Привет, Хабр! Мы с очередным рассказом из подкаста Darknet Diaries – историей про человека, которого компании нанимают, чтобы посмотреть, есть ли у них дыры в безопасности. Его главная задача – найти лазейку и проникнуть через нее в здание или инфраструктуру компании.
Но сначала лирическое вступление о Майкле Фэгане и его удивительной истории «взломов» Букингемского дворца. Это случилось в 1982 году в Лондоне. В первый раз Майкл попал во дворец по водосточной трубе через открытое окно. Мужчина почти час ходил по дворцу и рассматривал картины на стенах. А что же служба безопасности? Никто из них не заметил непрошенного гостя. Майкл даже зашел в кабинет личного секретаря Чарльза и выпил около половины найденной там бутылки вина.
История кажется невероятной, мужчина без труда проник в королевский дворец, отпил королевского вина и как ни в чем не бывало покинул здание, даже не попавшись охране. Но история Майкла на этом не закончилась. Через какое-то время он ранним утром прогуливался по улицам Лондона и в его голове снова появилось желание попасть во дворец. Майкл поздоровался с уборщицами, спешившими на работу, и зашел вместе с ними во дворец. Чудным образом мужчина нашел комнату королевы. Майкл решил убедиться, что он точно в королевских покоях, поэтому отдернул штору, чтобы лучше рассмотреть королеву. Внезапно королева проснулась и спросила, что мужчина делает в ее покоях, после чего выгнала непрошенного гостя.
Только представьте, мужчина дважды пробирался в Букингемский дворец, во второй раз пробрался в спальню королевы, пока она спала, а обвинение ему предъявили только за кражу полбутылки вина. Присяжные признали его невиновным в правонарушении, и он не был приговорен к тюремному заключению.
История еще одного пентестера
Вступительная часть закончилась. Давайте перейдем к еще одному пентестеру. Герой истории – Джереми Роу, архитектор решений для Synack. Компании нанимают его, чтобы посмотреть, есть ли у них дыры в безопасности и сможет ли он найти их. Еще в детстве Джереми любил создавать небольшие веб-сайты – так началась его техническая карьера. После армии Джереми устроился на работу в Geek Squad, где занимался устранением неполадок в компьютерах клиентов. Затем он решил найти другую работу, начал изучать технологии, в конечном итоге пришел в кибербезопасность и получил сертификат OSCP. После этого его наняли в организацию, которая работала на правительство. Задачи Джереми заключались в тестировании на проникновение на уровне сети и тестировании на проникновение веб-приложений, также он попытался найти уязвимости в зданиях.
Так как организация взаимодействовала с правительством, то злоумышленники могли атаковать ее, чтобы получить доступ к правительственным сетям. Джереми знал это, и поэтому хотел проверить один из удаленных офисов господрядчика и попытаться найти лазейки, через которые могут атаковать злоумышленники. Но руководство компании было против и Джереми пришлось убеждать их в важности тестирования. Аргументом стало то, что пентестеры продумывают сценарии, по которым потенциально могут атаковать злоумышленники. Так Джереми Роу получил зеленый свет от руководства на пентест. «Лучшая защита — это хорошее нападение», - считал герой истории.
Организация разрешила попытаться проникнуть в удаленный офис физически и через сеть, но с некоторыми условиями. Джереми запретили устанавливать на физические устройства бэкдоры или вредоносные программы. Они не хотели, чтобы он установил «хакерские инструменты» в сеть, которая активно используется.
Джереми и его команда начали придумывать план, как им проверить офис. В результате тестирования они хотели получить ответы на вопросы:
По каким сценариям организацию могут атаковать хакеры?
Можно ли получить доступ к устройствам и корпоративной сети?
Можно ли добыть информацию, которая потенциально ставит под угрозы правительственные сети?
Джереми хотел провести пентест так, будто он злоумышленник, атакующий правительственные сети. Хотя он и работал в этой компании, но никогда раньше не был в тестируемом офисе и не собирался использовать внутренние ресурсы, чтобы получить информацию.
План А и Б
Итак, Джереми начал с того, что погуглил местоположение офиса. Так он получил информацию о том, что окружает здание, пристроены ли к нему кофейни, какое количество входов и др. Затем он подъехал туда на машине, чтобы понаблюдать за обстановкой вокруг и детально изучить местность.
