Аноним присылает вашей секретарше роскошный букет цветов с запиской и таинственным сюрпризом на флешке. 99,9% российских секретарш под властью эмоций и любопытства вставляют флешку в компьютер прямо на рабочем месте, чтобы скорее узнать, что еще ей приготовил тайный поклонник. Через секунду она расстроится, удивится или ничего не поймет, но это будет совершенно неважно, потому что хакеры уже начали продвижение вглубь внутренней сети вашей компании и этот процесс необратим.

Пример выше не сюжет фильма, а рабочий инструмент социальной инженерии — метод социотехнической атаки, цель которой получить первичный доступ в сеть. Это и мошенники, которые звонят вам из банка, имеет одно название — фишинг. 

Меня зовут Александр Герасимов, я эксперт в области тестирования на проникновение и сооснователь Awillix. У нас накопилось много историй про Red Team и я решил поделиться реальными примерами из жизни, про то, как проводятся такие проекты, в чем их особенность и кому они вообще нужны. 

Итак я начал с фишинга, потому что это самый легкий и распространенный способ получить первичный доступ во внутреннюю сеть. Затем хакер обычно переходит к тяжелым и изощренным схваткам с отделом мониторинга компании, в результате которых, он либо сможет забрать деньги/ уничтожить исходный код/ забрать данные и потребовать выкуп, либо не справится с ИБ-отделом, который был готов к его уловкам и вовремя отразил атаку. 

С февраля 2022 года количество атак выросло в 8 раз, а ущерб российских компаний еще до этого составлял 116 млрд рублей в год. Сегодня бизнес любого уровня озабочен безопасностью как никогда, и идет на всё, чтобы отражать атаки эффективно. 

Кратко о том, зачем вообще имитировать хакерские атаки

Имитация хакерских атак — это такое упражнение для выявления уязвимостей и возможных сценариев взлома ресурсов компании для того, чтобы устранить проблемы до того, как организацию будут реально атаковать.

Если процессы обеспечения безопасности развиты, то тест на проникновение (penetration test — pentest) поможет обнаружить слабые места. Но если безопасностью никогда не занимались, то пентест кончится через пару минут и вряд ли принесет много пользы. Компания узнает только один способ проникновения, но остальные уязвимости разного уровня критичности по-прежнему останутся без внимания. Следующий пентест пройдет так же легко, но уже через другие уязвимости. Это так же неэффективно, как вешать супертехнологичное видеонаблюдение на двери и держать их нараспашку. Для начала полезнее просто установить замки.

Такими замками могут стать различные аудиты и комплексные оценки защищенности информационной безопасности. Сначала нужно убедиться, что весь ландшафт ИТ-инфраструктуры покрыт проверками и защищен, а только потом переходить к имитации атак. Если в компании есть много сайтов, сервисов и приложений, то начать можно, к примеру, с автоматизированного сканирования. В автоматическом режиме сканер проанализирует сервисы компании и выдаст отчет о том, что надо исправить.

Далее, то что не обнаружили сканеры, обнаружат специалисты, делая анализ защищенности, выявляя максимальное количество уязвимостей на ИТ-периметре и в сервисах уже в ручном режиме.

Когда все «дыры» в широком понимании закрыты, можно переходить к более сложным упражнениям — имитации настоящей атаки. После теста на проникновения ИБ-отдел исправит оставшиеся сложные уязвимости. Так с каждым разом компания будет становиться все неприступнее. Но этого будет все равно недостаточно.

Большие компании с активами, за которые можно потребовать солидный выкуп, обязательно находятся на радарах серьезных хакерских группировок. Настоящие хакеры готовят сложные таргетированные атаки, развивают вектор нападения и разрабатывают свои инструменты для обмана систем обнаружения. Чтобы понять, каким способом злоумышленники завладеют активом компании, сколько времени и денег им для этого понадобится, существуют сложные методы имитаций атак, такие как Red team.

