Тестирование на проникновение является неотъемлемой частью проверки защищенности корпоративной сети. Без пентеста невозможно объективно оценить риски и построить эффективную систему защиты. О техническом пентесте написано большое количество статей, рассматривающих различные варианты реализации проверки защищенности как для внешнего, так и для внутреннего нарушителя. Поэтому о техническом пентесте в чистом виде мы в этой статье говорить не будем.
Отдельной частью любого тестирования на проникновения является проверка персонала с помощью так называемой социальной инженерии. Социальная инженерия представляет собой проверку работников тестируемой организации на устойчивость к различным социально-техническим методам выявления конфиденциальной информации, например учетным данным. То есть, здесь мы ломаем уже не компьютеры и сеть, а людей, пытаясь выведать у них конфиденциальную информацию. Стоит отметить, что все техники социальной инженерии основаны на особенностях принятия решений людьми.
В процессе подготовки к пентесту заказчик предоставляет список пользователей своей организации, которые должны быть подвергнуты проверкам с помощью социальной инженерии. Как правило это работники различных подразделений: менеджеры, бухгалтеры, и непосредственно сисадмины.
Виды социальной инженерии
Техники социальной инженерии имеют определенное разделение. В некоторых случаях они вообще не требуют использования технических средств, в других специальное ПО или оборудование необходимо. Начнем с тех техник, которые не требуют дополнительных средств.
Претекстинг — это действие, отработанное по заранее составленному сценарию, называемому также претекстом. В результате жертва должна выдать определённую информацию, или совершить определённое действие. Этот вид атак применяется обычно по телефону и не требует никаких дополнительных средств для реализации. В жизни все сталкивались с подобными техниками при звонках от всевозможных “служб безопасности” банков, “сотрудников полиции” и прочих мошенников.
При пентесте технологии претекстинга в чистом виде тоже могут использоваться. Так например, если среди тестируемых сотрудников если работники HR/PR департаментов, которые по долгу службы вынуждены общаться с большим количеством людей, то пентестер может попробовать выведать пароль от беспроводной сети в организации (если конечно там не используются сертификаты) просто позвонив HR специалисту и сказав, что он сейчас сидит в переговорке и ему нужен доступ в Интернет. Возможно, HR будет успешно введен в заблуждение и необходимая информация будет получена.
Еще один способ, не требующий специальных технических средств это так называемый кви про кво (ищи кому выгодно по-латыни). Пентестер может позвонить тестируемому работнику, представиться сотрудником техподдержки, опрашивающим, есть ли какие-либо технические проблемы. В случае, если они есть, в процессе их «решения» цель вводит команды, которые позволяют пентестеру получить необходимую информацию, выполнить нужные настройки (например, разрешить RDP) или запустить вредоносное программное обеспечение.
Старый добрый фишинг
На технике фишинга хотелось бы остановиться особо. По определению, фишинг это техника, направленная на жульническое получение конфиденциальной информации. Обычно злоумышленник посылает цели e-mail, подделанный под официальное письмо — от банка или платёжной системы — требующее «проверки» определённой информации, или совершения определённых действий.
При пентесте фишинг занимает особое место, так как является наиболее распространенным видом проверок. Для проверки фишингом пентестеры создают поддельный веб ресурс, по внешнему виду полностью идентичный реальному корпоративному ресурсу, например Outlook Web Access. Доменное имя этого ресурса также очень похоже на имя легального ресурса и отличается как правило либо доменом, либо одним символом (l вместо I, 0 вместо o и т.д.).
Далее готовится письмо в корпоративном формате данной организации, в котором получателя просят от имени ИТ службы поучаствовать в тестировании нового сервиса: перейти по ссылке на поддельный веб ресурс и ввести свои учетные данные. После этого, данные письма рассылаются адресатам и списка тестируемых пользователей.
По моей статистике до 70% пользователей перейдут по ссылке и до 50% введут свои учетные данные.
Тот самый троян
И еще одна очень старая техника, которая по-прежнему часто используется при пентесте. Троянский конь представляет собой отправку пользователю письма с приложением, которое тот должен открыть. Здесь часто проверяют не только сотрудников, но и средства антивирусной защиты, используемые в организации.
Так пентестер формирует офисный документ содержащий относительно безобидный макрос. Этот макрос при выполнении обращается к внешней веб странице, сообщая, что его успешно запустили. При проверке мы можем отправить несколько писем. В простейшем случае мы прикрепляем документ в открытом виде. Однако, такие письма как правило не доходят до адресатов, потому что их блокирует почтовый антивирус еще при получении.
Более интересный вариант - это архивация приложенного файла с использованием пароля. В таком случае, почтовый антивирус нам вряд ли сможет помешать. И здесь мы подключаем механизмы социальной инженерии. В тексте письма, подготовленного также по всем корпоративным стандартам, мы сообщаем сотруднику, что в приложенном файле находится информация по его зарплате/премии, в целях соблюдения конфиденциальности мы используем пароль, который тут же указываем. Также мы просим его разрешить выполнение макросов при открытии документа.
Здесь, конечно, возможен вариант, когда антивирус на хосте или корпоративные политики безопасности не дадут выполнить макрос. Но также многое зависит и от самого пользователя, насколько послушно он выполнит то, что от него требуют.
Дорожное яблоко
Этот метод атаки в определенной степени представляет собой адаптацию троянского коня, и состоит в использовании физических носителей. Злоумышленник может подбросить инфицированный CD, или карту памяти, в месте, где носитель может быть легко найден (коридор, лифт, парковка). Носитель подделывается под официальный, и сопровождается подписью, призванной вызвать любопытство.
На самом деле не такой уж экзотический вариант пентеста. Как уже рассказывалось ранее в моих статьях про BadUSB устройства, подобные носители действительно можно подбросить сотрудникам организации, которые затем из любопытства могут подключить эти устройства на своих рабочих компьютерах и в результате выполнить произвольный код под своим аккаунтом.
Мессенджеры как угроза
Сейчас мессенджеры активно используются не только в личных целях, но и для работы. Часто есть общие чаты, в которых обсуждаются рабочие вопросы, причем чаты могут состоять из представителей одной организации, а могут содержать представителей нескольких организаций (заказчики, партнеры). И во втором случае есть риск, когда посторонний или бывший сотрудник могут получить доступ к данному чату и читать все сообщения. Дело в том, что когда в чате много пользователей и они не знакомы друг с другом, то во-первых мы можем не знать, что кто-то из участников чата может уже не работать в той организации, которую он представлял ранее (то есть по сути являться посторонним), а во-вторых прибегнув к методам той же социальной инженерии посторонний может получить доступ в наш рабочий чат.
Ну и в случае компрометации или хищения мобильного устройства, злоумышленнику будет доступен мессенджер, в случае, если пользователь не применит специальные механизмы защиты.
Заключение
В этой статье мы поговорили об основных методах социальной инженерии. При построении системы защиты не стоит забывать о том, что атаки на людей не менее опасны, чем атаки на технические средства
Подробнее про социальную инженерию и информационную безопасность в целом, мы с коллегами рассказываем в рамках онлайн-курсов на платформе OTUS. Напоминаю о том, что на каждом курсе также проводятся бесплатные уроки, зарегистрироваться на которые могут все желающие. Вот ближайшие из них: