического пентеста

Обмани меня, если сможешь: особенности проведения социотехнического пентеста

В рубрику "Оборудование и технологии" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Обмани меня, если сможешь: особенности проведения социотехнического пентеста

В этой статье рассмотрим примеры социальной инженерии, новые способы обхода защиты и варианты проверки безопасности “самого слабого звена”.
Павел Супрунюк
Технический руководитель Департамента аудита и консалтинга компании Group-IB

Часть 1. Why so serious?

Представьте себе такую ситуацию. Холодное октябрьское утро, проектный институт в областном центре одного из регионов России. Кто-то из отдела кадров заходит на одну из страниц вакансий на сайте института, размещенную пару дней назад, и видит примерно то, что изображено на рис. 1 (снимки экрана здесь и далее немного заретушированы, чтобы не раскрыть исходных имен).


Утро быстро перестает быть скучным: кто-то разместил на странице вакансий фотографию кота. Через некоторое время отдел кадров удаляет фото, но оно упорно возвращается, его опять удаляют, и так происходит еще несколько раз. Отдел кадров понимает, что намерения у кота самые серьезные, уходить он не хочет, и призывает на помощь Web-программиста – человека, который делал сайт и разбирается в нем, а сейчас его администрирует. Программист заходит на сайт, еще раз удаляет надоевшего кота, выявляет, что его разместили от имени самого отдела кадров, затем делает предположение, что пароль отдела кадров утек к каким-то сетевым хулиганам, и меняет его. Кот больше не появляется.

Обыкновенный e-mail – наверное, основной транспорт для проведения социальной инженерии, он применяется уже пару десятков лет и иногда приводит к самым необычным последствиям.

Что произошло на самом деле? В отношении группы компаний, куда входил институт, специалистами Group-IB проводилось тестирование на проникновение в формате, близком к Red Teaming (проще говоря, это имитация целевых атак на компанию с использованием самых продвинутых методов и инструментов из арсенала хакерских группировок). О Red Teaming мы поговорим в отдельной статье, но важно знать, что при таком тесте может применяться очень широкий спектр атак из заранее согласованных, в том числе социальная инженерия. Понятно, что само размещение кота не было конечной целью происходящего. А произошло следующее:

1. Web-сайт института был размещен на сервере в самой сети института, а не на сторонних серверах.

2. Найдена утечка учетной записи отдела кадров (файл журнала писем в корне сайта). Администрировать сайт с этой учетной записью было нельзя, но можно было редактировать страницы вакансий.

Злоумышленник может отправить письмо от имени вашей компании кому-то стороннему. Например, он может подделать счет на регулярную оплату от вашего имени, указав вместо ваших реквизитов другие.

3. Изменяя страницы, можно было разместить свои скрипты на языке JavaScript. Обычно они делают страницы интерактивными, но в данной ситуации этими же скриптами можно было похитить из браузера посетителя то, что отличало отдел кадров от программиста, а программиста от простого посетителя, – идентификатор сессии на сайте. Кот был триггером атаки и картинкой для привлечения внимания. На языке разметки сайтов HTML это выглядело так: если загрузилась картинка, JavaScript уже исполнился, а идентификатор сессии вместе с данными о вашем браузере и IP-адресе уже был похищен.

С похищенным идентификатором сессии администратора можно было бы получить полный доступ к сайту, размещать исполняемые страницы на языке PHP, а значит получить выход в операционную систему сервера, а затем уже и в саму локальную сеть, что и было важной промежуточной целью проекта.

Атака закончилась частичным успехом: идентификатор сессии администратора похитили, но он был привязан к IP-адресу. Обойти это не удалось, мы не смогли повысить привилегии на сайте до администраторских, зато повысили себе настроение. Конечный результат в итоге получили на другом участке сетевого периметра.

Часть 2. "Я к вам пишу – чего же боле?" А еще звоню и топчусь у вас в офисе, роняя флешки

То, что произошло в ситуации с котом, – пример социальной инженерии, пусть и не совсем классической. На самом деле в этой истории событий было больше: был и кот, и институт, и отдел кадров, и программист, но были еще и электронные письма с уточняющими вопросами, которые писали якобы кандидаты в сам отдел кадров и лично программисту, чтобы спровоцировать их зайти на страницу сайта.

В нашем отделе аудита мы ради интереса считаем приблизительную статистику по суммарной стоимости активов компаний, к которым нами был получен доступ уровня "администратор домена" в основном за счет фишинга и рассылки исполняемых вложений. В этом году она достигла приблизительно 150 млрд евро.

Кстати, о письмах. Обыкновенный e-mail – наверное, основной транспорт для проведения социальной инженерии, он применяется уже пару десятков лет и иногда приводит к самым необычным последствиям. Следующую историю мы часто рассказываем на наших мероприятиях, так как она очень показательна.

Обычно по результатам проектов с социальной инженерией мы составляем статистику, которая, как известно, вещь сухая и скучная. Столько-то процентов получателей открыло вложение из письма, столько-то перешло по ссылке, а вот эти трое вообще ввели свои логин и пароль. В одном проекте мы получили более 100% ввода паролей, т.е. больше, чем разослали. Произошло это так: отправлялось фишинговое письмо, якобы от CISO госкорпорации, с требованием "срочно протестировать изменения в почтовом сервисе". Письмо попало на руководителя крупного подразделения, которое занималось техподдержкой. Руководитель был очень старателен в исполнении поручений от высокого начальства и переслал его всем подчиненным. Сам коллцентр оказался довольно большим. В целом ситуации, когда кто-то пересылает "интересные" фишинговые письма своим коллегам и те тоже попадаются, довольно частое явление. Для нас это лучшая обратная связь по качеству составления письма.

Такой успех атаки был вызван тем, что при рассылке использовался ряд технических недостатков почтовой системы клиента. Она была настроена таким образом, что можно было отправлять любые письма от имени любого отправителя самой организации без авторизации, даже из Интернета. То есть было возможно притвориться CISO или начальником техподдержки, или еще кем-нибудь. Более того, почтовый интерфейс, наблюдая за письмами из "своего" домена, заботливо подставлял фотографию из адресной книги, что добавляло натуральности отправителю.

В первую очередь важно обучить пользователя, объяснить, что даже в его рутинной работе могут возникнуть ситуации, связанные с социальной инженерией.

По правде говоря, такая атака не относится к особо сложным технологиям, это удачная эксплуатация совсем базового недочета настройки почты. Она регулярно разбирается на профильных ИТ- и ИБ-ресурсах, но тем не менее до сих пор встречаются компании, у которых все это присутствует. Поскольку никто не склонен досконально проверять служебные заголовки почтового протокола SMTP, письмо обычно проверяется на опасность по предупреждающим значкам интерфейса почты, которые не всегда отображают всю картину.

Интересно, что подобная уязвимость работает и в другом направлении: злоумышленник может отправить письмо от имени вашей компании кому-то стороннему. Например, он может подделать счет на регулярную оплату от вашего имени, указав вместо ваших реквизитов другие. Если не рассматривать вопросы антифрода и обналичивания средств, то это, вероятно, один из самых простых способов кражи денег при помощи социальной инженерии.

Помимо похищения паролей через фишинг, классикой социотехнических атак является рассылка исполняемых вложений. Если эти вложения преодолеют все средства защиты, которых у современных компаний обычно много, образуется канал удаленного доступа к компьютеру жертвы. Для демонстрации последствий атаки полученное удаленное управление можно развивать вплоть до доступа к особо важной, конфиденциальной информации. Примечательно, что подавляющее большинство атак, которыми всех пугают СМИ, именно так и начинаются. В нашем отделе аудита мы ради интереса считаем приблизительную статистику по суммарной стоимости активов компаний, к которым нами был получен доступ уровня "администратор домена" в основном за счет фишинга и рассылки исполняемых вложений. В этом году она достигла приблизительно 150 млрд евро.


Понятно, что рассылка провоцирующих электронных писем и размещение фотографий котов на сайтах – не единственные способы социальной инженерии. На этих примерах мы пытались показать разнообразие форм атаки и их последствий. Помимо писем, потенциальный атакующий может звонить с целью получения нужной информации, разбрасывать носители (например, флешки) с исполняемыми файлами в офисе целевой компании, устраиваться на работу как стажер, получать физический доступ к локальной сети под видом монтажника камер видеонаблюдения. Все это, кстати, примеры из наших успешно завершенных проектов.

Часть 3. Учение – свет, а неученых – тьма

Возникает резонный вопрос: ну хорошо, есть социальная инженерия, выглядит опасно, а что со всем этим делать компаниям? На помощь спешит Капитан Очевидность: нужно защищаться, причем комплексно. Некоторая часть защиты будет направлена на уже ставшие классическими меры безопасности, такие как технические средства защиты информации, мониторинг, организационно-правовое обеспечение процессов, но основная часть, на наш взгляд, должна направляться на непосредственную работу с сотрудниками как самым слабым звеном. Ведь сколько ни укрепляй технику и ни пиши суровые регламенты, всегда найдется пользователь, который откроет новый способ все сломать. Причем ни регламенты, ни техника не будут поспевать за полетом креативности пользователя, особенно если ему подсказывает квалифицированный злоумышленник.

