Взлом Дата-центра

Всем привет! Подъехал новый кейс про взлом дата-центра.

Все события и участники были изменены, и все совпадения являются случайными.

Хочу подчеркнуть, что информация, которую вы получите после прочтения статьи, носит исключительно обучающий характер, не является призывом к действию и не может использоваться в злонамеренных целях. Моя цель — показать недочеты и уязвимости, которые необходимо устранить ИБ-специалистам в их организациях, а также показать как работают эксперты в направлении кибер учений.

Итак, увлекательное путешествие началось, когда мне позвонил с утра представитель сломанной организации и попросил посчитать КП на услугу. Обычно в такие моменты я собираю как можно больше информации, но к сожалению, в этот раз меня не стали посвящать в подробности и попросили об очной встрече.

Во время беседы с Заказчиком я понял, что ребята уже проводили не один пентест, им есть над чем поработать и снаружи и внутри, но при этом на фоне некоторых событий захотелось проверить насколько они защищены физически.

Я плюс-минус перед встречей посмотрел что за компания, чем живет, но более детальной информации так и не получил. Мы договорились подписать NDA с обеих сторон. и приступать к работе.

Итак, пока у нас есть название компании, надо теперь искать информацию отовсюду. Тут поможет глубинный анализ технологий, сотрудников, топов, клиентов, партнеров, а также геопозиции самого объекта.

Первым делом мы начали шерстить LinkedIn. К сожалению, я не могу тут вставлять скрины, поскольку практический OSINT без согласования не может быть опубликован.

Сама механика достаточно простая - мы начали просто искать сотрудников из данной компании и выписывать в табличку информацию, мне почему то в этот раз захотелось это поделать в excel.

Далее мы начали собирать информацию со слитых баз Leakcheck и ему подобных сервисов-коллабораторов. Там было много интересного и полезного, но цепочка раскручивалась примерно так: сотруднику дали бонусы в онлайн магазине, если он зарегестрируется по корпоративной почте (стандартные бенефиты компаний). Мы заходили используя эту почту и слитый пароль. А там внутри уже были контактные телефоны сотрудников, которые привязаны к телеге, воцапу и прочим сервисам, различная информация по покупкам, корзине и прочему. Получилось собрать много нужной информации, которая потенциально могла использоваться коллегами для проведения социалки (вишинг + фишинг) или на этапе внутрянки. Пример того как это выглядит можно увидеть ниже:

Сначала нашли инфу о топе в ИТ отделе, потом пошли технические спецы, которые по предварительной информации сидели в разных сегментах сети. На этом этапе мы составили полноценное досье сотрудников, которое можно было бы использовать для внедрения в организацию или заведения знакомства. Я покажу как это выглядело у нас, но а вы в своих проектах используйте систему ведения находок, которая будет лично вам удобнее:

На этом этапе мы понимали в кого слать фишинговое письмо (эти работы проходили параллельно с физикой), чтобы попасть в нужный сегмент, поскольку выяснили чем занимаются сотрудники и какие функции выполняют через беседу с HR. Эта информация еще нужна в случае, если нас выцепляют на территории, то мы можем бравировать нужными фамилиями и на крайний случай позвонить (Нагло? А почему бы и нет!), не сразу же авторизационное письмо подсовывать, нужно отыгрывать до конца. Еще как вариант в таких случаях - это попробовать скопировать на себя образ личности, которой мы хотим представится (может спасти на проходных, если вы проходите по чужому пропуску).

Далее наше внимание было нацелено на соц сети, где мы нашли много фото с компрометирующей информацией, такой как фото документов, ключей и прочей полезной штуки. Также порадовали статьи на изместном ресурсе, где на фотках мы определили как выглядит предприятие изнутри.

Для соблюдения профессионального тона мы на всякий случай сделали дубликат ключа, который обнаружили на фото из социальных сетей сотрудника (а вдруг подойдет). Как это я делал? Кидай вопрос в комменты, сделаю на Ютубе разбор на своем примере.

Не стоит также упускать из вида разные снимки и планы зданий из статей, карт, и прочего, например обзоры обновлений или презентация предприятий во время их открытия/реставрации на видео-площадках. Собственно мы такую возможность не упустили:

Для потенциальных работ по WIFI мы сделали карту точек доступа (в основном это делается сбора учеток, где мы пользуемся eaphammer в контексте атаки "Злой двойник"), но это уже относится к физической разведке (покататься на тачке вокруг или походить, тут как позволяет уже ситуация):

Дальше как вы понимаете пришло время посмотреть замочки по контуру и лазы, которые могли оставить сотрудники предприятий самостоятельно (бывает такие вещи делают чтобы через проходную не выходить). В этом случае за вас уже продумали как выйти и не попасть под камеры и надзор охраны.

Замочки мы посмотрели, стандартный набор из навесных Apecs, которые отщелкиваются при помощи боготы на раз два, и английский профиль на внутренних калитках (через бинокль было не особо понятно что за фирма у замков).

Далее нам предстояло понять что с постом охраны, как часто они переключают камеры и в целом смотрят ли за ними. Сложилось ощущение, что ребят на этом проекте предупредили и они пялили в мониторы постоянно, как будто там интересная передача а не статичная картинка и еще что-то в моменте обсуждали. Бдительные охранники даже жалюзи прикрыли, чтобы их не было видно. Но пока мой коллега ползал по периметру никто не реагировал и не менял свое поведение. Это могло только значить одно, камеры в автоматическом режиме не переключаются и не инициируются при помощи датчика движения. Окей, время обхода мы зафиксировали, теперь можно готовить рюкзаки и проверять на сколько наша аналитика верная.