Что такое Red Team?

Вернемся к секретарше с флешкой, теперь понятно, что когда компания защищена с головы до ног после многократных пентестов, то для получения первичного доступа в сеть легче всего использовать человеческий фактор. Чтобы защититься от социальной инженерии и главное — научиться останавливать злоумышленников до того, как они проникнут внутрь ИТ-инфраструктуры слишком глубоко, нужны настоящие «киберучения» в реальном времени, что-то вроде пожарной тревоги.

Red Team — имитация высокоорганизованной хакерской АРТ-атаки (Advanced Persistent Threat) — это целевая продолжительная атака повышенной сложности. Это комплексная услуга, в которой содержится сразу и пентест инфраструктуры и различных средств защиты, сетевых устройств (например, Wi-Fi), тестирование методом социальной инженерии: фишинговые рассылки, звонки, физическое проникновение и многое другое.

Как действует хакер (АКА пентестер в нашем случае) — начинает разведку, затем взламывает один из элементов защиты, проникает и закрепляется в системе, потом развивает атаку. Так вот Red Team (красная команда нападающих) позволяет сымитировать весь этот комплекс мер в режиме реального времени, силой выделенной команды специалистов.

Имитация в Red Team очень натуральна и наиболее приближена к реальности, ничто не ограничивает исполнителей в достижении цели. На время проекта Red Team — это хакерская группировка, которая собирает информацию из открытых источников и даркнета, находит любые, даже самые сложные уязвимости в защите, ломает компанию любыми способами и пытается никак не выдать себя. Целью может быть — получить административный доступ к инфраструктуре, вывести базу данных или деньги или получить доступ к 1С. 

Red Team проводится без уведомления внутренних служб информационной безопасности. Все по-настоящему: защита работает на полную. Все, что знают нападающие — названия компании. Красная команда скрывает себя и заранее готовит инструментарий. Для фишинговой рассылки заранее покупается домен, чтобы он стал доверенным. Закупаются инструменты типа vpn и proxi, чтобы скрывать реальный адрес для каждого запроса. Сканеры настраиваются так, чтобы внутренняя служба безопасности не замечала сканирования или не подозревала, что это целенаправленная атака. 

Когда находится потенциальная уязвимость, например, веб-сайт с SQL-инъекцией, которая позволяет сделать запрос в базу данных и дернуть информацию, то можно начать эксплуатировать уязвимость. Ты делаешь полезную нагрузку и средство защиты начинает блокировать ее по определенным паттернам, например, самое простое - вхождение подстрок вида select/union/join. Поэтому применяются дополнительные техники сокрытия и вывода данных, приходится видоизменять эксплуатацию и пытаться обмануть систему. 

После того, как ты попал в базу данных, там начинают работать уже другие средства защиты — средства обнаружения и предотвращения вторжения. Они реагируют не на паттерны запросов, а на процессы. Они будут детектировать аномальные запуски. Когда на компьютере, например, финансиста, вдруг неожиданно запускается командная строка или инструмент, который финансист никогда не запускал — это аномалия. Средство защиты будет блокировать аномальные действия и сообщать средствам мониторинга, поэтому нужно действовать незаметно. 

Может возникнуть сложность и увеличится время атаки. Нужно уметь преобразовывать файл в закодированный вид и выводить его через другие протоколы, которые средства защиты не видят. Есть инструменты, которые позволяют вывести данные не через HTTP-трафик, а через ICMP или DNS.

Red Team направлен на оценку уровня защищенности организации и того, насколько корректно работают средства защиты, как эффективно реагируют специалисты службы безопасности заказчика. Их задача — обнаружить атакующих, расследовать инциденты и противостоять нападению. Они не знают, что это учения и отражают атаку реальных хакеров. 

Цель Red Team — улучшить процессы информационной безопасности.

