Охотимся на БОССОВ
Какая ваша любимая компьютерная игра? Lineage, Doom, Cuphead, WOW, другая? Я обожаю играть в старые игры для приставок Dendy или Sega, например, в Марио, где, проходя уровень за уровнем, добираешься до финального босса. Игровой сюжет большинства консольных игр построен в целом одинаково: преодолей все преграды, «страдай» и не выключай приставку неделями, чтобы заставить босса отдать тебе принцессу.
В реальной жизни заработать максимальные бонусные очки чаще всего получается уже с первого уровня: взлом личных устройств/аккаунтов ключевых руководителей компаний — быстрый способ получить желаемое: стратегические планы компании, финансовые данные, неограниченный доступ к учетным системам.
Выстраивая оборону вокруг бизнес-систем, обкладываясь мониторингом и средствами защиты, многие компании забывают об одном: самые «вкусные» и зачастую менее защищенные данные обычно сосредоточены в руках нескольких человек: ТОП-менеджмента компании.
Я работаю в команде, которая специализируется на аудитах информационной безопасности, и наши заказчики платят нам за взлом своей инфраструктуры. И нам постоянно приходится «размывать» в своих отчетах скриншоты с конфиденциальной информацией, обнаруженной на рабочих столах/сетевых папках/почтовых ящиках руководителей, доступ к которым мы смогли получить.
Ваших боссов тоже легко могут взломать. Как? Под катом я расскажу о самых распространенных векторах атак, как правило, приводящих к успешному взлому, т.е. позволяющих начать игру и почти сразу же ее закончить. Там же вы найдёте рекомендации по защите данных руководства своей компании.
Я много участвую в аудитах ИБ и компаний, в которых был внедрён хотя бы необходимый минимум по защите таких данных, могу вспомнить не больше десятка. Безопасники склонны применять к руководству значительно более «гуманные» меры, а ТОП-менеджеры чаще других сотрудников игнорируют правила ИБ. Я люблю таблички, поэтому нарисовал вот такую:
Обычные пользователи | Топ-менеджмент — ожидания | Топ-менеджмент — реальность |
Повышение осведомлённости: систематические обучения, дополнительные меры повышения компетенций (интерактивные обучающие курсы, систематические рассылки и пр.) | Отдельные семинары с разбором «бизнесовых» кейсов Киберучения | Ничего, так как «не трогаем лишний раз руководство» |
Hardening рабочих станций: минимизация прав учетной записи, применение строгих политик GPO, принудительная установка обновлений, защита BIOS и пр. | Выделение в отдельный VLAN, реализация шифрования хранимых данных на устройстве, «тонкая» настройка GPO | MacOS без политик или собственное неуправляемое Windows-устройство |
Защита учетных записей: необходимая длина и сложность паролей, использование второго фактора для внешних ресурсов и критичных систем и пр. | Аутентификация на основе второго фактора, мониторинг нетипичной активности | Использование принципа «Пользователям hard, руководству попроще» |
Защита почтового трафика: SandBox, anti-spam, редирект внешних ссылок и пр. | Контроль переопределения транспортных правил в отношении VIP-почтовых ящиков, реализация s-mime или другой технологии защиты электронной переписки | Любимый некорпоративный почтовый клиент |
Endpoint protection: антивирусная защита, MDM и пр. | EDR | Установка «своего» антивируса и удаление всего лишнего, «чтобы безопасники не следили» |
Безопасное удаленное управление: включение опции «запроса на подключение» для утилит удаленного доступа, реализация LAPS и пр. | Организация отдельного контура удаленного управления с отдельным паролем на подключение, ограничение на перечень лиц, имеющих права на подключение | Тот же самый пароль на vnc, что и у остальных работников компании |
Как злоумышленники могут этим всем воспользоваться? Предлагаю «поохотится на боссов» — рассмотреть несколько популярных векторов атак, позволяющих добавить в отчет пентестеров пару интересных скриншотов.
Внешние атаки (модель — «внешний злоумышленник»)
Компрометация внешних корпоративных ресурсов
«Размытость» корпоративного периметра и множественные точки входа (OWA-интерфейс электронной почты, MS Office 365, корпоративный портал, confluence и т.д.) сейчас характерны для большинства компаний. Получить доступ к данным на внешних ресурсах глобально можно тремя способами:
«стучаться» эксплойтами во все уязвимые сервисы;
попытаться «сбрутить» нужную нам учетную запись;
заставить добровольно поделиться нужной нам информацией (фишинг).
Если у хакера достаточно мотивации, времени и ресурсов, он сможет добиться своего любым из этих способов, но трудоемкость «технических» атак гораздо выше. Самый простой путь сэкономить время и нервы — скомпрометировать почту руководителя, после чего заняться чисто механической работой: заходить на все доступные извне ресурсы (ERP, CRM, BI и др.), чтобы «попылесосить» там интересные данные. Поэтому используем самый быстрый и надёжный вектор — VIP-fishing (aka Spear-phishing).
