Аноним присылает вашей секретарше роскошный букет цветов с запиской и таинственным сюрпризом на флешке. 99,9% российских секретарш под властью эмоций и любопытства вставляют флешку в компьютер прямо на рабочем месте, чтобы скорее узнать, что еще ей приготовил тайный поклонник. Через секунду она расстроится, удивится или ничего не поймет, но это будет совершенно неважно, потому что хакеры уже начали продвижение вглубь внутренней сети вашей компании и этот процесс необратим.

Пример выше не сюжет фильма, а рабочий инструмент социальной инженерии — метод социотехнической атаки, цель которой получить первичный доступ в сеть. Это и мошенники, которые звонят вам из банка, имеет одно название — фишинг. 

Меня зовут Александр Герасимов, я эксперт в области тестирования на проникновение и сооснователь Awillix. У нас накопилось много историй про Red Team и я решил поделиться реальными примерами из жизни, про то, как проводятся такие проекты, в чем их особенность и кому они вообще нужны. 

Итак я начал с фишинга, потому что это самый легкий и распространенный способ получить первичный доступ во внутреннюю сеть. Затем хакер обычно переходит к тяжелым и изощренным схваткам с отделом мониторинга компании, в результате которых, он либо сможет забрать деньги/ уничтожить исходный код/ забрать данные и потребовать выкуп, либо не справится с ИБ-отделом, который был готов к его уловкам и вовремя отразил атаку. 

С февраля 2022 года количество атак выросло в 8 раз, а ущерб российских компаний еще до этого составлял 116 млрд рублей в год. Сегодня бизнес любого уровня озабочен безопасностью как никогда, и идет на всё, чтобы отражать атаки эффективно. 

Кратко о том, зачем вообще имитировать хакерские атаки

Имитация хакерских атак — это такое упражнение для выявления уязвимостей и возможных сценариев взлома ресурсов компании для того, чтобы устранить проблемы до того, как организацию будут реально атаковать.

Если процессы обеспечения безопасности развиты, то тест на проникновение (penetration test — pentest) поможет обнаружить слабые места. Но если безопасностью никогда не занимались, то пентест кончится через пару минут и вряд ли принесет много пользы. Компания узнает только один способ проникновения, но остальные уязвимости разного уровня критичности по-прежнему останутся без внимания. Следующий пентест пройдет так же легко, но уже через другие уязвимости. Это так же неэффективно, как вешать супертехнологичное видеонаблюдение на двери и держать их нараспашку. Для начала полезнее просто установить замки.

Такими замками могут стать различные аудиты и комплексные оценки защищенности информационной безопасности. Сначала нужно убедиться, что весь ландшафт ИТ-инфраструктуры покрыт проверками и защищен, а только потом переходить к имитации атак. Если в компании есть много сайтов, сервисов и приложений, то начать можно, к примеру, с автоматизированного сканирования. В автоматическом режиме сканер проанализирует сервисы компании и выдаст отчет о том, что надо исправить.

Далее, то что не обнаружили сканеры, обнаружат специалисты, делая анализ защищенности, выявляя максимальное количество уязвимостей на ИТ-периметре и в сервисах уже в ручном режиме.

Когда все «дыры» в широком понимании закрыты, можно переходить к более сложным упражнениям — имитации настоящей атаки. После теста на проникновения ИБ-отдел исправит оставшиеся сложные уязвимости. Так с каждым разом компания будет становиться все неприступнее. Но этого будет все равно недостаточно.

Большие компании с активами, за которые можно потребовать солидный выкуп, обязательно находятся на радарах серьезных хакерских группировок. Настоящие хакеры готовят сложные таргетированные атаки, развивают вектор нападения и разрабатывают свои инструменты для обмана систем обнаружения. Чтобы понять, каким способом злоумышленники завладеют активом компании, сколько времени и денег им для этого понадобится, существуют сложные методы имитаций атак, такие как Red team.

Что такое Red Team?

Вернемся к секретарше с флешкой, теперь понятно, что когда компания защищена с головы до ног после многократных пентестов, то для получения первичного доступа в сеть легче всего использовать человеческий фактор. Чтобы защититься от социальной инженерии и главное — научиться останавливать злоумышленников до того, как они проникнут внутрь ИТ-инфраструктуры слишком глубоко, нужны настоящие «киберучения» в реальном времени, что-то вроде пожарной тревоги.

Red Team — имитация высокоорганизованной хакерской АРТ-атаки (Advanced Persistent Threat) — это целевая продолжительная атака повышенной сложности. Это комплексная услуга, в которой содержится сразу и пентест инфраструктуры и различных средств защиты, сетевых устройств (например, Wi-Fi), тестирование методом социальной инженерии: фишинговые рассылки, звонки, физическое проникновение и многое другое.

Как действует хакер (АКА пентестер в нашем случае) — начинает разведку, затем взламывает один из элементов защиты, проникает и закрепляется в системе, потом развивает атаку. Так вот Red Team (красная команда нападающих) позволяет сымитировать весь этот комплекс мер в режиме реального времени, силой выделенной команды специалистов.

