Cybercrime

Если помните, недавно у нас выходила статья про молодой, но уже подающий надежды data stealer Loki. Тогда мы подробно рассмотрели этот экземпляр (версия 1.8), получили представление о работе бота и освоили инструмент, облегчающий реагирование на события, связанные с этим ВПО. Для более полного понимания ситуации, давайте разберем еще одно шпионское ПО и сравним исследованных ботов. Сегодня мы обратим внимание на Pony более старый, но не менее популярный образец data stealerа. Никита Карпов, аналитик CERT-GIB, расскажет, как бот проникает на компьютер жертвы и как вычислить похищенные данные, когда заражение уже произошло.

Разбор функциональности бота

Впервые Pony был замечен в 2011 году и все еще продолжает использоваться. Как и в ситуации с Loki, популярность этого ВПО обусловлена тем, что несколько версий бота вместе с панелью администратора можно без проблем найти в сети. Например, здесь.

Экземпляр Pony, который мы будем изучать, защищен тем же самым упаковщиком, что и Loki, рассмотренный в предыдущей статье. По этой причине не будем еще раз останавливаться на процессе получения чистого ВПО и перейдем сразу к более интересным моментам. Единственное, что следует упомянуть перед разбором ВПО, ссылка на сервер, по которой мы определяем нужный PE-файл, оканчивается на gate.php, и это один из индикаторов Pony.

При исследовании дизассемблированного кода Pony обратим внимание на участок, содержащий главные функции. Интерес представляют две из них Initialize_Application и CnC_Func (названия функций переименованы в соответствии с их содержанием).

Ниже представлена функция Initialize_Application. Она отвечает за инициализацию необходимых элементов (библиотеки, привилегии и т.д.) и за похищение данных. В процессе работы ВПО несколько раз использует значение 7227 пароль к данному экземпляру бота. В Initialize_Application это значение используется для шифрования буфера, содержащего данные приложений, алгоритмом RC4.

Далее перейдем к декомпилированному коду функции CnC_Func и разберем ее алгоритм:

1. Буфер, полученный в результате работы функции Initialize_Application, передается в функцию BuildPacket, где собирается пакет данных для передачи на сервер.

2. По каждому URI из списка бот отправляет данные и ожидает подтверждения со стороны сервера. Если сервер не ответил 3 раза бот идет дальше.

3. После завершения первого списка CnC бот пытается загрузить и запустить дополнительное ВПО.

В общем доступе находится готовый билдер, который подтверждает функционал, полученный в процессе статического анализа декомпилированного кода. Пользователю предлагается ввести список URI, куда будут выгружаться похищенные данные, и список, откуда будет выгружаться дополнительное ВПО. Также пользователь может изменить пароль бота и имя дополнительного ВПО.

Pony атакует более сотни приложений, и, хотя у него есть функционал загрузчика, в основном Pony используется именно для похищения пользовательских данных. В таблице ниже перечислены все приложения, из которых бот может похитить данные.

Взаимодействие с сервером

Рассмотрим подробнее сетевое взаимодействие Pony. Как мы уже говорили, Pony сначала выгружает похищенные данные приложений на удаленный сервер, и индикатором такой коммуникации служит gate.php. После этого Pony просматривает второй список ссылок, откуда он пытается загрузить дополнительное ВПО на зараженный компьютер.

Для подтверждения того, что сервер получил и прочитал данные, бот должен получить в ответ строку STATUS-IMPORT-OK, иначе бот считает, что сервер не получил данные.

Данные, передаваемые на сервер, надежно защищаются шифрованием и компрессией. Защиту данных определяет заголовок, который идет перед ними. Стандартная защита пакета выглядит так:

1. Данные в чистом виде с заголовком PWDFILE0.

2. Сжатые данные с заголовком PKDFILE0. Для сжатия используется библиотека aPLib, работа которой основана на алгоритме компрессии LZW.

3. Зашифрованные данные с заголовком CRYPTED0 и ключом в виде пароля, например, 7227 или PA$$. Для шифрования используется алгоритм RC4.

4. Зашифрованные алгоритмом RC4 данные, ключ указан в первых 4 байтах.

Парсер сетевых коммуникаций

Как и для Loki, напишем парсер на Python, используя следующие библиотеки:

1. Dpkt для поиска пакетов, принадлежащих Pony, и работы с ними.

2. aPLib для декомпрессии данных.