Сколько раз нам вычеркивали руководство из списка атакуемых при проведении пентестов? Очень много раз. Но там, где атака была согласована, результаты того стоили — ведь именно фишинговые атаки быстрее всего позволяют достичь цели. Глобальное отличие VIP-phishing от массового фишинга — это направленная атака, где гораздо больше времени уделяется подготовке: изучаем фейсбук, лайкаем фотки, гуглим новости. От качества собранной информации во многом будет зависеть успех всей атаки.
ТОП-менеджеры вряд ли будут переходить по ссылкам или открывать вложения, чтобы получить бесплатный мерч, записаться на бесплатную вакцинацию, протестировать новый сервис электронной почты. Мотивировать жертву можно, предложив скачать уникальные данные «конкурентной разведки», аналитические отчеты по продажам и пр.
Успешность данного вектора значительно снижается путем реализации технических мер: подмена ссылок, «песочница», мультифакторная аутентификация (которая постепенно становится стандартом для доступа «извне»). Однако риск нивелируется не полностью: остаётся немало других векторов, например, с отправкой вредоноса для закрепления на рабочей станции и др.
Основной способ защиты — повышать осведомленность руководителей. Сложность только в том, как деликатно подойти к этому вопросу (подсунуть памятку ИБ между договорами на подписание). Руководители зачастую игнорируют правила ИБ и вовлечь/донести информацию обычными способами может быть непросто.
На мой взгляд, оптимальное решение — проводить киберучения для ТОП-менеджмента. Нет, это не blue team & read team между финансовым директором и директором по стратегическому развитию. Это штабные учения или игры, основой сценария которых является моделирование возможных «страхов» руководства: публикация провокационной информации в СМИ, утечка данных клиентов и пр. Это поможет не только повысить осведомленность, но и вовлечь руководителей в нюансы обеспечения ИБ.
Атака на личные аккаунты
Взаимодействие хакера с объектом атаки может проходить не только через средства корпоративной коммуникации, но и по другим каналам: через СМС, мессенджеры, звонки, личные аккаунты в социальных сетях. Этот способ потребует более глубокой проработки профиля жертвы с помощью техники разведки OSINT. OSINT позволяет на основе открытых источников собрать максимальный объем информации об объекте атаки. OSINT-инструментов достаточно много, не будем подробно останавливаться на технике работы с ними. Разведка всегда приводит к очень интересным находкам: зачастую от проведения reverse photo location фотографии руководителя до обнаружения паролей от слитых аккаунтов и номеров мобильных телефонов — пара шагов.
После сбора информации начинается исключительно творческая работа «хакера»: звонки курьеров службы доставки цветов с «полезной нагрузкой» в виде флешки, сообщения от служб DPD, PonyExpress в WhatsApp с просьбой дополнить личные данные для получения посылки. Тип «интерактива» определяется в первую очередь профилем атакуемого.
Очевидно, что никакие корпоративные средства защиты здесь не помогут. Хорошо, если эти «базовые шаги» пройдет третья сторона (пентестеры) до того, как это сделали злоумышленники:
проведут OSINT в отношении ТОП-менеджеров (проанализируют информацию в соцсетях, базах данных утечек информации);
проверят актуальность полученной информации;
донесут риски до руководства.
Хорошая практика — внедрить политику безопасности для предотвращения фишинговых атак на персональные аккаунты. Данная политика должна регламентировать процесс действий в случае обнаружения атаки, правила поведения: например, перенаправление фишингового письма в адрес ИБ-службы, блокировка вредоносного аккаунта без вступления в переписку, информирование о потенциальной атаке.
Эксплуатация недостатков в групповых почтовых рассылках
Проводя работы по социальной инженерии, наши пентестеры всегда придерживаются принципов этики и нравственности. Но реальными злоумышленниками фишинг используется зачастую для более «грязных» целей — например, отправки писем с «шокирующей» информацией от имени руководства: такие письма имеют гораздо большую степень доверия работников/клиентов. А в качестве инструмента доставки используются группы рассылок корпоративной почты.
К сожалению, культура корпоративных рассылок во многих компаниях оставляет желать лучшего: такую рассылку может создать любой пользователь, их количество переваливает за сотни, и никто уже не помнит, кто из работников или клиентов был в них включен. Особенно «удобно», когда писать на групповые адреса может любой пользователь: не нужно заморачиваться веерной рассылкой, которую может заблокировать спам-фильтр: отправляем одно письмо на event@example.com, и получаем профит в сотни доставленных писем внутри компании.
Защита от таких атак несложная, хотя и требует долгой и методичной работы: инвентаризация групп, их закрытие, определение бизнес-владельцев и формализация правил работы с ними. Закройте возможность писать на рассылки руководству, если в этом нет необходимости.
Атаки внутри периметра (модель — «внутренний злоумышленник»)
Получение доступа к АРМ руководителей через средства удаленного доступа
Средства удаленного администрирования (VNC, TeamViewer и пр.) сейчас есть в каждой, даже самой «наколеночной» инфраструктуре. Решать проблемы пользователей надо быстро, а проблемы руководителей (чтобы не было проблем у работников службы технической поддержки) ещё быстрее. И тут вместо технической поддержки к устройствам руководителей зачастую подключаются наши пентестеры.