Проведение проектов Red Team

Помимо красной команды атаки, есть и другие команды. Синяя — это внутренняя ИБ-служба, которая отражает атаки. Фиолетовая — арбитры, чья задача обеспечить и довести до максимума эффективность работы Красных и Синих команд. Они вписывают защитные приемы синих команд и исследования угроз красных в единый контекст. Когда проект заканчивается, все проведенные работы красной и синей команды сопоставляются. Синие рассказывают, что видели, как реагировали на инциденты, какие меры принимали. Красные предоставляют отчет о развитии своих атак, предлагают рекомендации. Все вместе проводят разбор полетов.

На самом деле цветов гораздо больше, но эта тема выходит далеко за рамки Red Team.

Все, что было найдено во время проекта в инфраструктуре, в приложениях, в сетевых устройствах, средствах защиты с помощью технических средств подробно описывается вместе с рекомендациями технического плана. Такими как: найти обновления или произвести фильтрацию пользовательского ввода или сделать ограничение на количество запросов на единицу времени и прочее. 

Если проникновение было сделано не техническим способом, например, социальной инженерией, то в отчете будут рекомендации типа — провести awareness (обучение сотрудников) по осведомленности в вопросах операционной безопасности. 

Когда эксплуатации уязвимостей никто и ничто не мешало, значит не работали средства защиты или атакованный ресурс не был под мониторингом. Даются рекомендации, про то, как необходимо настроить мониторинг этого конкретного ресурса и установить необходимые средства защиты.

Вся цепочка реализованных атак может быть синхронизирована с матрицей MITRE ATT&CK — это база знаний, разработанная и поддерживаемая корпорацией MITRE, на основе анализа реальных APT-атак. Это некий стандарт, в котором название столбцов это название этапов работ. А строчки в этих столбцах — различные техники, которые могут быть использованы. Практически 90% случаев уже описано в матрице MITRE. Ей могут пользоваться как красные, так и синие команды, чтобы понимать как ту или иную технику атаки детектировать (обнаруживать) или как ее можно митигировать, то есть избежать использования этой техники группировками. Конечно, в отчете пентестеры дают свои собственные точечные рекомендации на основе личного опыта, но методология служит общей базой.

В каких случаях используют Red Team и зачем это нужно?

Red Team — это имитация высокоорганизованной и ее нужно проводить только в том случае, если компания успешно прошла другие более простые проверки безопасности. Чтобы попасть во внутреннюю сеть Красная команда не останавливается не перед чем. Может устроиться на работу в компанию или подбросить флешку с вредоносным ПО. Попросить уборщицу, чтобы она вставила устройство в розетку. Подослать подставного курьера под любым предлогом. Только прямой подкуп сотрудников остается вне закона. 

Пример из практики: офисное здание, сотрудники используют свои логины и пароли от компьютеров для авторизации в корпоративной Wifi-сети. Для проникновения через Wifi нужны учетные данные. Чтобы получить их, у нас было четыре сценария фишинговой рассылки. Поскольку это Red Team — времени нет. Рассылку быстро заметят и примут меры. Отправляли письма, ждали пока кто-то внесет данные и сразу же пробовали попасть во внутреннюю сеть. Для этого мы сняли квартиру рядом с офисом компании, заезжали во двор через шлагбаум и парковались максимально близко к зданию. Wifi ловился из машины. Часть команды «фишит» из квартиры, часть в машине ждёт данные. Получили и попали во внутреннюю сеть меньше чем за 20 минут. В итоге все это помогло заказчику правильным образом настроить корпоративный Wi-Fi, отладить модель реагирования на подобные угрозы и дополнительно обучить сотрудников распознавать и реагировать на фишинг.