Имитация в Red Team очень натуральна и наиболее приближена к реальности, ничто не ограничивает исполнителей в достижении цели. На время проекта Red Team — это хакерская группировка, которая собирает информацию из открытых источников и даркнета, находит любые, даже самые сложные уязвимости в защите, ломает компанию любыми способами и пытается никак не выдать себя. Целью может быть — получить административный доступ к инфраструктуре, вывести базу данных или деньги или получить доступ к 1С. 

Red Team проводится без уведомления внутренних служб информационной безопасности. Все по-настоящему: защита работает на полную. Все, что знают нападающие — названия компании. Красная команда скрывает себя и заранее готовит инструментарий. Для фишинговой рассылки заранее покупается домен, чтобы он стал доверенным. Закупаются инструменты типа vpn и proxi, чтобы скрывать реальный адрес для каждого запроса. Сканеры настраиваются так, чтобы внутренняя служба безопасности не замечала сканирования или не подозревала, что это целенаправленная атака. 

Когда находится потенциальная уязвимость, например, веб-сайт с SQL-инъекцией, которая позволяет сделать запрос в базу данных и дернуть информацию, то можно начать эксплуатировать уязвимость. Ты делаешь полезную нагрузку и средство защиты начинает блокировать ее по определенным паттернам, например, самое простое - вхождение подстрок вида select/union/join. Поэтому применяются дополнительные техники сокрытия и вывода данных, приходится видоизменять эксплуатацию и пытаться обмануть систему. 

После того, как ты попал в базу данных, там начинают работать уже другие средства защиты — средства обнаружения и предотвращения вторжения. Они реагируют не на паттерны запросов, а на процессы. Они будут детектировать аномальные запуски. Когда на компьютере, например, финансиста, вдруг неожиданно запускается командная строка или инструмент, который финансист никогда не запускал — это аномалия. Средство защиты будет блокировать аномальные действия и сообщать средствам мониторинга, поэтому нужно действовать незаметно. 

Может возникнуть сложность и увеличится время атаки. Нужно уметь преобразовывать файл в закодированный вид и выводить его через другие протоколы, которые средства защиты не видят. Есть инструменты, которые позволяют вывести данные не через HTTP-трафик, а через ICMP или DNS.

Red Team направлен на оценку уровня защищенности организации и того, насколько корректно работают средства защиты, как эффективно реагируют специалисты службы безопасности заказчика. Их задача — обнаружить атакующих, расследовать инциденты и противостоять нападению. Они не знают, что это учения и отражают атаку реальных хакеров. 

Цель Red Team — улучшить процессы информационной безопасности.

Проведение проектов Red Team

Помимо красной команды атаки, есть и другие команды. Синяя — это внутренняя ИБ-служба, которая отражает атаки. Фиолетовая — арбитры, чья задача обеспечить и довести до максимума эффективность работы Красных и Синих команд. Они вписывают защитные приемы синих команд и исследования угроз красных в единый контекст. Когда проект заканчивается, все проведенные работы красной и синей команды сопоставляются. Синие рассказывают, что видели, как реагировали на инциденты, какие меры принимали. Красные предоставляют отчет о развитии своих атак, предлагают рекомендации. Все вместе проводят разбор полетов.

На самом деле цветов гораздо больше, но эта тема выходит далеко за рамки Red Team.

Все, что было найдено во время проекта в инфраструктуре, в приложениях, в сетевых устройствах, средствах защиты с помощью технических средств подробно описывается вместе с рекомендациями технического плана. Такими как: найти обновления или произвести фильтрацию пользовательского ввода или сделать ограничение на количество запросов на единицу времени и прочее. 

Если проникновение было сделано не техническим способом, например, социальной инженерией, то в отчете будут рекомендации типа — провести awareness (обучение сотрудников) по осведомленности в вопросах операционной безопасности. 

Когда эксплуатации уязвимостей никто и ничто не мешало, значит не работали средства защиты или атакованный ресурс не был под мониторингом. Даются рекомендации, про то, как необходимо настроить мониторинг этого конкретного ресурса и установить необходимые средства защиты.

Вся цепочка реализованных атак может быть синхронизирована с матрицей MITRE ATT&CK — это база знаний, разработанная и поддерживаемая корпорацией MITRE, на основе анализа реальных APT-атак. Это некий стандарт, в котором название столбцов это название этапов работ. А строчки в этих столбцах — различные техники, которые могут быть использованы. Практически 90% случаев уже описано в матрице MITRE. Ей могут пользоваться как красные, так и синие команды, чтобы понимать как ту или иную технику атаки детектировать (обнаруживать) или как ее можно митигировать, то есть избежать использования этой техники группировками. Конечно, в отчете пентестеры дают свои собственные точечные рекомендации на основе личного опыта, но методология служит общей базой.

