Снова Взлом Банка

Сегодня речь пойдет про пентест банка. Все действия были регламентированы и выполнялись в рамках проекта.

Все совпадения описанные в данной статье являются случайными, а персонажи вымышленными.

Данный кейс выполнял мой бывший коллега и тот человек, который погрузил меня в атмосферу пентеста АСУТП - Павел Шлюндин (@Riocool), если кто по нику не понял - это основатель канала: https://t.me/RedTeambro

По согласованию с Заказчиком, герой данного проекта должен был проникнуть в здание банка по адресу г. Чудес, ул. Гудвина, д. 777 и на 18-м этаже встретиться с контактным лицом.

Итак, день "Х". Исполнитель вошел в центральный вход в здание банка и оценил, что пройти за человеком (атака tailgeting) через турникеты, установленные на первом этаже, не представляется возможным. Далее пентестер прошёл в залы обслуживаний клиентов и обошел всю территорию, куда клиент банка может пройти.

На 1-м и 2-м этаже были замечены служебные коридоры.

Служебный коридор - фото из интернета

Входы в служебные коридоры были оборудованы СКУД, но дверь на 1-м и 2-м этажах была зафиксирована в открытом положении.

СКУД на двери в служебный коридор - фото из интернета

В середине коридора располагался пост охраны. До поста охраны издалека Исполнителем были замечены коридоры, ведущие налево. Исполнителем было сделано предположение, что, попав в этот коридор, можно будет найти там лифтовую шахту или пожарную лестницу.

Далее на 2-м этаже Исполнитель снял куртку и изображая деловой разговор по телефону и уверенным шагом прошёл до поста охраны и повернул в коридор направо. На данные действия охранник не среагировал, и Исполнитель оказался около кабинетов сотрудников банка. Далее Исполнитель быстро проверил отключен ли СКУД на двери, ведущей к лифту, и на двери, ведущей на балкон. Обе двери были на магнитном замке.

Далее Исполнитель сделал вид, что говорит по телефону, для того, чтобы не вызывать подозрений у проходящих рядом сотрудников банка, и встал около лифтового холла в ожидании, что кто-нибудь откроет дверь. В момент, когда Исполнитель скрывался за выступом, ведущим к туалетам (в 1,5 метрах от лифтового холла), дверь в лифтовый холл была открыта изнутри, но Исполнитель не успел её «придержать». Таким образом, Исполнитель отметил для себя, что дверь закрывается очень быстро и необходимо стоять непосредственно около нее, а не в паре метрах. Простояв в коридоре около 8 минут, Исполнитель решил, что на 2-й этаж приезжает меньше народу.

Далее Исполнитель совершил подобный проход на 1-м этаже здания, но охранник встал со своего рабочего места и задал вопрос: «Молодой человек, вы что-нибудь ищете?». После этого Исполнитель вернулся на 2-й этаж и повторно прошёл к лифтовому холлу, где был пару минут назад. Через 2 минуты из двери лифтового холла вышли двое рабочих с тележкой, под предлогом помочь им пройти через дверь Исполнитель «придержал» её и после этого вызвал лифт и уехал на 15-й этаж.

Лифтовой холл - фото из интернета

Фотография пентестера на подоконнике 15 этажа - фото из интернета

Далее эксперт, подключил проводной интерфейс для проведения внутреннего пентеста (не описываю момент куда нужно воткнуться, вы и так уже знаете).

По итогам общения с Заказчиком, данные действия были выявлены командой SOC, которая начала расследование.

Во второй день проведения работ, Исполнитель подключился к сети Заказчика через socks5-сервер, реализуемый инструментом gost.exe на определенном сетевом узле. Исполнителем была проверена первая «закладка» – это включенная локальная УЗ root to eternity с установленным паролем на предыдущем этапе, который делал другой специалист. Маленькая, но глобальная оговорка, другой пентестер (удаленщик) после компрометации домена, должен был раскидать по сети "закладки", а Павел проверить их наличие. Были проверены все узлы с подобной «закладкой», было выявлено, что она устранена не везде.

Далее Исполнитель проверил смену пароля для сервисной учетной записи: на узле 10.10.10.125. Пароль для данной УЗ не был сменен, и Исполнитель смог получить административный доступ к серверу 10.10.10.125.

Доступ к серверу 10.10.10.125 с Привилегиями Администратора - фото из интеренета

Вход на скомпрометированный узел был выполнен по RDP. Далее Исполнитель приступил к закреплению на узле и дальнейшей разведке, но позже была заблокирована розетка N и УЗ. Исполнитель прекратил активные действия и переключился на запасную сетевую розетку и УЗ. В 19:59 сотрудник Исполнителя предпринял попытку покинуть кабинет, но был задержан службой внутренней безопасности.

Сопровождение сотрудника Исполнителя из здания банка службой внутренней безопасности

В ходе проверки службой внутренней безопасности у сотрудника Исполнителя были уточнены сроки нахождения в кабинете, цель, переписаны данные паспорта и изъят пропуск. Специалисты SOC осмотрели кабинет, но не задали уточняющих вопросов, например, с какого узла работал Исполнитель, где сидел и есть ли при нем личный ноутбук. Это только часть отчета, которую можно было описать без использования уточнений, и которая подходит для общей публикации.

Еще больше интересных статей в моем ТГ канале: https://t.me/pro_pentest