Social-Engineer Toolkit как проект социальной инженерии
В данной статье автор приводит программное обеспечение, специализируемое на социальной инженерии, под названием Social-Engineer Toolkit (SET). Данный фреймворк используется для тестирования на проникновения с использованием методов взаимодействия с пользователем. В нем рассматриваются виды атак, основанные на отправке E-Mail писем, подделывании сайтов и использовании полезной нагрузки в системе жертвы. ПО не имеет русского интерфейса, но пользователю не составит труда решить проблему, так как отсутствие языка компенсируется простотой использования и широким вектором утилит для аудита конкретной среды. На данный момент нет ни одной отечественной программы с похожим функционалом. Сотрудники отделов по обеспечению информационной безопасности могут её использовать для проведения аттестации среди сотрудников, которые взаимодействуют с персональными данными.
Ключевые слова: Social-Engineer Toolkit (SET), социальная инженерия, информационная безопасность.
В настоящее время происходит все больше случаев, связанных с утечкой баз данных пользователей. Только в 2022 году было зафиксировано не менее 14 громких случаев утечки персональных данных. Этими компаниями являются: Яндекс.Еда, Delivery Club, СДЭК, Почта России, Kari и другие [1].
В 2023 году зафиксировано 27 утечек персональных данных, в результате которых в сеть попали 165 млн. записей [2]. Также Лаборатория Касперского обнаружила 80 тысяч фишинговых писем [3]. Не исключено, что данные были похищены, но не стоит забывать о некомпетентных сотрудников, которые могли допустить неправомерный доступ к базам данных посредством заражения через файл-троян по причине недостатка знаний в области информационной безопасности. 2 октября в компании DNS произошел случай неправомерного доступа к серверам с базами данных, который мог быть осуществлен либо из-за слабой защиты компании, либо из-за оплошности сотрудника. В открытый доступ попало порядка 16,5 млн. записей с данными пользователей DNS [4]. Во избежание подобных случаев следует проводить исследование защищенности сети компании, создать форму-опрос для аттестации или использовать данный фреймворк для удаленного и внезапного аудита с конкретными сотрудниками, у которых есть доступ к базам данных с персональными данными пользователей. Функциональным назначением ПО является проведение атак социальной инженерии.
Социальная инженерия – психологическое манипулирование людьми с целью совершения определенных действий или разглашения конфиденциальной информации [5].
Фишинг- получение неправомерного доступа к конфиденциальной информации пользователя. Существует два типа фишинга по способу получения данных.
Первым методом сбора является поддельный сайт. Злоумышленники копируют интерфейс сайта и изменяют вид ссылки.
Второй способ – это вредоносный файл. При открытии файла хакер получает доступ к системе, что может привести к утечке конфиденциальных данных.
Фишинговая атака – рассылка электронных писем и принуждение пользователя перейти по вредоносной ссылке скачать зараженное вложение [6].
Начиная с разбора пунктов меню и интерфейса программного обеспечения, хотелось бы отметить, что они являются интуитивно понятными и любой пользователь, даже с базовым знанием английского языка, сможет понять, что за функция ему нужна.
В главном меню указана версия программы, домашняя страница утилиты и GitHub ресурс для обновления.
Первый пункт – это Social-Engineering Attacks. В данном подменю имеются все виды атак, которые работают посредством социального взаимодействии с пользователем.
Spear-Phishing Attack Vectors- фишинговая E-mail атака, способная отправлять письма большому или малому количеству людей с файлом трояном (рис. 3). Имеется 3 опции для разных видов атак. Perform a Mass Email Attack (Выполнение массовой Email атаки), Create a FileFormat Payload (создать формат файла с нагрузкой) и Create a Social-Engineering Template (создать шаблон атаки социальной инженерии).
Website Attack Vectors- Векторы атаки на веб-сайты. Способ использования атак (рис. 4), используемый для угрозы определенному интернет ресурсу.
Перейдем к пояснению каждой из атак.
Java applet Attack Method- данный метод способен подменять сертификат Java и отправлять полезную нагрузку от Metasploit.
