Взлом промышленного предприятия
Всем привет! Давно не было историй. В этот раз речь пойдет об очень интересном проекте, который я не могу расписать в красках, поскольку он под жестким NDA, поэтому все события и участники были изменены, и все совпадения являются случайными.
Хочу подчеркнуть, что информация, которую вы получите после прочтения статьи, носит исключительно обучающий характер, не является призывом к действию и не может использоваться в злонамеренных целях. Моя цель — показать недочеты и уязвимости, которые необходимо устранить ИБ-специалистам в их организациях.
Итак, начнем. Поступил нетиповой запрос от крупной компании на проверку по модели Red Team. В рамках этих работ было несколько команд:
5) Ответственные лица со стороны Заказчика
В контексте этого проекта моя роль заключалась в "лидировании" проекта и непосредственном участии.
С ролями разобрались, теперь к сути. Задача — сломать Заказчика любым способом с учетом противодействия. Наша миссия в этом проекте имела приличный вес, поскольку требовалось продемонстрировать все возможные векторы атаки.
Я буду рассказывать про работы команды "физиков". Заказчик обозначил цель — штаб-квартира и стратегический объект со складами и технологическими ресурсами.
Первым делом мы начали прорабатывать часть, связанную с OSINT. Информация, полученная на этом этапе, очень сильно помогла в планировании работ, подготовке оборудования и расчете трудозатрат.
Настало время подготовки оборудования. Поскольку векторов в буквальном смысле было очень много, нам пришлось везти с собой на объекты четыре 120-литровых чемодана и шесть рюкзаков, не считая небольших сумок. Помимо железа, снаряжения и инструментов, мы подготовили пакет документов в виде нескольких договоров на проведение работ, а также авторизационных писем (в этом плане всегда рекомендую прогонять документы через юристов, чтобы не выстрелить себе в ногу).
Еще один неотъемлемый момент заключался в подготовке техники для фото- и видеофиксации. Почему это так важно? В экстремальных условиях будет крайне неудобно и сложно пользоваться смартфоном. Представьте: вы стоите одной ногой на выступе 5 см, под вами 20 метров пустоты, и вы вскрываете дверцу в щитовую. Думаю, вряд ли захочется фиксировать свои действия с учетом большого риска сорваться вниз. А любое упущенное доказательство компрометации очень сложно подтвердить на этапе написания отчета. Поэтому — экшн-камера! Выбор моей команды и мой — это GoPro с креплениями PGYTECH. Кстати, крепления сделаны как прищепки с замком на лямку рюкзака, а вместо болтика-фиксатора используется быстросъемный зажим (очень удобно и быстро можно поменять батареи в камере).
Приблизительный список того, что мы взяли с собой:
- Ноутбуки: MSI, MacBook, MSI для HackRF
- Raspberry Pi: 4B (1 шт.), Pi Zero (2 шт.)
- GoPro + крепления, аккумуляторы (4 шт.)
- Alfa: большая и маленькая с антеннами
- Зарядки для ноутбуков (3 шт.)
- Powerbank: большой (20000 mAh) и малый
- Отмычки (комплекты: английский, перфорационный, сувальдный, самоимпрессия)
- Фонари: обычный и налобный, а также для замочных скважин
- Type-A - Ethernet переходник
- BadUSB Cactus + корпуса (15 шт.)
- Документы по проекту (договор, авторизационные письма)
Следующий этап заключался в формировании плана работ - что за чем следует, в каком порядке будем проводить разведку и этапы реализации атаки. В наших проектах есть интересная особенность мы можем днями и неделями проводить наблюдение за объектом, а можем поймать уязвимый момент и воспользоваться вектором мгновенно. Мы с командой наметили точки входа на основании GEOINTа, проведенного на предыдущем этапе. Но как это бывает в большинстве случаев окружение объекта поменялось, вектора пропали, и нужно было все планировать по новой.