3. Hexdump для представления данных пакета в хексе.

4. JSON для записи найденной информации в удобном виде.

Рассмотрим основные части алгоритма работы скрипта:

for ts, buf in pcap:    eth = dpkt.ethernet.Ethernet(buf)    if not isinstance(eth.data, dpkt.ip.IP):        ip = dpkt.ip.IP(buf)    else:        ip = eth.data    if isinstance(ip.data, dpkt.tcp.TCP):        tcp = ip.data        try:            if tcp.dport == 80 and len(tcp.data) > 0:  # HTTP REQUEST                if str(tcp.data).find('POST') != -1:                    http += 1                    httpheader = tcp.data                    continue                else:                    if httpheader != "":                        pkt = httpheader + tcp.data                        req += 1                        request = dpkt.http.Request(pkt)                        parsed_payload['Network'].update({'Request method': request.method})                        uri = request.headers['host'] + request.uri                        parsed_payload['Network'].update({'CnC': uri})                        parsed_payload['Network'].update({'User-agent': request.headers['user-agent']})                        if uri.find("gate.php") != -1:                            parsed_payload['Network'].update({'Traffic Purpose': "Exfiltrate Stolen Data"})                            parse(tcp.data, debug)                        elif uri.find(".exe") != -1:                            parsed_payload['Network'].update({'Traffic Purpose': "Download additional malware"})                        print(json.dumps(parsed_payload, ensure_ascii=False, sort_keys=False, indent=4))                        parsed_payload['Network'].clear()                        parsed_payload['Malware Artifacts/IOCs'].clear()                        parsed_payload['Compromised Host/User Data'].clear()                        parsed_payload['Applications'].clear()                        print("----------------------")            if tcp.sport == 80 and len(tcp.data) > 0:  # HTTP RESPONCE                resp += 1                response = dpkt.http.Response(tcp.data)                if response.body.find(b'STATUS-IMPORT-OK') != -1:                    AdMalw = True                    print('Data imported successfully')                else:                    print('C2 did not receive data')                print("----------------------")        except(dpkt.dpkt.NeedData, dpkt.dpkt.UnpackError):            continueprint("Requests: " + str(req))print("Responces: " + str(resp))

Поиск пакетов, связанных с Pony, аналогичен поиску пакетов Loki. Ищем все HTTP-пакеты. Парсим запросы, в которых находится информация бота. Остальные запросы фиксируются, но данные в них не обрабатываются. Если в ответ на запрос получена строка STATUS-IMPORY-OK отмечаем успешную выгрузку данных. Во всех других случаях считаем, что сервер не получил данные. Если после выгрузки данных найдены HTTP-запросы с URI, оканчивающимся на .exe отмечаем загрузку дополнительного ВПО.

Рассмотрим функцию, отвечающую за снятие всей защиты с данных и импорт модулей:

def process_report_data(data, debug):    index = 0    if len(str(data)) == 0:        return False    elif len(str(data)) < 12:        return False    elif len(str(data)) > REPORT_LEN_LIMIT:        return False    elif len(str(data)) == 12:        return True    if verify_new_file_header(data):        rand_decrypt(data)    report_id = read_strlen(data, index, 8)    index += 8    if report_id == REPORT_CRYPTED_HEADER:        parsed_payload['Malware Artifacts/IOCs'].update({'Crypted': report_id.decode('utf-8')})        decrypted_data = rc4DecryptText(report_password, data[index:len(str(data))])        data = decrypted_data        index = 0        report_id = read_strlen(data, index, 8)        index += 8    if report_id == REPORT_PACKED_HEADER:        parsed_payload['Malware Artifacts/IOCs'].update({'Packed': report_id.decode('utf-8')})        unpacked_len = read_dword(data, index)        index += 4        leng = read_dword(data, index)        index += 4        if leng < 0:            return False        if not leng:            return ""        if index + leng > len(str(data)):            return False        packed_data = data[index:index + leng]        index += leng        if unpacked_len > REPORT_LEN_LIMIT or len(str(packed_data)) > REPORT_LEN_LIMIT:            return False        if not len(str(packed_data)):            return False        if len(str(packed_data)):            data = unpack_stream(packed_data, unpacked_len)        if not len(str(data)):            return False        if len(str(data)) > REPORT_LEN_LIMIT:            return False        index = 0        report_id = read_strlen(data, index, 8)        index += 8    if report_id != REPORT_HEADER:        print("No header")        return False    version_id = read_strlen(data, index, 3)    index += 8    if version_id != REPORT_VERSION:        return False    parsed_payload['Malware Artifacts/IOCs'].update({'Data version': version_id.decode('utf-8')})    hexdump.hexdump(data)    report_version_id = version_id    parsed_payload['Applications'].update({'Quantity': 0})    while index < len(data):        index = import_module(data, index, debug)    return data

После снятия обязательного шифрования, определяем метод снятия следующего уровня защиты в зависимости от заголовка. Если присутствует дополнительное шифрование с заголовком CRYPTED0 скрипт пытается подставить стандартный ключ, и при несоответствия ключа запрашивает файл ВПО, в котором находит используемый в этом боте пароль. Если заголовок данных PWDFILE0 начинаем импорт модулей приложений.

