December 14, 2023

ВЗЛОМ НА ВЫСОТЕ

ОГЛАВЛЕНИЕ

  • Введение
  • Разведка
  • Подготовка
  • Выполнение работ
  • Заключение

ВВЕДЕНИЕ

Хотелось бы отметить, что данный заказчик оказался достаточно крутым, развязал руки на полную имитацию действий APT.

Этот проект включал в себя работы по социальному, внешнему, внутреннему и физическому тестированию.

Работы по удаленному тестированию выполнялись частью команды, мы же сейчас разбираем кусок проекта, который включает в себя именно физический пентест с последующим тестированием внутренней инфраструктуры.

Для начала, стоит сделать небольшую ремарку, эти работы были выполнены квалифицированными специалистами в области тестирования на проникновение, имеющими практический навык в области промышленного альпенизма. (@r00t_owl и @KLON2000)

После составления документа для силовых структур на случай ЧП (Специальное разрешение со стороны Заказчика на проведение подобного типа работ), мы с моим коллегой выполнили первоначальную разведку.

РАЗВЕДКА

На этапе разведки специалисты выяснили:

  • Локацию объекта
  • Способ добраться до "мозгов" блоков управления (Цель и примерную локацию уличного шкафа нам сообщил Заказчик)
  • Тип замков на охраняемом контуре (Изучили на сайтах производителей уличных серверных шкафов какие используются защитные механизмы)
  • Возможные охранные системы
  • Проходимость людей, автомобилей, сотрудников силовых структур и т.п.

ПОДГОТОВКА

После данного этапа мы начали подготовку к непосредственному выполнению работ:

• Подготовили снаряжение для выполнения работ на высоте (На фото не все, что мы использовали, – по ходу статьи будет описание и фото инструментов)

• Подготовили технику и гаджеты

Первый фрагмент части оборудования
Второй фрагмент части оборудования
Третий фрагмент части оборудования
  • Протестировали замки аналогичные тем, что висят на дверях, которые препятствуют проникновению на охраняемый контур.
Аналогичный навесной "Полукруглый замок" для изучения
Личинка замка вблизи

В ходе тестирования аналогичного замка было выявлено, что открытие занимает примерно 20 минут в идеальных условиях. Также специалистами было установлено, что один из методов открытия является снятие пассатижами защитного металлического кольца с последующим извлечением платин секрета личинки, что позволяет открыть замок обычной плоской отверткой. Есть и еще один метод, к которому мы прибегнули для экономии времени, об этом немного позже.

• Продумали сценарии ЧП и как на них реагировать (для этого запросили авторизационное письмо от заказчика, чтобы нас отпустили в случае поимки)

• Зарядили GoPro для фото/видео фиксации (кино для Заказчика)

ВЫПОЛНЕНИЕ РАБОТ

Утром в 9:00 был общий сбор в офисе, где мы с напарником проверили все необходимое, подогнали снаряжение и укомплектовали свои рюкзаки. Далее я выписал наряд-допуск на высотные работы, где мы закрепили официально инструктаж своими подписями.

В 13:00 мы приехали на объект, где первым делом начали манипуляции по вскрытию замка, так как другой возможности проникнуть не было.

Устройство вскрываемого в замка

Суть вскрытия простая необходимо начиная с конца проворачивать пластины до упора, и как только рисунок секрета сложиться, определенный штифт войдет в паз, что позволит провернуть личинку.

Спустя 15 минут на холоде руки перестали слушаться, и идея вскрыть полукруглый замок отмычками отпала.

В ход пошел второй способ, как на картинках.

Действие первое
Действие второе

Но не так-то просто оказалось в полевых условиях это выполнить, учитывая то, что замок оказался по качеству гораздо выше тестируемого, поэтому дальше только хардкор, исключительно по согласованию с Заказчиком.

ВНИМАНИЕ! ОПИСАННЫЕ НИЖЕ ДЕЙСТВИЯ ПРИВОДЯТСЯ ИСКЛЮЧИТЕЛЬНО В ОЗНАКОМИТЕЛЬНОМ ФОРМАТЕ!