В первую очередь важно обучить пользователя, объяснить, что даже в его рутинной работе могут возникнуть ситуации, связанные с социальной инженерией. Для наших клиентов мы часто проводим курсы цифровой гигиены – мероприятие, обучающее базовым навыкам противодействия атакам в целом. Могу добавить, что одной из лучших мер защиты будет вовсе не заучивание правил информационной безопасности, а немного отстраненная оценка ситуации:

Мы замечаем, что на пользователей в качестве легенд для социотехнической атаки всегда действуют темы, связанные с деньгами в той или иной форме, – обещание повышений, преференций, подарков, а также информация с якобы местными сплетнями и интригами.
  1. Кто мой собеседник?
  2. Откуда возникли его предложение или просьба (никогда ведь такого не было и вот появилось)?
  3. Что необычного в этом запросе?

Даже необычный тип шрифта письма или несвойственный отправителю стиль речи могут запустить цепочку сомнений, которая остановит атаку. Прописанные инструкции тоже нужны, но они работают по-другому, при этом не могут конкретизировать все возможные ситуации. Например, администраторы ИБ пишут в них, что нельзя вводить свой пароль на сторонних ресурсах. А если пароль просит "свой", "корпоративный" сетевой ресурс? Пользователь думает: "В нашей компании и так есть два десятка сервисов с единой учетной записью, почему бы не появиться еще одному?" Отсюда вытекает еще одно правило: хорошо выстроенный рабочий процесс также прямо влияет и на безопасность; если соседний отдел может запросить у вас информацию только письменно и только через вашего руководителя, человек "от доверенного партнера компании" подавно не сможет ее запросить по телефону, для вас это будет нонсенс. Особенно стоит насторожиться, если ваш собеседник все требует все сделать прямо сейчас, или ASAP, как модно писать. Даже в обычной работе такая ситуация часто не является здоровой, а в условиях возможных атак – это сильный триггер. Нет времени объяснять, запускай мой файл!

Мы замечаем, что на пользователей в качестве легенд для социотехнической атаки всегда действуют темы, связанные с деньгами в той или иной форме, – обещание повышений, преференций, подарков, а также информация с якобы местными сплетнями и интригами. Иначе говоря, работают банальные "смертные грехи": жажда наживы, алчность и излишнее любопытство.

Часть 4. Проверка на бдительность

Хорошее обучение всегда должно включать практику. Здесь на помощь могут прийти специалисты по тестированию на проникновение. Следующий вопрос: а что и как мы будем тестировать? Мы в Group-IB предлагаем следующий подход – сразу выбрать фокус тестирования: либо оценивать готовность к атакам только самих пользователей, либо же проверять защищенность компании в целом. А тестировать методами социальной инженерии, имитируя реальные атаки, т.е. теми же самыми фишингом, рассылкой исполняемых документов, звонками и другими техниками.

В первом случае атака тщательно готовится совместно с представителями заказчика, в основном с его ИТ- и ИБ-специалистами. Согласуются легенды, инструменты и техники атак. Заказчик сам предоставляет фокус-группы и списки пользователей для атаки, который включает все нужные контакты. Создаются исключения на средствах защиты, так как сообщения и исполняемые нагрузки обязательно должны дойти до получателя, ведь в таком проекте интерес представляет только реакция людей. Опционально можно заложить в атаку маркеры, по которым пользователь может догадаться о том, что это и есть атака, например можно сделать пару орфографических ошибок в сообщениях либо оставить неточности в копировании фирменного стиля. По окончании проекта получается та самая "сухая статистика" – какие фокус-группы и в каком объеме среагировали на сценарии.