В подкасте Darknet Diaries Джереми Роу рассказал, что у него было два плана развития событий. План А заключался в том, чтобы пройтись по периметру здания и проверить, какие двери открыты. Это был неплохой план, потому что часто главный вход располагается там, где находится вся охрана, а, проскользнув через боковую или заднюю дверь, можно миновать встречи с ней. План Б заключался в том, чтобы попасть в офис через главный вход. Джереми и его команда не знали, что находится внутри офисного задания, они лишь предположили, что на первом этаже может быть фойе.
Пора выдвигаться
Джереми работал с напарником (ВС). Накануне пентеста они подстриглись и оделись так, чтобы сливаться с сотрудниками офиса. Джереми и ВС взяли с собой ноутбуки, набор отмычек, Bash Bunny и тд.. Также Джереми установил себе на телефон мобильную версию Kali Linux.
В день Х Джереми и ВС припарковали машину на офисной парковке, въезд на которую оказался свободным. Они решили обойти здание по периметру и проверить двери. Оказалось, что одна дверь была приоткрыта из-за технической неисправности. Так Джереми и ВС оказались на лестничной клетке. Первый этаж пентестеры решили не проверять, т.к. офисы их подрядчика располагались на втором и третьем. Дверь на втором этаже, к их удивлению, оказалась открытой, они попали в офис организации, сфотографировались там и вернулись обратно на лестницу. На третьем этаже дверь тоже была не заперта.
После успешности плана А – герои истории решили проверить, можно ли также беспрепятственно попасть в здание через главный вход. Джереми предполагал, что на их пути должно оказаться препятствие, которое не позволит свободно попасть в офис. Они зашли в здание через главный вход и свободно прошли к лестнице и лифтам, которые вели на верхние этажи.
На этажах с офисами подрядчика находились зоны отдыха с диванами – там и решили расположиться Джереми с напарником. Оказалось, что попасть в кабинеты организации возможно только по ключ-карте, которая есть у сотрудников. Пентестеры включили ноутбуки, начали думать, что делать дальше и параллельно наблюдали за обстановкой вокруг. В холле с диванами Джереми заметил маленький компьютер (инфокиоск), ему показалось любопытным, что этот компьютер оставлен без присмотра.
Оказалось, что на компьютере работало ПО, которое позволяло сотрудникам заходить только в одно приложение. На задней панели инфокиоска располагался USB-порт, через который Джереми подключили Bash Bunny. В подкасте Darknet Diaries Джереми Роу объяснил, что Bash Bunny выглядит как обычная флешка, но когда ее подключают к компьютеру, то он воспринимает Bash Bunny как клавиатуру. Если заранее прописать Bash Bunny сценарий действий, то ПК будет думать, что к нему подключили клавиатуру и начнет принимать нажатия клавиш. Джереми заранее прописал сценарий, по которому компьютер должен был открыть Word и начать печатать на экране. Этого было достаточно, чтобы пентестер мог сделать фото и доказать руководству, что он контролирует этот компьютер.
После этого Джереми и ВС решили еще раз пройтись по офису и проверить, точно ли все двери закрыты и доступ к ним можно получить только по ключ-карте. Но почему-то в этот конкретный день некоторые двери оказались открытыми.
Итого, Джереми и ВС попали в офис через главный вход, поднялись по лестнице, дернули за ручку и просто вошли в офис, где вокруг много корпоративной информации. Там же они заметили сетевые порты, принтеры, проекты, над которыми работали сотрудники, они также видели, что было написано на досках, видели ярлыки и разные IP-адреса.
Джереми с напарником свободно перемещались по офису, при этом у них не было бейджев и пропусков. Они проходили мимо большого количества сотрудников и здоровались с ними. В какой-то момент пентестеры даже поднялись в комнату отдыха сотрудников и выпили по кофе.