Часто приходится писать свои собственные инструменты, которые помогают не обнаружить чужаков внутри. Например, ты в компьютере сотрудника, у которого есть доступ к нужному файлу, нужно преобразовать файл в закодированный вид и вывести через протоколы, которые средства защиты не видят. Например, однажды мы попали на веб-сервер, где было исполнение кода и мы могли выполнять команды на уровне операционной системы. При этом удаленный доступ получить мы не могли, потому что попытки блокировались антивирусом. Мы сделали дополнительный туннель через другой протокол, который не анализировался средством защиты. В итоге удаленный доступ  был организован с помощью протокола, который находить на уровень ниже, чем HTTP.

Пример из практики: иностранный банк захотел тест на физическое проникновение. Защита банка повсеместно была на хорошем уровне от средств защиты до обычной охраны. Нам разрешили делать все. Вообще все. Кроме применения физической силы к персоналу и привлечения общественности. Можно взламывать замки, залезать через окна, представляться курьером или клиентом, заходить вместе с сотрудником с пропуском пока дверь не закрылась (применять Tailgating). Чтобы попасть через колючую проволоку забора, можно перекинуть обычный ковер. Не скажу какой из методов позволил нам получить доступ в корпоративную сеть. Но затем, мы использовали собственное устройство, благодаря которому, получили максимальные привилегии в сети банка за три часа. 

Заказчик смог отладить внутренние процессы мониторинга ИБ-инцидентов и физической безопасности, после этого проекта.

Заказчиком такой услуги выступает обычно собственники или топ-менеджеры. О Red Team не должен знать никто, даже директор по безопасности. Часто договоры на Red Team не проходят даже процедуру согласования внутри компании, даже в крупных и бюрократизированных организациях из-за секретности. В России Red Team проводят очень редко и только те, чей уровень ИБ максимально развит и на безопасность выделялись серьезные бюджеты.

Как усилить защиту после киберучений

Если вы думаете, что разыгрывать такие сцены за свои же деньги — это абсурд, то вот немного статистики. 

— 90% случаев компрометация всей инфраструктуры компании занимает меньше 24 часов. 

— Каждый 7-ой сотрудник вступает в диалог со злоумышленниками, раскрывая чувствительную информацию. 

— В 50% компаний можно попасть в сеть за один шаг.  


Тестирования дарят собственникам компании спокойный сон. Это единственный способ узнать наверняка, насколько сложно злоумышленнику заполучить активы организации. Перед процедурами слияний и поглощений компании могут проводить redteam-проекты, чтобы убедиться, что чувствительная информация не будет скомпрометирована и не сорвет сделку в последний момент. 

С помощью Red Team компания тюнингует свои ИБ-процессы — понимает, что не предусмотрела, и дорабатывает это. Этот процесс не может полностью завершиться. Чтобы сохранять высокий уровень информационной безопасности, нужно организовать цикл: провели Red Team, сделали выводы, что-то исправили, заказали следующий Red Team.

Глобально, чтобы обеспечить безопасность после киберучений нужно:

— Выполнение рекомендаций и лучших практик по настройке систем, например,  CIS Benchmark.

— Наличие в компании выстроенных процессов ИБ, например, по управлению обновлениями, управлению уязвимостями, безопасной разработке.

— Осведомленность сотрудников о рисках информационной безопасности и правилам действий при социотехнических атаках.

— Наличие средств защиты информации и их правильная эксплуатация.

— Проведение регулярных тестов на проникновение и непрерывный мониторинг инфраструктуры.

Комментарии (9)


  1. artemlight
    19.10.2022 11:13
    +1

    >Через секунду она расстроится, удивится или ничего не поймет, но это будет совершенно неважно, потому что хакеры уже начали продвижение вглубь внутренней сети вашей компании и этот процесс необратим.

    Ужасы какие-то рассказываете, ей-богу.

    Блокировка бинарей с флешек включается одной галкой в любом более-менее корпоративном антивирусе. Блокировка бинарей в пользовательских профилях - чуть затейливей, но в целом тоже минут на 10 задачка. А дальше корень ФС отключается на запись для непривилегированых пользователей (кто вообще это выдумал-то), и у пользователя просто не остаётся возможности выполнить что-то, что он сам записал к себе на диск.