Для расшифровки мы использовали алгоритм RC4:

def rc4DecryptHex(key, pt):    if key == '':        return pt    s = list(range(256))    j = 0    for i in range(256):        j = (j + s[i] + key[i % len(key)]) % 256        s[i], s[j] = s[j], s[i]    i = j = 0    ct = []    for char in pt:        i = (i + 1) % 256        j = (j + s[i]) % 256        s[i], s[j] = s[j], s[i]        ct.append(chr(char ^ s[(s[i] + s[j]) % 256]))    decrypted_text = ''.join(ct)    data = decrypted_text.encode('raw_unicode_escape')    return data

Результат работы парсера представлен ниже. Парсер успешно снял шифрование, произвел декомпрессию и нашел похищенные данные. Следует отметить, что у каждого модуля есть несколько типов представления данных, в зависимости от найденной ботом информации. В нашем примере бот похитил данные Outlook и записал их с типом 7. На первый запрос сервер ответил боту, а остальные коммуникации не несли полезной информации.

В заключение давайте сравним исследованные data stealer'ы Pony и Loki и подведем итог. Список атакуемых приложений и у Pony, и у Loki примерно одинаков, но функционал Loki, особенно в новых версиях, шире, чем у Pony. Pony защищает все передаваемые данные в несколько уровней, что не дает определить без специального инструмента, какие именно данные похитил бот. Loki, в свою очередь, передает все данные в открытом виде, но без знания структуры запросов разобрать эти данные тоже довольно сложно.

Надеемся, эти две статьи помогли разобраться, какую опасность несут данные data stealerы и как можно упростить реагирование на инциденты с помощью реализованных нами инструментов.

Этим постом мы начинаем двухсерийный технодетектив, в котором встретились "священная триада" доменов: putin, kremlin, crimea и "крысы" программы удаленного доступа (RAT), а также шпион AgentTesla. Началась история с того, что в конце мая 2020 года сетевой граф Group-IB, наша автоматизированная система анализа инфраструктуры, начал детектировать домены с интересным паттерном *kremlin*.duckdns.org, к которым подключались различные вредоносные файлы. Аналитики Group-IB Threat Intelligence & Attribution исследовали эти домены и установили три кампании по распространению различных RAT. Они шли с 2019 года и были нацелены на пользователей из Польши, Турции, Италии, Украины, России, Казахстана, Болгарии, Беларуси, Греции и Чехии. В ходе расследования была установлена связь между обнаруженными доменами и остальной используемой инфраструктурой, а заодно и с конкретным человеком, который стоит за распространением AgentTesla и других вредоносных программ. Итак, обо всем по-порядку.

Кампания лета 2020 года

В начале список доменов, который привлёк наше внимание, выглядел так:

• crimea-kremlin.duckdns.org

• kremlin-afghan.duckdns.org

• kremlin-crimea.duckdns.org

• kremlin-turbo.duckdns.org

Данные домены были зарегистрированы на один IP-адрес 79.134.225.43 15 июня 2020 года. По данным сетевого графа Group-IB, только с этими четырьмя доменами связанно порядка 30 различных вредоносных файлов. Судя по документам-приманкам, данная кампания была нацелена на пользователей из Польши, Турции, Италии, Германии и Болгарии.

Дальнейший анализ показал, что в основном файлы были залиты в публичные источники, начиная с 25 июня 2020 года. Самые распространенные имена Potwierdzenie transakcji.xls, lem makbuzu, WACKER - 000160847.xls, Potwierdzenie operacji.xls. Один из таких файлов, SHA1: 95A6A416F682A9D254E76EC38ADE01CE241B3366, является документом-приманкой на польском языке и якобы отправлен от Bank Polski.

Заражение

После активации макросов в этом документе выполняется PS-скрипт для извлечения команды второго этапа из файла lab.jpg, размещенном на удаленном сервере:

В файле lab.jpg содержится обфусцированная в BASE64 команда, которая после декодирования выглядит следующим образом:

Данный код считывает содержимое файла http://officeservicecorp[.]biz/rnp.txt, в котором и находится полезная нагрузка.

В результате выполнения данной последовательности PS-скриптов загружается и выполняется популярный NetWire RAT, который и производит подключение к своему C&C-серверу kremlin-crimea[.]duckdns.org на порт 3396.

Действительно, если мы вставим изначальные домены в граф с шагом 2, то увидим не только эти домены, но и остальную связанную инфраструктуру, которая участвовала во всех стадиях заражения.

Интересно, что те файлы, которые подключались к office-service-tech[.]info, также производили сетевое подключение к ahjuric[.]si. Пример таких файлов SHA1 a3816c37d0fbe26a87d1cc7beff91ce5816039e7. Это документ-приманка на турецком языке с логотипом государственного банка Турции.