В каких случаях используют Red Team и зачем это нужно?

Red Team — это имитация высокоорганизованной и ее нужно проводить только в том случае, если компания успешно прошла другие более простые проверки безопасности. Чтобы попасть во внутреннюю сеть Красная команда не останавливается не перед чем. Может устроиться на работу в компанию или подбросить флешку с вредоносным ПО. Попросить уборщицу, чтобы она вставила устройство в розетку. Подослать подставного курьера под любым предлогом. Только прямой подкуп сотрудников остается вне закона. 

Пример из практики: офисное здание, сотрудники используют свои логины и пароли от компьютеров для авторизации в корпоративной Wifi-сети. Для проникновения через Wifi нужны учетные данные. Чтобы получить их, у нас было четыре сценария фишинговой рассылки. Поскольку это Red Team — времени нет. Рассылку быстро заметят и примут меры. Отправляли письма, ждали пока кто-то внесет данные и сразу же пробовали попасть во внутреннюю сеть. Для этого мы сняли квартиру рядом с офисом компании, заезжали во двор через шлагбаум и парковались максимально близко к зданию. Wifi ловился из машины. Часть команды «фишит» из квартиры, часть в машине ждёт данные. Получили и попали во внутреннюю сеть меньше чем за 20 минут. В итоге все это помогло заказчику правильным образом настроить корпоративный Wi-Fi, отладить модель реагирования на подобные угрозы и дополнительно обучить сотрудников распознавать и реагировать на фишинг.

Часто приходится писать свои собственные инструменты, которые помогают не обнаружить чужаков внутри. Например, ты в компьютере сотрудника, у которого есть доступ к нужному файлу, нужно преобразовать файл в закодированный вид и вывести через протоколы, которые средства защиты не видят. Например, однажды мы попали на веб-сервер, где было исполнение кода и мы могли выполнять команды на уровне операционной системы. При этом удаленный доступ получить мы не могли, потому что попытки блокировались антивирусом. Мы сделали дополнительный туннель через другой протокол, который не анализировался средством защиты. В итоге удаленный доступ  был организован с помощью протокола, который находить на уровень ниже, чем HTTP.

Пример из практики: иностранный банк захотел тест на физическое проникновение. Защита банка повсеместно была на хорошем уровне от средств защиты до обычной охраны. Нам разрешили делать все. Вообще все. Кроме применения физической силы к персоналу и привлечения общественности. Можно взламывать замки, залезать через окна, представляться курьером или клиентом, заходить вместе с сотрудником с пропуском пока дверь не закрылась (применять Tailgating). Чтобы попасть через колючую проволоку забора, можно перекинуть обычный ковер. Не скажу какой из методов позволил нам получить доступ в корпоративную сеть. Но затем, мы использовали собственное устройство, благодаря которому, получили максимальные привилегии в сети банка за три часа. 

Заказчик смог отладить внутренние процессы мониторинга ИБ-инцидентов и физической безопасности, после этого проекта.

Заказчиком такой услуги выступает обычно собственники или топ-менеджеры. О Red Team не должен знать никто, даже директор по безопасности. Часто договоры на Red Team не проходят даже процедуру согласования внутри компании, даже в крупных и бюрократизированных организациях из-за секретности. В России Red Team проводят очень редко и только те, чей уровень ИБ максимально развит и на безопасность выделялись серьезные бюджеты.

Как усилить защиту после киберучений

Если вы думаете, что разыгрывать такие сцены за свои же деньги — это абсурд, то вот немного статистики. 

— 90% случаев компрометация всей инфраструктуры компании занимает меньше 24 часов. 

— Каждый 7-ой сотрудник вступает в диалог со злоумышленниками, раскрывая чувствительную информацию. 

— В 50% компаний можно попасть в сеть за один шаг.  

Тестирования дарят собственникам компании спокойный сон. Это единственный способ узнать наверняка, насколько сложно злоумышленнику заполучить активы организации. Перед процедурами слияний и поглощений компании могут проводить redteam-проекты, чтобы убедиться, что чувствительная информация не будет скомпрометирована и не сорвет сделку в последний момент. 

С помощью Red Team компания тюнингует свои ИБ-процессы — понимает, что не предусмотрела, и дорабатывает это. Этот процесс не может полностью завершиться. Чтобы сохранять высокий уровень информационной безопасности, нужно организовать цикл: провели Red Team, сделали выводы, что-то исправили, заказали следующий Red Team.

Глобально, чтобы обеспечить безопасность после киберучений нужно:

— Выполнение рекомендаций и лучших практик по настройке систем, например,  CIS Benchmark.

— Наличие в компании выстроенных процессов ИБ, например, по управлению обновлениями, управлению уязвимостями, безопасной разработке.

— Осведомленность сотрудников о рисках информационной безопасности и правилам действий при социотехнических атаках.

— Наличие средств защиты информации и их правильная эксплуатация.

— Проведение регулярных тестов на проникновение и непрерывный мониторинг инфраструктуры.