    Ну и вообще "необратимый процесс" внедрения с непривилегированным токеном - это только в очень кривых руках он будет необратимым. По уму даже сбежавшие креды саппорта не должны быть чем-то необратимым.


    1. rstepanov
      19.10.2022 11:40

      А дальше корень ФС отключается на запись для непривилегированых пользователей (кто вообще это выдумал-то), и у пользователя просто не остаётся возможности выполнить что-то, что он сам записал к себе на диск.

      Ну надо бы еще запрет на запуск программ из пользовательского профиля. А вообще статьи, по умолчанию подразумевающие, что в корпоративной среде все сидят исключительно на Windows, - это временно :)


      1. DikSoft
        19.10.2022 13:02
        +1

        Ну, "флешка" может оказаться эмулятором клавиатуры и мыши с записанной последовательностью нажатий. Запрет на установку драйверов HID устройств средствами GPO к примеру у многих сделан? Особенно актуально для маководов, считающих себя неуязвимыми )


        1. rstepanov
          19.10.2022 13:06

          Не вижу большой проблемы если пользователь не может скачать и запустить скрипт с произвольного сайта.


  1. Exchan-ge
    19.10.2022 13:13
    +1

    99,9% российских секретарш под властью эмоций и любопытства вставляют флешку в компьютер


    Это какая-то очень древняя информация :)
    Так как даже 17-летняя лаборантка на кафедре точно не сделает этого, потому как в еще в школе ей рассказали про то, что это делать «низзя» (если и не учителя — то товарищи/подруги)

    И вообще, использование флешек для переноса данных как-то уходит в прошлое, причем, по моим наблюдениям, флешками продолжат пользоваться исключительно старые, видавшие всякое и поэтому сильно продвинутые пользователи (и админы :)


    1. sunsexsurf
      19.10.2022 14:56

      По ощущениям, не стоит-таки говорить за всех 17-летних лаборанток, но есть надежды, что ситуация сильно лучше, чем автор поста написал. Но и далеко-далеко не идеальная. Как мне кажется, суть статьи в том, что методы социнженерии довольно обширны: флешки "случайно" оставляют в кафе (если, напр., атакуемая компания сидит в БЦ) с наклейками на них с надписью компании, их приносят на переговоры и отдают "с презентацией", дарят (в надежде когда-нибудь, вероятно, найти на них корп данные) и т.д. Таких способов можно, наверное, не одну и не две сотни придумать. А дальше - дело техники. И да, неверное говорить, что "чем крупнее компания, тем у нее все сильно лучше с ИБ". Есть масса случаев, когда провалы на местах ну настолько банальные, детские и от того дикие, что только остается диву даваться. Хотя, казалось бы, и бумажек тонна написана, и профили злоумышленников / модели атак зафиксированы и даже ФСТЭК вроде как пройден...


      1. Exchan-ge
        19.10.2022 16:48
        +1

        По ощущениям, не стоит-таки говорить за всех 17-летних лаборанток,


        В статье названа цифра 99,9% По факту — это и есть «за всех» :)

        Лаборанток же я перевидал множество, причем большей частью это были гуманитарии по образованию.
        Но, тем не менее — поколение сменилось и старые стереотипы больше не работают.

        Кстати, второй подобный стереотип относится к людям старшего возраста.
        Там тоже сменилось поколение и нынешние 60-70 летние довольно неплохо «секут» в вопросах ИБ.

        оставляют в кафе (если, напр., атакуемая компания сидит в БЦ) с наклейками на них с надписью компании, их приносят на переговоры и отдают «с презентацией», дарят


        Утерянные флешки обычно возвращают администрации кафе, так как в наше время опасение узнать лишнее уже превалирует перед желанием халявы.
        Тем более что подставе с бросанием кошелька под ноги прохожего уже лет сто (если не намного больше) и все люди, которых есть смысл «атаковать» — уже давно в курсе подобных методов.

