Введение

Новый год – всегда дает импульс для творчества. Просматривая свои заметки, огромное количество закладок в браузере и сохраненных курсов, мне захотелось подготовить цикл статей, посвященных тематике получения первоначального доступа. Тема очень интересная, для кого-то покажется избитой, практически каждый TI (Threat Intelligence) отчет так или иначе подсвечивает способ, которым злоумышленники попали в компьютерную сеть.

Я постараюсь описать некоторые из TTPs, которые используются на Red Team проектах и в дикой среде злоумышленниками. Статьи будут содержать ссылки на доклады, названия интересных презентаций и курсов по этой тематике, мы проанализируем TI отчеты и попробуем воспроизвести некоторые из векторов проникновения в сеть.

_{Дисклеймер: эта статья носит исключительно образовательный характер. Я не поддерживаю и осуждаю любые киберпреступления. Надеюсь, что эта статья поможет вам лучше организовать свою безопасность в интернете, обучить своих сотрудников. Предупрежден — значит, вооружен.}

Первоначальный доступ (Initial Access) — это первый шаг в цепочке событий, который позволяет атакующему получить точку входа в сеть для дальнейшего проникновения и эксплуатации. Это тот момент, когда атакующий успешно преодолевает первые уровни защиты и получает возможность действовать на внутренней стороне цели.

Если мы обратимся к MITRE ATT&CK, то для Initial Access (IA), как для тактики присвоен ID: TA0001, тактика Initial Access содержит 10 техник. Я обозначил этот момент, но в дальнейшем я не буду привязывать себя к определенному фреймворку.

Предварительная подготовка

Initial Access — не может существовать в вакууме, этапу предшествует планомерная подготовка и сбор информации о тестируемой в рамках проекта компании. Собирается большой объем данных, который в последствие поможет преодолеть периметр.

Кроме того, если мы говорим о том, чтобы переходить к IA, я не могу не вспомнить еще один подготовительный этап — «подготовка инфраструктуры». Это также крайне ответственное мероприятие, от успешной реализации которого, зависит успех всего проекта. Мне так же интересна эта тематика, возможно в будущем выпущу материалы, касающиеся построения инфраструктуры для Red Team.

Некоторые ссылки по этой тематике:

1) Red Team Infra Wiki
2) Building a Red Team Infrastructure in 2023
3) Red Team Infrastructure Done Right
4) Red Team Infra Automation
5) Trust no one: red-teaming-инфраструктура на стероидах

Техники получения первоначального доступа

Зрелые, с точки зрения информационной безопасности, компании инвестируют в многоуровневую систему защиты и может создаться впечатление, что бреши у такого бастиона быть не может. Хотелось бы в это верить, но реальность говорит нам об обратном, взять хотя бы тот объем TI отчетов, который публикуется каждый день. Я подписан в телеграме на агрегатор TI отчетов - очень информативно, каждый день публикуется большое колличество материала. Название канала дам в комментариях по запросу.

Перечислю наиболее распространенные векторы для IA:

1) Email с вредоносом/легитимным файлом (прикрепленным во вложении / ссылка на скачивание);

2) Целевой фишинг — использование нестандартных сервисов (LinkedIn, TenChat, Instagram, MS Teams, Discord, Telegram, WhatsApp, звонки по телефону);

3) Получение действующих учетных записей через фишинг (MitM proxy, кастомные логин формы, просто спросить в переписке);

4) Повторное использование (reusing), полученных в ходе фишинга, учетных данных для входа через single‑factor VPNs, Citrix Gateways, RDWeb, Bastion hosts и тд;

5) Password Spraying на кастомные логин формы корпоративных ресурсов, VPN, Mail Servers, внешние службы удаленного доступа;

7) Использование общеизвестных уязвимостей (CVEs), баги в веб‑приложениях, учетных данных по‑умолчанию;

8) Использование учетных данных из утечек;

9) Внедрение вредоносного контента (на скомпрометированный веб‑сайт компании);

10) Через съемные носители (HID‑emulating USB sticks);

11) Атаки на WiFi сети компании;

12) Физическое проникновение и подключение в сеть компании, находять внутри КЗ компании;

13) Компрометация цепочки поставок;

14) Подкуп сотрудников, использование инсайдера, покупка доступа в даркнете.

Как мы можем заметить, перед нами плеяда различных техник, используя которые можно получить IA. Обратимся к статистике, чтобы увидеть распространенность данных техник на практике в реальном мире.

Дополнительно посмотрим на статистику по излюбленным техникам IA APT группировок разных стран. Ссылка на отчет.

Прагматичность и оппортунизм

Немного поразмышляем о действиях различных хакерских группировок в рамках получения первоначального оступа. Jason Haddix в своем выступлении на SANS HackFest Summit 2023 обозначил парадигму хакерских группировок как: «Adversaries are opportunistic and pragmatic». И представил свое видение того, как злоумышленники действуют в попытке преодолеть внешний периметр компании, назвав это: «Levels of adversary flows». Данная схема содержит 9 уровней, по которым могут перемещаться киберпреступники, когда разрабатывают план и изучают слабые места компании в поисках брешей в её эшелонированной защите или же просто ищут себе жертву. Ниже представлены девять уровней of adversary mindset.

Схема гармонично дополняет MITRE ATT&CK matrix в контексте своей беспринципности.

Заключение

Первоначальный доступ является критически важным этапом в рамках любого Red Team проекта, поскольку именно он открывает двери к дальнейшим действиям по тестированию безопасности внутренней инфраструктуры компании. Эффективная реализация техник первоначального доступа не только позволяет команде оценить защитные механизмы организации, но и предоставляет ценные данные для разработки стратегий по улучшению общей безопасности.

Понимание методов, используемых для достижения первоначального доступа, помогает не только специалистам по информационной безопасности, но и всем участникам процесса защиты данных. Это знание позволяет предугадать возможные угрозы и заблаговременно принимать меры для их предотвращения.

В следующих статьях я подробно рассмотрю некоторые из самых распространенных и эффективных техник первоначального доступа. Мы углубимся в практические примеры и рассмотрим рекомендации по защите от этих угроз.