Собираясь в ночную смену, мы сложили свой стандартный инструмент, но ориентировались на высокую физическую активность, поэтому делали акцент только на максимально необходимых вещах, и размещали их в местах быстрой доступности (тут у меня возникла идея сделать удобные штуки для быстрого пользования инструментом, которые можно будет пристегивать к одежде, но это находится на проекте проектирования). Это картинка из интернета, тут под каждую задачу свой пак нужно собирать.

Кстати теперь буду рекомендовать Multipick , поскольку это один из самых лучших инструментов в мире, заточенный под свои задачи. Это собака пролезет в самый кривой и тонкий профиль. Вообщем можно купить китайский инструмент, но в определенных кейсах, он может подвести.

Теперь время повеселиться. GoPro на 1080 60 кадров в секунду и погнали. С ростом числа проектов адреналин для первого шага исчезает и мы с коллегами спокойно искали места, ранее разведанные для InitiaI Access. Самое банальное это заход через внешние пожарные лестницы, перекусываение проволоки забора (тут исключительно нужен качественный болторез, кусачки идут мимо), откручивание проф листа или вскрытие дверного замка. Кстати на этом проекте наши кусачки потерпели поражение. Мы выбрали самый быстрый способ и прошли первый контур.

Прошу обратить внимание на картинку выше. Иногда замок заведомо переворачивают, поэтому такое можно увидеть на проектах и если нет тренировки работать снизу вверх клюшкой - могут возникнуть временные трудности в прямом смысле слова.

Мы внутри. И тут уже пошел адреналинчик по венам, но в хорошем плане. В этот момент ты обычно чувствуешь небольшой холод (у меня лично по спине) и включается в голове умеренная тревожность, обостряется слух и зрение. В этот момент нужно быстро решить что делать дальше, мы принялись искать место, которое максимально близко было к нашей цели и имело конструктивные особенности, позволяющие забраться альтернативным способом в целевое помещение.

Многие из вас, кто меня начал недавно смотреть/читать могут озадачится вопросом: чего за конструктивные особенности? Тут я подразумеваю строительные леса, пожарные лестницы, переходы между корпусами, открытые окна на досягаемых этажах, строительные элементы из бетона и тому подобное, что поможет достигнуть поставленной цели. Стоит упомянуть что пожарные лестницы бывают достаточно удобными, а не те, которые висят на 5 этажных жилых домах, хотя и такие встречаются.

Кто-то у нас подпер брусочком запасную дверь (большое спасибо). Отмычки уже устали отдыхать. Внутри мы нашли план помещения (стандартная пожарка, которая обязана быть), зафиксировали ее и пошли к нашей цели. На пути мы столкнулись с перфорированными замками фирмы Dorma, которые открылись достаточно быстро, и мы попали в блок управления с резевным питанием. Ну тут особо для нас не было ничего интересеного, поэтому мы пошли дальше. Далее были серверные, которые с одной стороны помещения закрыты на СКУД, а с другой был перфорированный замок, который идет в комплекте с дверями-консервами. Такую дверь за минутку мы победили и попали в нужный нам блок где была цель. Там мы повтыкались с ноута к портам (искали рабочие), потом обнаружили в одной из комнат, которые также были закрыты принтер и там через манипуляцию обхода портсека протестирорвали подключение ноута к внешнему серверу, а потом и малинку воткнули. А как мы попали в эту замечательную дверь? В одном из помещений была обнаружена на стене доска из пробкового дерева, на которой был закреплен пропуск (спасибо большое), тут в игру идет флиппер и забирает метку себе в память.

На этом этапе нам осталось надежно спрятать малинку с роутером и уйти. Тут кто как прячет, кто-то в сетевые фильтры, кто-то в роутеры, кто-то в щитки, короче полет фантазии.

Мы успешно ушли тем же путем и в целом все прошло тихо, но на следующий день нас попросили провернуть эту манипуляцию днем. Мы на самом деле уже заведомо шли "на убой". Ну а какие варианты? Про нас уже наверняка знают, камеры посмотрели, хотя Заказчик убеждал в обратном. Но как говорится мы танцуем вы платите. Пошли днем, была куча народу, щеголяющая по предприятию, мы нашли коптерку с желтыми жилетами, в которые сразу вкинулись. Вуаля, мы подрядчики, а не хакеры, провернули туже операцию номинально, но уже днем. Засняли красивое кино с нескольких камер и отдали довольному заказчику. С отчетом как всегда пришлось повозиться, поскольку видео с камер и с экшен камер бывает недостаточно. В целом заказ выполнили, заработали репутацию и денег. Хочу подметить что я не описывал часть, где мы ломали внутряк, внешку или делали социалку, поскольку там каких-то рокет сайнс цепочек не было (все по стандарту). Спасибо дорогой заказчик что выбрал лучших среди профессионалов, надеемся на дальнейшие совместные проекты и тесное сотрудничество. Если вы придете к нам по рекомендации, обязательно это укажите (и от кого), поскольку для своих у нас есть определенные бенефиты.

Ещё больше интересного в моем ТГ канале: https://t.me/pro_pentest

А также на YouTube канале: https://www.youtube.com/@pro_pentest