В комментариях мне возразят: «служба ИБ и поддержки пользователей не имеет доступа к устройствам руководителей», «у них свой Mac», «мы к ним ногами ходим» и др. Но практика удаленного подключения остаётся популярной и зачастую ничем не отличается от управления всеми остальными АРМ: рабочие станции ТОП-менеджеров находятся в общей для всех пользовательской сети с общим для всех паролем на подключение (или тем же «беспаролем»). Мы часто встречаем в своей практике: нестойкий пароль на подключение, хранение файлов конфигурации VNC с паролем в SYSVOL или других общедоступных папках, уязвимые версии с доступными эксплойтами, инструкции по удаленному подключению в общедоступных папках со всеми паролями.
Большую часть времени руководители проводят на работе, поэтому рабочие станции зачастую являются хранилищем личных данных. Однажды мы нашли на рабочем столе руководителя файл со ВСЕМИ паролями: от банковских карт, портала госуслуг, личной почты, аккаунтов в мессенджерах и пр.
Что с этим делать? Хорошая практика — организация отдельного контура безопасности для рабочих мест руководства: выделение отдельного сетевого сегмента для размещения АРМ, ограничение числа лиц, имеющих права на подключение. Не забудьте запретить для машин ТОП-менеджмента возможность управления с использованием средств удаленного администрирования Windows (RDP).
Подбор учётной записи в домене
Я думаю, знакомая многим картинка:
Функционал AD позволяет исключить отдельные группы пользователей и/или компьютер от применения настроек групповой политики (Group Policy). На практике специалисты ИБ обычно используют этот функционал для отключения требований к сложности пароля для учетных записей руководства. Комментарии тут не нужны — самые «любимые» и в большинстве своем несложные пароли подбираются быстро.
Лучшее, но не всегда доступное решение, чтобы не мучать руководителей вводом сложных паролей — использовать аутентификацию на основе SMS или токенов. Если это пока невозможно реализовать, усложняем существующую парольную политику с использованием базовых «фишек» AD — Fine-Grained Password Policies — пользовательских списков запрещенных слов. Кроме превентивных мер подключаем детектирующие контроли: периодическую проверку хешей паролей пользователей в домене Windows на слабые пароли и, конечно, мониторинг.
Разведка в папках общего доступа
Какая самая распространенная сетевая папка? Да, папка «Обмен», которая служит для обмена файлами между смежными подразделениями. Доступ к ней обычно имеют все работники компании, и зачастую в ней можно производить археологические раскопки: данные хранятся годами, а удалять страшно: вдруг они кому-то еще нужны?
И даже если всеми внутренними правилами по ИБ запрещено хранить в таких папках критичные данные, работники будут делать так, как удобно, а не как надо, если никакие меры контроля не реализованы. И руководство здесь не исключение: что мы только не находили в таких сетевых каталогах: стратегии вывода новых продуктов на рынок, внутреннюю финотчетность, копии паспортов руководства и пр.
Однако это — лишь верхушка айсберга. Именно до сетевых ресурсов у ИБ-специалистов зачастую «руки доходят» в последний момент. Поэтому права All Domain Users «read/write» — довольно частая практика даже для таких папок, как «Казначейство», «Finance», «Buh».
Как защитить папки общего доступа? Пообщайтесь с бизнесом — где они хранят свои данные? Какими сетевыми каталогами пользуются? Проведите инвентаризацию прав доступа в самых важных папках, обеспечьте ежедневную очистку общих папок обмена по скрипту, сформируйте для работников «правила игры» с такими ресурсами.
Атаки на хэш учётной записи
Атаки на хэши паролей с использованием инструмента mimikatz являются базовыми для любого уважающего себя пентестера. Mimikatz позволяет извлечь пароли и хэши авторизованных пользователей, хранящиеся в памяти системного процесса LSASS.EXE.
Где удобнее и быстрее всего найти заветный хэш? Например, на RD Session host служб удалённого рабочего стола (MS RDS), на серверах BI-платформ.
Обычно комплекс мер по защите от таких атак применяется для учетных записей администраторов, мы рекомендуем расширить такую практику и на руководство. Базовые меры, такие как:
отключение LM и NTLM,
запрет кэширования учетных данных,
включение в группу Protected Users,
запрет использования сохранённых паролей,
отключение возможности получение debug,
описаны в огромном количестве статей в сети Интернет.
Безусловно, вариантов получения доступа к данным руководства гораздо больше, чем те примеры, которые я привел выше. Способов защиты также намного больше. Я рассмотрел основные, но даже такая «базовая гигиена» значительно поможет снизить риски.
Самое главное — не бояться «потрогать за бочок» серьезных людей и наметить свой собственный baseline мер для защиты данных руководства. Такие меры неплохо сделать дополнением к тому базовому набору, который уже применяется для обеспечения безопасности в компании. И лучше, если возможность получения критичных данных сегодня продемонстрирует пентестер, чем завтра это сделает злоумышленник, но в более жесткой форме.
А какие меры безопасности для защиты руководства применяете вы?