Во втором случае атака проводится c нулевыми исходными знаниями, методом "черного ящика". Мы самостоятельно собираем информацию о компании, ее сотрудниках, сетевом периметре, формируем легенды для атаки, выбираем методы, ищем возможные применяемые в целевой компании средства защиты, адаптируем инструменты, составляем сценарии. Наши специалисты используют как классические методы разведки по открытым источникам (OSINT), так и продукт собственной разработки Group-IB – Threat Intelligence, систему, которая при подготовке к фишингу может выступать агрегатором информации о компании за длительный период, используя в том числе и закрытую информацию. Разумеется, чтобы атака не стала неприятным сюрпризом, ее детали также согласуются с заказчиком. Получается полноценный тест на проникновение, но в его основе будет продвинутая социальная инженерия. Логичная опция в таком случае – развитие атаки внутри сети, вплоть до получения наивысших прав во внутренних системах. Кстати, схожим образом мы применяем социотехнические атаки и в Red Teaming, и в некоторых тестах на проникновение. В результате заказчик получит независимое комплексное видение своей защищенности от определенного вида социотехнических атак, а также демонстрацию эффективности (или, наоборот, неэффективности) выстроенной линии обороны от внешних угроз.

Эксперты компании Check Point опубликовали историю хакера, который смог осуществить атаку типа MITM в отношении китайского венчурного фонда, используя приемы социальной инженерии. Первоначально хакеру стало доступно начало переписки об готовящихся инвестициях между венчурным фондом и израильским стартапом. После этого хакер с помощью двух вновь зарегистрированных доменов, схожих по написанию с доменами сторон, смог стать посредником в их переписке. В нужный момент хакер подменил банковские реквизиты стартапа на свои, похитив таким образом $ 1 млн. Стороны направили друг другу в общей сложности более 30 писем, но даже не заподозрили неладное. Защититься от такой атаки можно было бы, используя другие каналы коммуникации – звонки, личные встречи. И стороны в описываемой истории как раз пытались организовать очную встречу. Но хакер, редактируя проходящие через него письма, сумел найти убедительные доводы для отмены встречи. Личность хакера так и осталась неизвестной.

Мы рекомендуем проводить такое обучение не реже двух раз в год. Во-первых, в любой компании есть текучка кадров и предыдущий опыт постепенно забывается сотрудниками. Во-вторых, постоянно меняются способы и техники атак, и это приводит к необходимости адаптации процессов безопасности и средств защиты.

Финал. Несколько спасительных лайфхаков

Если говорить про технические меры защиты от атак, то в наибольшей степени помогают следующие:

1. Наличие обязательной двухфакторной аутентификации на сервисах, которые размещены в Интернете. Выпускать в 2019 г. такие сервисы без систем Single Sign On, без защиты от перебора паролей и без двухфакторной аутентификации в компании размером от несколько сотен человек равносильно открытому призыву "Сломай меня". Правильно внедренная защита сделает быстрое применение похищенных паролей невозможным и даст время на устранение последствий фишинговой атаки.

Классические антивирусные средства не будут детектировать вредоносные файлы при хорошо подготовленной атаке. Наиболее продвинутые продукты должны автоматически отслеживать совокупность событий, происходящих в сети, как на уровне отдельного хоста, так и на уровне трафика внутри сети. В случае атак проявляются очень характерные цепочки событий, которые можно отследить и остановить, если иметь сфокусированный на события такого рода мониторинг.

2. Контроль разграничения доступа, минимизация прав пользователей в системах и соблюдение руководств по безопасной настройке продуктов, которые выпускает каждый крупный производитель. Это зачастую простые по своей сути, но очень эффективные и сложные в практической реализации меры, которыми все в той или иной степени пренебрегают ради скорости работы. А некоторые настолько необходимы, что без них ни одно средство защиты не спасет.

3. Хорошо выстроенная линия фильтрации электронной почты. Антиспам, тотальная проверка вложений на наличие вредоносного кода, в том числе динамическое тестирование через песочницы. Хорошо подготовленная атака подразумевает, что исполняемое вложение не будет детектироваться антивирусными средствами. Песочница же, наоборот, проверит все на себе, используя файлы так же, как их использует человек. В результате возможная вредоносная составляющая будет раскрыта по производимым изменениям внутри песочницы.

4. Средства защиты от целенаправленных атак. Как уже отмечалось, классические антивирусные средства не будут детектировать вредоносные файлы при хорошо подготовленной атаке. Наиболее продвинутые продукты должны автоматически отслеживать совокупность событий, происходящих в сети, как на уровне отдельного хоста, так и на уровне трафика внутри сети. В случае атак проявляются очень характерные цепочки событий, которые можно отследить и остановить, если иметь сфокусированный на события такого рода мониторинг.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #6, 2019
Посещений: 326

  Автор

Павел Супрунюк

Павел Супрунюк

Технический руководитель Департамента аудита и консалтинга компании Group-IB

Всего статей:  1

В рубрику "Оборудование и технологии" | К списку рубрик  |  К списку авторов  |  К списку публикаций