        приносят на переговоры и отдают «с презентацией»


        Уже сам факт такого подарка в наше облачное время вызывает подозрения.
        Максимум, вставят в специальный комп для показа презентаций в переговорке (не подключенный ни к чему более, кроме проектора, и то — подключенный к проектору через VGA -вход :)

        Есть масса случаев, когда провалы на местах ну настолько банальные, детские и от того дикие, что только остается диву даваться


        Вот как раз конкретный рассказ о таких конкретных случаях и был бы очень ценным.


        1. sunsexsurf
          19.10.2022 16:56

          в двух частях ГИБ писали примерно об этом. Ссылка на первую часть (в конце статьи переход на вторую):

          https://habr.com/en/company/group-ib/blog/668036/


          1. Exchan-ge
            19.10.2022 17:34

            Ссылка на первую часть


            «Любопытные сотрудники фармкомпании начали вставлять USB-накопители в свои рабочие ПК»

            Конкретный рассказ не должен упоминать название фармкомпании, но должен включать информацию о том, в каком примерно году это происходило.

            Когда исполнитель пришел в офис, на посту охраны ему сказали, что на него не заказан временный пропуск. Он показал фотографии письма, охрана позвонила в компанию и сообщила о «кандидате». Затем, после непродолжительного разговора со спустившейся сотрудницей отдела кадров, оказалось, что найденный на LinkedIn HR специалист не работает уже около двух лет. Пришлось сослаться на какую-то ошибку на сайте или в почте и вежливо попрощаться.


            О, это вам крупно повезло. Попробуйте таким макаром попасть на военный завод :)

            Парень работал в компании уже месяц, а в офисе был всего три раза, поэтому ничем помочь начинающему “клинеру” не смог.


            Или просто счел ваши вопросы подозрительными и на контакт не пошел.

            С ней можно было долго разговаривать, так как посетителей все равно не было.


            Да. Именно что с «ней» :) Ну так от завстоловой по первому разу ничего особенного не требуется.
            Зато, в случае чего-то, именно она первой вспомнит об этом разговоре… (а до этого еще и подругам расскажет)

            если говорить про места общения с сотрудниками, то лучше всего для этого подходят курилки:


            1981 год, учебка, курсанты — будущие рядовые, даже не сержанты.
            Инструктаж: в курилке быть особенно бдительными, на важные темы не трепаться.
            (потом в своем личном деле прочел характеристику — «умеет хранить военную тайну».
            Стало быть, в курилках были «засланные казачки»)

            Но где находятся входы и выходы, какие лестницы ведут на нужный этаж и как добраться до грузового лифта


            Забавный план на приведенном фото — в нем без «поллитры» не разобраться. Это точно реальный план? По идее, он должен быть таким до первого пожарного инспектора :)

            В разведке все средства хороши — комбинируйте онлайн с офлайном и пишите свои идеи в комментариях!


            В юном возрасте мои сверстники через дыру в бетонном трехметровом заборе проникали на территорию склада с сельхозтехникой (оптовый склад с отдельной ж/д станцией), дырка же в заборе была со стороны школьного двора и кроме пацанов о ней никто не знал.
            Целью были «крылья» от какой-то техники, оторвав которое можно было получить отличный девайс для катания с горки (отличная горка тоже была :)

            Мне тоже хотелось получить такие крутые санки (слово «боб» (бобслей) было бы точнее) — но меня тормозило хорошее воспитание (не воровать!).

            Закончилось все печально — с началом нового зимнего сезона буквально все юные «пентестеры» были выловлены и переданы в детскую комнату милиции, с возмещением ущерба родителями.

            С тех пор я не доверяю спящим вахтерам, равно как и охранникам, якобы тупящим в мобилу :)