Metasploit Browser Exploit Method- использование эксплоитов для браузеров Metasploit.
Credential Harvester Attack Method- клонирование веб-сайта для получения пары логин-пароль.
Tabnabbing Attack Method- метод подмены страницы после перехода пользователя на другую вкладку.
Web Jacking Attack Method- метод замены URL ссылки на вредоностную.
Multi-Attack Web Method- метод множественных атак из списка за один раз.
HTA Attack Method- клонирование сайта с последующей инъекцией powershell через HTA файлы.
Infectious Media Generator- генератор заражённого носителя.
Данная атака создает исполняемый файл autorun.inf на съемном носителе USB/CD/DVD с полезной нагрузкой от Metasploit (рис. 5).
Create a Payload and Listener- создание полезной нагрузки и слушателя.
Создание полезной нагрузки для входа в определенную систему и слушателя, который после входящего запроса создаст туннель для удаленного доступа.
Mass Mailer Attack- атака массовой рассылкой.
Данный метод социальной инженерии имеет 2 основные опции. Первая нужна для отправки письма одному пользователю, другая множеству (рис 6.).
Arduino-Based Attack Vector- Вектор атаки основанной на Arduino
Атака позволяет создать полезную нагрузку (рис. 7) для USB-устройств со встроенным хранилищем. Например, устройство регистрируется как клавиатура. Она сможет обойти системную защиту и добавить автозагрузку в реестр без прав администратора.
Wireless Access Point Attack Vector- вектор атаки беспроводной точки доступа.
Данный модуль создаст точку доступа, используя встроенный или внешний сетевой интерфейс, и перенаправит DNS запросы устройству, с которого проходит атака.
QRCode Generator Attack Vector- Вектор атаки генерацией QRCode
Создание QRCode с вредоносной ссылкой для жертвы используется после выполнения другой атаки (например, Java applet Attack Method).
Powershell Attack Vectors- Векторы атаки Powershell
Создание атак, основанных на PowerShell (рис. 7). Доступно на версиях Windows Vista и выше.
Ускоренное тестирование на проникновение
Penetration Testing (Fast-Track)- меню используется для проведения атак посредством автоматизации тестирования на проникновения. Все векторы (рис. 8) были настроены с нуля для улучшения функциональности.
Microsoft SQL Bruter- брут-форс Microsoft SQL
Атака используется для идентификации серверов MSSQL для брут-форса паролей аккаунтов.
Custom Exploit- пользовательские эксплойты
В меню предоставлен список мало популярных эксплоитов (рис. 9), написанных на языке программирования Python.
SCCM Attack Vector- вектор атаки SCCM
Атака SCCM использует SCCM конфигурации для формирования структуры программного обеспечения на сервере.
Dell DRAC/Chassis Default Checker- утилита для проверки конфигураций по умолчанию Dell DRAC/Chassis
Используется для поиска стандартных установок. После удачного поиска предоставляется доступ для удаленного администрирования. После этого мошенник сможет скомпрометировать всю инфраструктуру.
RID_ENUM - User Enumeration Attack- атака перебора пользователей
Инструмент для перебора пользовательских аккаунтов через атаку нулевых сессий. Для успешной работы сервер должен иметь включенную функцию нулевых сессий.
PSEXEC Powershell Injection- атака инъекции PSEXEC PowerShell
Атака внедряет полезную нагрузку в систему через инъекцию памяти Powershell. Данный способ позволяет обойти антивирусное программное обеспечение, т.к. не будет взаимодействия с жестким диском.
RATTE (Remote Administration Tool Tommy Edition) Create Payload only- создание полезной нагрузки
RATTE Java Applet Attack- атака удаленного администрирования.
Google Analytics Attack- атака на сервис Google Analytics.
Результаты использования Social-Engineer Toolkit (SET) могут включать успешное получение доступа к системе, уклонение от защиты от вредоносных программ и получение конфиденциальной информации. Этот инструмент предоставляет множество опций для социальной инженерии и может быть использован как для тестирования безопасности сети, так и для злоумышленных целей.
