Юлия Омельяненко


 
Опубликовано: 28 июля 10:23
 652
 

С чего начать взлом сети? Просто попросить открыть файл.

 
 

Ни для кого не секрет, что большинство хакеров стараются использовать именно этот способ для проникновения в сеть. Зачем тратить время и ресурсы на то, что можно получить гораздо более простым способом?

В большинстве случаев, если открыть отчет о расследовании инцидентов проникновения хакеров в сеть, он начнется со слов «сотрудники компании получили письма…». Реже – кому-то позвонили. А если под ударом оказалась личная почта сотрудника, то никто не установит, как она была взломана. Если только ее владелец сам не вспомнит что-либо подозрительное, но это в том случае, если взаимодействие с жертвой велось напрямую. Проверить, кто просматривал открытые профили в социальных сетях, и вовсе практически невозможно.

Предположим, цель хакеров – вывести деньги из корпоративной сети крупной компании. Используем понятие «деньги», потому что любая кража данных представляет интерес с финансовой точки зрения. Не берем редкие случаи, когда атака ведется из других соображений. Рассмотрим в качестве примера недавний нашумевший случай мошенничества в особо крупном размере.

В феврале этого года совместными усилиями «Лаборатории Касперского» и Group-IB были получены доказательства о хищении $300млн. у 50 банков группировкой Anunak. Схема, на первый взгляд, была организована безупречно: вредоносная программа имитировала действия операторов и паразитировала в сети около года, и ее бы так и не обнаружили, если бы злоумышленники не начали обналичивать крупные суммы. А началось все с того, что  служащий одного из российских банков получил на корпоративную почту письмо якобы от службы поддержки Центробанка. В нем был вложенный файл и приписка, что в соответствии с федеральным законом «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» всем сотрудникам кредитных и финансовых организаций необходимо ознакомиться с вложенным документом. Никаких подозрений письмо, присланное с адреса «support@cbr.msk.ru», у получателя не вызвало, и сотрудник распаковал файл. Спустя несколько недель со счета банка была списана крупная сумма. Помимо якобы Центробанка рассылались письма от реальных партнеров (для этого сначала взламывались их компьютеры) или потенциальных клиентов. Причем, согласно отчету, иногда перед отправкой письма преступники звонили жертвам для большего доверия. Кроме того, хакеры из группы Anunak активно сотрудничали с владельцами бот-сетей, в которые входили компьютеры финансовых и госучреждений, также зараженные не без помощи доверчивых служащих.

После заражения компьютера рядового сотрудника финансовой организации злоумышленники пытались повысить привилегии и получить доступ к системам банка. Получив доступ к одному компьютеру, хакеры воздействовали на все станции в ее окружении и двигались далее по иерархии сети, распространяя шпионское ПО, которое анализировало трафик и перехватывало в т.ч. пароли. Среднее время от попадания в сеть финансовой организации до вывода средств составляло 42 дня, говорится в отчете. В среднем группа Anunak выводила около $2 млн.

Как это работает?

Массовые почтовые рассылки осуществляются, как первый этап попытки проникновения в систему. Схема простая: злоумышленники поднимают почтовый сервер-однодневку, создают шаблон письма с внедренным вредоносом, и рассылают его на пул адресов в ожидании отклика об успешной отработке троянца. Пул адресов получается либо из опубликованных корпоративных адресов в интернете, либо полный список становится доступен через уязвимость корпоративного Exchange сервера.

Адрес отправителя может быть заменен в SMTP-заголовке на валидный, но его при проверке почтовым сервером по IP-адресу отправителя Exchange сервер может отправить такое письмо в корзину, если такая проверка настроена. Вторым вариантом становится привязка визуально похожего домена к почтовому-серверу однодневке, и с технической точки зрения у принимающего сервера тогда уже вопросов не возникнет.

Один из выпускников МИФИ, который занимается в т.ч. вопросами повышения осведомленности пользователей, разработал автоматизированный комплекс по осуществлению рассылок пользователям. Разберемся, как он работает. В автоматическом режиме на заданный пул пользовательских адресов рассылаются письма-ловушки, содержащие безвредные вложения, которые собирают системную информацию о пользователе, открывшем письмо, открывшем ссылку/вложение, вводившему какие-либо данные в подставные формы, а также поделился ли пользователь-жертва еще с кем-либо. Для каждого письма генерируются вложения или ссылки с уникальными флагами, по которым отслеживается каждый пользователь. Пул адресов комплекс может получить следующим образом: поиск в интернете, перебор адресов, загрузка готового пула в специальную форму.

Также «успешно» показал себя функционал по SMS-рассылкам и аналогичных атаках на смартфоны, что критично для компаний, допускающих BYOD.


Рисунок 1 Отчет о проделанной рассылке пользователям

Злоумышленником, при желании, функционал может быть расширен в зависимости от того, на что способен высылаемый троянец. Обойти систему антивирусов не особо сложно, иногда достаточно зашифровать архив с вирусом. В последнее время стали известны случаи, когда троянец зашит в макросе файла MS Office. В более старых версиях (до 2007 включительно) выполнение макроса в файле разрешено по умолчанию. В более поздних версиях пользователю предлагается принять решение, выполнить его или нет.

Как защититься от таких атак?

К атакам методом социальной инженерии нужно относиться так, как будто у вас всегда есть уязвимость нулевого дня. Нужно отдавать себе отчет в том, что любой сотрудник, а, следственно любой узел, может быть скомпрометирован.

Первый шаг – рассмотреть свою сеть с точки зрения злоумышленника: к каким ресурсам и сетевому окружению он может получить доступ с пользовательских станций, если они будут скомпрометированы.

Второй шаг – это разграничение полномочий по результатам первого шага. Очень многие этому не уделяют должное внимание, потому что это действительно сложно. Разграничивать на логическом уровне – хорошо, но на логическом и физическом – еще надежнее.

Третий шаг – тюнинг и усиление технической защиты. Обновленные антивирусные средства, персональные межсетевые экраны, антиспам, системы обнаружения атак и аномальной активности в сети, предотвращения вторжений.

Четвертый шаг – предупрежден, значит вооружен. Работники должны понимать в первую очередь, что их данные, в т.ч. данные авторизации, это СОБСТВЕННОСТЬ КОМПАНИИ. И они несут ответственность за все действия на корпоративном устройстве. А помочь им не попасть в неприятности могут регулярные тренинги и напоминания по повышению осведомленности.

Но вот какой парадокс: мотивировать и повышать осведомленность просто необходимо, но при этом исходить нужно из того, как будто это не проводится. Потому что если не десяток, то один или два любопытных найдутся. А они с огромной степенью вероятности найдутся, если хакеры будут достаточно грамотно действовать. Кто знает, а вдруг это будете вы?

Юлия Омельяненко - Ведущий эксперт «Лаборатории Цифровой Форензики»