Далее наступает этап разведки/совершения активных действий. Как я описывал ранее данный этап сложно вынести в отдельный, потому что он может быть выполнен одновременно с проведением атаки. На данном этапе мы достаточно спокойно себя вели, обследовали территорию того объекта, который стоял по плану. Прикольно было получать снимки спящих охранников, или видеостену, которая просвечивалась ночью. К сожалению фото через монокль не получались достаточно качественными, чтобы идентифицировать что происходит на экране, но мы прекрасно понимали сколько камер одновременно доступны для просмотра.
Для более гибкой коммуникации мы использовали рации с гарнитурой для поддержания непрерывной связи, потому что наша группа разбивалась и работала парами. На протяжении всего этапа мы записывали маршруты, время пересменки, привычки и особенности у охраны. Мы получили много полезной информации, которая нам помогла в дальнейших действиях.
Настало время активных действий. Мы наметили вектора, выяснили, когда и как нам лучше проникать. Короче с трудом мы вскрыли на периметре дверь с английским профилем, к сожалению, очень трудно это было сделать китайским инструментом, он просто еле пролазил, тут бы не помешал Multipick. Передвижение по периметру было в спокойной форме. Бег по территории мог вызвать подозрение. Поскольку мы работали в парах, наши коллеги остались за периметром в ожидании команды использовать свой вектор для преодоления внешнего контура. Но был очень большой риск раскрытия, поэтому ребята докладывали обстановку снаружи. Мы проникли во все точки, которые были под защитой механических замков (видимо стоял дешевый Китай, открывались очень быстро). На этом этапе мы зафиксировали все критические узлы, на которые можно было воздействовать и отправились к основным целям.
Далее нам удалось завладеть пропуском в ходе изучения зданий внутри их периметра. Мы обычно составляем план помещений при помощи magic plan, но тут не было такой необходимости, планы висели на стене.
На следующим этапе мы с коллегой разделились - он пошел выставлять аппаратный бэкдор.
А я пошел вскрывать серверные комнаты, да тут конечно и СКУД был, но присутствовали двери с перфо-профилем, которые вели также к цели. Не скажу что первая дверь далась быстро (использовал технику прочеса), но последующие открывались достаточно хорошо, с условием использования попинового прожатия (в среднем уходило 20 секунд на вскрытие). Но были двери с интересной англией и туда мой инструмент просто не мог протиснуться (такие двери остались неоткрытыми).
После выполнения всех намеченных действий, мы эвакуировались к нашей группе.
Нам предстояло посетить в этом же городе штаб-квартиру, где преследовалась таже цель - проникновение и закрепление через аппаратный бэкдор. На этом этапе нам удалось обойтись без пропуска. Мы позвонили в соседствующую организацию бизнес-центра "А" и представились клиентами, которые хотят очно обсудить условия сотрудничества. На ресепшен нам выдали пропуска и таким образом мы преодолели первый контур. На этаже нас ожидал СКУД, который стоял номинально, поскольку используя атаку tailgating мы зашли в холл, и последовали на кухню, чтобы послушать о чем говорят сотрудники и сформировать действия.
Зрительно мы прикинули куда можно зайти чтобы воткнуться в сетевую розетку и практически сразу же пошли социалить сотрудников. Прикинувшись саппортом мы воткнулись вместо принтера в сеть. Проверили, что команде по поддержке C2 пришел отстук и ретировались в поисках дополнительной точки подключения. Второе подключение сделали за панелью потолка и выставили наблюдение по портативным камерам. На этом наша работа в этом контуре была завершена, ребята начали аккуратно пролезать в инфраструктуру, а мы поехали собирать драфт отчета о проделанной работе (и конечно же монтировать кино – такой экшен нравится всем).
По итогу Заказчика расковыряли как снаружи, так и изнутри. Заказчику было интересно поработать с нами и провести такой детальный и подробнейший аудит безопасности, в ходе которого были обнаружены интересные уязвимости веба снаружи периметра и типовые уязвимости внутри инфраструктуры. На Взлом компании со всех сторон ушло около 7 часов, полное завершение этапа анализа защищенности произошло по окончанию 10 дней. На этом этапе, мы с командой повторно выехали к заказчику и в сопровождении провели полный аудит физической безопасности.
Надеюсь вам понравилось, спасибо за внимание!
Ещё больше интересного в моем ТГ канале: https://t.me/pro_pentest