Современная социнженерия на практике #3

РАССЫЛКА/GO Готовиться можно бесконечно долго: затачивать сценарий под конкретных людей и настраивать исполняемые нагрузки под установленное ПО, но рано или поздно наступает главный момент — контакт с целями. Рассылку можно вести аккуратно — рассылать по одному письму, пытаясь не поднять шум (если все сидят в одном офисе, то это важно). А можно отправить все письма сразу в надежде закрепиться в системе и выполнить все необходимые действия до того, как кто-то заподозрит неладное. Важен и отвлекающий маневр: пригодится страница или сообщение с ошибкой, которые напоследок отвлекут наивного пользователя. Иногда попадаются очень далекие от технологий люди — они начинают пересылать письма друг другу или отвечать на них, жалуясь на неполадки и прося совета. В айтишных компаниях, наоборот, попадаются умники, которым интересно, кто же их пытается надурить. Такие постараются отреверсить нагрузку, некоторые запускают сканеры безопасности на найденные ресурсы (хотя это не всегда за-конно и будет отражено в отчете пентестера). Другим в голову приходят совсем странные вещи — к примеру, подставить коллегу после того, как подставился сам. От таких этичному хакеру тоже лучше защититься, в этом могут помочь хеш-функции. Например, когда поступает два запроса с разными логинами учеток, но с одинаковым хешем, это признак намеренной или ненамеренной попытки переслать кому-то письмо. В любом случае виноватым будет тот, за кем закреплен токен с идентификатором. Если полученного токена нет в оригинальном списке, это тоже повод глубже проанализировать полученные данные статистики.

ПРОФИТ / FINISH HIM!

В результате успешно проведенных работ мы получаем не- сколько учеток от корпоративной сети — это может быть до- ступ к VPN, RDP, почте и так далее. Если удастся заразить несколько рабочих станций, это откроет большой потенциал для продолжения атаки. Запоследние два года мы сколлегами изPositive Technologies регулярно проводили социотехнические тесты на проникновение и можем сказать, что число успешно разведенных сотрудников не перестает радовать. Если взять статистику за 2014 год, то количество проверяемых, которые, нарушив все меры без- опасности, установили «вредоносное ПО» или ввели свою учетную запись, составляло в среднем 15%. Такие люди нашлись в каждой проверенной организации. Мало того, с каждым годом число инцидентов в процентном соотношении растет (больше подробностей можно найти в нашей статистике). 15% кажется не так много? На самом деле это более чем достаточно. Для успешного завершения атаки хватит порой всего лишь одной учетки.

ЧТО ДЕЛАТь? Всех и навсегда не исправишь, но организациям следует сделать все, чтобы снизить риски. Для этого людей можно обучать и проводить «пожарные тревоги» — в одну из них и будет входить социотехнический тест на проникновение. Есть две основные цели таких тестов: проверить, может ли в сеть компании проникнуть внешний злоумышленник, или со- брать статистику. В статистику входят данные о том, сколько людей в компании не понимают основ информационной без- опасности и правил поведения в интернете. В зависимости от условий проведения работ заказчик может сам предоставить почтовые адреса своих сотрудников или профильтровать найденные (никому не хочется от- читываться перед генеральным директором о том, для чего на его компьютер с позволения служб безопасности загружали троянские программы). Еще можно облегчить условия и вместо троянов рассылать безобидные скрипты, задача которых — сообщить исполнителю факт открытия приложения или запуска макросов. Минус проверок по облегчен- ной схеме очевиден: антивирус и другие средства защиты, скорее всего, не среагируют на холостые нагрузки, и тест будет неполным. Однако и плюсы очевидны — пентестерам не нужно каждый раз готовить новый пейлоад, прогонять по базе антивирусов и переживать за блокировку по сигнатурам или поведенческому анализу. Конечно, во время таких работ консалтеров интересуют сугубо рабочие адреса электронной почты и телефоны: попытки заразить личные компьютеры и телефоны через социальные сети или SMS незаконны.

Резюме Технические средства меняются, а вот психология людей — никогда. Голову не запатчишь и не оградишь файрволом, так что работа для пентестера найдется всегда

Небольшой бонус : Как подготовить письмо с аттачем

Почтовая рассылка с вредоносными аттачами — это один из классических приемов. Открытие и запуск приложения к письму станет триггером успешного срабатывания сценария, этаким бэкдором. Вот несколько советов, как лучше готовить письмо.

• Чтобы узнать, кто открыл документ, в нем можно использовать SSRF с callback по Reverse DNS. Это пригодится в качестве дополнительного показателя статистики. К примеру: «разослано писем 100, открыло 90, сплоит сработал у троих». Это важно, так как, даже если эксплойт в документе не сработает, мы увидим, кто безбожно открывает левые документы.

• Добавь в письмо ссылку и регистрируй тех, кто кликнул по ней (до- полнительно можно будет на сайте выдавать эксплойт или документ с нагрузкой). • Добавь телефонный вектор. Позвони сотруднику и скажи, что выслал важный документ и что дело не терпит!

• Используй SMTP relay (если оправдано сценарием и целями) — пись- мо от менеджера или директора имеет больший вес.

• Если оправдано сценарием, используй XSS/RCE с домена самой компании. Доверие к родному сайту выше. Годятся и локальные фай- лопомойки, если получится добыть доступ к ним.

• Можно разбивать рассылку на фазы. Одна будет логическим про- должением другой. Например, в первой фазе была только ссылка, которая поможет собрать инфу о браузерах и ОС, на втором этапе ты выберешь цели со старым браузером, подготовишь эксплойты и повторишь рассылку, пустив их в дело.

SEBLOG v2.0 — Героический оплот честности и искренности от социальных инженеров. (Да, и такое бывает)

SEBLOG — Самая большая в мире энциклопедия статей по социальной инженерии, манипуляциям и НЛП.

Торговая площадка SEBLOG — Только проверенные временем товары и услуги.