Пока пентестеры прогуливались по офису, то заметили открытое помещение для переговоров с несколькими разъемами Ethernet на стенах. У Джереми и ВС как раз с собой были кабели для подключения. Джереми видел, что в этом месте есть сеть Wi-Fi и, хотя он не знал пароля, но он был и не нужен, ведь они подключились к нему через разъем Ethernet. В подскасте Джереми объяснял, что порты Ethernet можно настроить разными способами. Они могут дать внутренний доступ, а могут вообще не дать доступа. Не факт, что только потому, что вы физически находитесь в офисе, то сможете подключиться и использовать сеть. В правильно сконфигурированном офисе не получится просто подойти и подключиться к любому порту Ethernet. Но они подключили свои компьютеры к разъемам Ethernet и увидели, что порты «живы».
Джереми решил просмотреть, что находится в этой сети, но других компьютеров в сети не было. Все, что он мог сделать – это получить доступ к Интернету. Джереми сделал вывод, что эта компания использовала NAC, поэтому, когда он подключил компьютер к порту, то маршрутизатор проверил его MAC-адрес и определил, что этот компьютер не должен иметь расширенный доступ. Джереми решил попробовать получить расширенный доступ, а не гостевой. Он хотел найти MAC-адрес, который находится в списке разрешенных и изменить MAC-адрес своего компьютера на один из них. Он заметил в офисе несколько принтеров. В подкасте он объяснил, что первая часть MAC-адреса от поставщика, поэтому если в компании есть оборудование Cisco, то каждый отдельный порт Ethernet на всем оборудовании Cisco начинается с MAC-адреса 94:36:CC. А вторая половина MAC-адреса будет разной для каждого порта Ethernet, что и сделает их разными.
Джереми посмотрел, какие типы принтеров есть в организации и посмотрел, с чего начинается MAC-адрес этого поставщика, а затем изменил MAC-адрес на своем компьютере, чтобы он совпадал с тем, с которого начинался принтер. Затем он попытался снова подключить кабель Ethernet и посмотреть, получит ли он другой IP-адрес. Это сработало и Джереми получил расширенный доступ внутри сети. Еще одна цель была достигнута – они получили доступ к сети.
После этого пентестеры отключились от сети и решили еще раз пройтись по офису, чтобы поискать какую-нибудь уязвимость, которую они, возможно, упустили. Пока они ходили, то заметили, что очень многие сотрудники отходят от ноутбуков и не блокируют сеанс. Джереми с напарником сделали несколько фото, на которых они сидят за такими ноутбуками. Так они продемонстрировали руководству, что ПК разблокированы и с ними можно сделать все что угодно.
Затем пентестеры направились к лифту, в котором ехал один из работников подрядчика. В лифте они поздоровались с ним и перекинулись несколькими бессмысленными фразами. Джереми решил импровизированно проследить за этим сотрудником, поэтому вышел с ним на одном этаже. Сотрудник направился к двери, достал пропуск и придержал дверь для Джереми. Тот поблагодарил сотрудника и вошел в офис. Джереми увидел, что его напарник остался в вестибюле, поэтому решил обойти другие двери, чтобы впустить его, но, когда он завернул за угол, напарник уже был в офисе. Оказалось, что другие двери не требовали пропуска. Это был еще один вывод для отчета.
Пока пентестеры были на третьем этаже, они сосредоточились на сборе разведданных. Им было интересно, есть ли доступ к каким-то программам, к которым не должно быть доступа. Пока они гуляли по офису, они фотографировали доски, документы на столах, файлы, названия файлов. Они хотели получить как можно больше информации об организации и о том, кому принадлежат эти файлы и насколько они конфиденциальны для организации. Джереми и BC собрали достаточно информации для отчета и покинули офис подрядчика через главную дверь здания.
А что в итоге?
Джереми смог разыграть сценарии, по которым потенциальные злоумышленники могли бы легко получить беспрепятственный доступ к организации. В подкасте Джереми рассказал, что руководству было тяжело принять этот факт. Они были удивлены тому, как легко Джереми получил контроль над инфокиоском в холле. Также руководство было шокировано тем, что сотрудники, отходя от компьютеров, оставляют их включенными.
Что руководство сделало постфактум? Джереми рассказал, что они закрыли двери и просто убрали компьютер из холла. Организацию впечатлила работа Джереми и его напарника, поэтому им разрешили провести дополнительные тестирования на безопасность.