Одна из основных проблем социальной инженерии – это то, что она может быть трудно обнаружена и предотвращена. В отличие от технических атак, социальные атаки могут быть проведены без использования компьютера или технических навыков. Кроме того, социальные инженеры могут использовать психологические методы, чтобы убедить цель выполнить определенные действия.
Другой проблемой социальной инженерии является то, что она может быть успешной только при наличии некоторой степени доверия между атакующим и целью. Например, фишинговая атака может быть успешной только в том случае, если цель доверяет отправителю письма и переходит по ссылке. Если цель подозревает, что что-то не так, то атака не будет успешной.
Кроме того, социальная инженерия может быть использована для получения доступа к конфиденциальной информации, такой как пароли, данные банковских карт и т.д. Если злоумышленник получает доступ к такой информации, он может использовать ее для своих личных целей, таких как кража денег или идентификационной информации.
Чтобы предотвратить утечки конфиденциальной информации через социальную инженерию, необходимо обучать пользователей и сотрудников быть более бдительными и осторожными в своих действиях. Они должны знать, как распознавать фишинговые атаки и другие виды социальной инженерии, а также следовать правилам безопасности информации. Хорошим методом обучения пользователей является тест от Лаборатории Касперского на платформе ASAP (Automated Security Awareness Platform). У данной программы осведомленности есть бесплатный тест по электронной почте и фишинговым письмам [7]. От фишинга нет универсальной защиты, кроме бдительности. Проблема заключается в постоянном развитии методов атаки. Мошенники могут запустить персональную кампанию, направленную только на сотрудников определенной организации, или лишь на чересчур доверчивых людей, занимающихся сбором средств [8].
Кроме того, компании могут использовать различные технологии для защиты от социальной инженерии, такие как системы контроля доступа и мониторинга сетевой активности. Однако, ни одна технология не может быть эффективной без правильного обучения и обучения пользователей о том, как защитить себя и свою информацию от социальной инженерии.
Подводя итог вышесказанному, отметим, что на сегодняшний день количество утечек персональных данных постепенно растет. Использование Social-Engineer Toolkit может быть полезным инструментом для проверки уровня безопасности компании и ее сотрудников, но необходимо использовать его с осторожностью и только с согласия руководства. Кроме того, обучение пользователей основам информационной безопасности является ключевым фактором для предотвращения утечек конфиденциальной информации через социальную инженерию. Компании должны вкладывать время и ресурсы в обучение своих сотрудников и следить за их безопасностью, чтобы защитить себя и своих клиентов от потенциальных угроз.
1. 14 компаний, откуда утекли данные пользователей в 2022 году. URL: https://www.sravni.ru/text/14-kompanij-otkuda-utekli-dannye-polzovatelej-v-2022-godu/
2. Роскомнадзор зафиксировал 27 случаев утечки данных в 2023 году. URL: https://www.securitylab.ru/news/536955.php
3. DNS подтвердила факт утечки данных пользователей. URL: https://habr.com/ru/news/t/691112/
4. В 2023 году «Лаборатория Касперского» обнаружила в России 80 тысяч фишинговых писем, отправленных с использованием IPFS. URL: https://www.kaspersky.ru/about/press-releases/2023_v-2023-godu-laboratoriya-kasperskogo-obnaruzhila-v-rossii-80-tysyach-fishingovyh-pisem-otpravlennyh-s-ispolzovaniem-ipfs
5. Социальная инженерия. URL: https://ru.wikipedia.org/wiki/Социальная_инженерия
6. Полное руководство по фишинговым атакам. URL: https://habr.com/ru/companies/varonis/articles/544140/
7. Тест Электронная почта. URL: https://k-asap-free-lesson.logrusit.com/
8. Как защититься от фишинга: 10 советов. URL: https://www.kaspersky.ru/blog/phishing-ten-tips/9744/
Научная статья была опубликована в сборнике статей по итогам Международной научно-практической конференции "ВЫЗОВЫ ВРЕМЕНИ И ВЕДУЩИЕ МИРОВЫЕ НАУЧНЫЕ ЦЕНТРЫ", 67 стр. 24 апреля 2023 г.