Выше я описывал структуру замка, где было выявлено наличие тонких металлических элементов и пластика, поэтому пришла мысль просто на просто расплавить несчастный навесной замок. Воспользовавшись специальным сухим горючим (к сожалению, термит закончился), которое было инициировано дистанционно, нам удалось расплавить часть замка, что уже подразумевается, как небольшой успех.

Сухое горючее в прессованном виде

После этого для успешного вскрытия, мы с напарником использовали сертифицированный взрыв-пакет (петарда) с дистанционным электро-воспламенителем.(По согласованию с Заказчиком) Конечно же как и в предыдущем шаге был использован пиротехнический пульт для безопасного запуска изделия.

Пиротехническая связка

В итоге, замок сдался (дополнительно пришлось доковырять монтировкой), а мы проникли на охраняемыйобъект.

Замок, который сдался

Но что за дверью мы не знали, возможно висит геркон, возможно какая-нибудь другая охранная система. Поэтому с собой взяли на всякий случай один из элементов геркона и неодимовый магнит, чтобы можно было попытаться обойтиданную защиту. В итоге "охранки" не было и можно было свободно переходить к следующему этапу.

Далее на территории охраняемого объекта я начал взбираться по зданию высотой около 40 метров с определенными конструктивными особенностями, которые позволяли это сделать собственными силами без привлечения специальной техники. После этого смонтировал две анкерные точки для закрепления канатов (для скоростного спуска и безопасного подъема), так что мой напарник смог безопасно подняться на крышу здания, используя страховочную систему.

На крыше здания стояли датчики движения (охранная система), которые, естественно, отработали практически мгновенно. С этого момента засекаем время реакции (тик-так).

Анкерная точка для крпления канатов

Оказавшись на крыше объекта мы принялись искать шкафы с системами управления. Мы нашли несколько шкафов по управлению питанием, сигнализацией, и шкафчик с маршрутизатором и несколькими серверами. Шкафчики легко открылись при помощи отмычек.

Фото из интеренета

Работа была достаточно продолжительной и стоять на крыше было слишком подозрительно и холодно.

Фрагмент работы на крыше

Поэтому для дальнейшего проведения работ мы установили аппаратный бэкдор при помощи Raspberry Pi. "Малинка" автоматически подключалась к нашей портативной wi-fiточке (смартфон), как и к ноутбуку напарника.

Малинка

Теперь мы оказались в сети заказчика. Спрятавшись в укромном месте, мы начали работы по внутреннему пентесту. Как вы поняли, защиты Port Security не оказалось, далее были выполнены работы по сканированию и попытки эксплуатации сетевых сервисов.

Выполнив свою работу, мы обнаружили внизу автомобили ЧОП, которые нас ждали. (Прошло минут 40 с момента срабатывания датчика движения) Рядом находился представитель заказчика, который досрочно решил вопросы с оперативниками.

ЗАКЛЮЧЕНИЕ

На этом этапе мы поехали в офис делать разбор полетов и писать отчет.

Хотелось бы выделить ключевые рекомендации для компаний, у которых есть телекоммуникационные шкафы на улице:

• Использование сигнализации на каждом коммуникационном шкафу/электрощите

• Использовать более надежные замки

• Обязательно защищать порты на коммутаторах и серверах, как программно, так и физически

• Развивать отделы Информационной Безопасности, либо пользоваться аутсорс услугами SOC

• Регулярно проводить подобные учения, для повышения уровня защищенности и увеличения скорости реагирования службами физической безопасности.

ЧЕМ МЫ ОТЛИЧАЕМСЯ ОТ ДРУГИХ?

Помимо классического пентеста или проектов Red Teamingмы можем выполнять сценарии, имитируя действия APT, с уклоном на физическое взаимодействие с объектом заказчика. Беремся за самые сложные и на первый взгляд невыполнимые задачи. Разрабатываем необходимую методологию противодействия кибершпионажу, а также создаем конкретные и надежные рекомендации по устранению выявленных недостатков.

Еще больше интересных статей в моем ТГ канале: https://t.me/pro_pentest