Данный документ также содержит вредоносный макрос, исполняющий PS-скрипт, который считывает Code.txt с удаленного сервера и запускает цепочку обфусцированных PS-скриптов.

Результатом выполнения обфусцированного PS-скрипта будет выполнение еще одного обфусцированного в Base64 скрипта, который в конечном счете и выполнит полезную нагрузку в виде Netwire Rat из office-service-tech[.]info/pld.txt.

C&C-сервером данного образца является crimea-kremlin.duckdns[.]org.

Также мы обнаружили файлы, которые производят сетевое подключение одновременно к kremlin-turbo.duckdns[.]org и wshsoft[.]company. Название домена относит нас к WSH RAT, который основан на коде Houdini. Один из таких файлов SHA1: b42a3b8c6d53a28a2dc84042d95ce9ca6e09cbcf. Данный образец RAT отправляет на C&C-сервер kremlin-turbo.duckdns[.]org:3397 запросы вида /is-ready, а в качестве UA у него указан WSHRAT.

На этом этапе важно отметить, что часть используемых доменов в этой кампании была зарегистрирована на почту tetragulf@yahoo.com.

Кампания весны 2020 года

Изучая всю остальную связанную инфраструктуру, мы обратили внимание на домены, зарегистрированные на asetonly@yahoo.com. С начала 2020 года на эту почту были зарегистрированы следующие домены:

1. nitro-malwrhunterteams.com

2. office-data-labs.com

3. putin-malwrhunterteams.com

4. kremlin-malwrhunterteam.info

5. skidware-malwrhunterteams.com

6. screw-malwrhunterteams.com

7. screw-malwrhunterteam.com

8. office-services-labs.com

9. office-cloud-reserve.com

10. office-clean-index.com

11. office-cleaner-indexes.com

Мы собрали более 130 различных образцов вредоносных программ из различных источников, связанных только с этими доменами. Судя по названиям и содержимому данных образцов, кампания весны 2020 года была нацелена на пользователей из Европы и стран СНГ мы обнаружили документы-приманки на украинском, белорусском, казахском, русском и греческом языках.

Первые файлы данной кампании были загружены на публичные песочницы 23 марта 2020 года. Один из таких файлов Аналз проекту.docx SHA1-d8826efc7c0865c873330a25d805c95c9e64ad05 распространялся в качестве вложения к письму Електронна розсилка_ Змнене замовлення.eml SHA1-7f1fdf605e00323c055341919173a7448e3641fb, которое было загружено на VirusTotal через веб-интерфейс из Украины.

Заражение

Содержимое самого документа не вызывает интереса и выглядит как отсканированный лист со счетом. Однако сам документ во время запуска эксплуатирует уязвимость CVE-2017-0199. В результате выполняется команда, которая загружает полезную нагрузку в виде http://office-cloud-reserve[.]com/hydro.exe.

Загружаемой полезной нагрузкой является программа-шпион AgentTesla (почитать о ней вы можете тут, тут и тут). В качестве сервера для эксфильтрации данных используется ftp.centredebeautenellycettier[.]fr легитимный домен, который, по всей видимости, был скомпрометирован.

Другой исследуемый файл SHA1- 19324fc16f99a92e737660c4737a41df044ecc54, который называется Байланыс орталытары.img, распространялся в качестве вложения через электронное письмо SHA1- 403c0f9a210f917e88d20d97392d9b1b14cbe310 на казахском языке c темой, относящейся к COVID-19.

Данное вложение является .iso-образом и в некоторых случаях называется Байланыс орталытары.img. Файл монтируется в систему как образ, в котором находится лишь один обфусцированный VBS-файл SHA1: fd274f57e59c8ae3e69e0a4eb59a06ee8fd74f91 под названием Денсаулы сатау бойынша анытамалы жне деректер базасы.vbs. Данный файл по сути является загрузчиком, который выполняет обфусцированный PS-код. При его открытии происходит считывание файла http://office-cleaner-indexes[.]com/loud.jpg.

В результате происходит загрузка и выполнение AgentTesla, который также производит эксфильтрацию данных через ftp.centredebeautenellycettier[.]fr.

Другой документ SHA1: c992e0a46185bf0b089b3c4261e4faff15a5bc15 под названием 060520.xls распространялся через письмо на греческом языке, а его содержимое выглядит так же, как и все другие в этой кампании, только на греческом языке. Его полезная нагрузка в виде NanoCore Rat подключается к screw-malwrhunterteams[.]com.

Кампания 2019 года

Продолжая исследовать инфраструктуру, связанную с tetragulf@yahoo.com, мы обнаружили, что в 2019 году на эту почту было зарегистрировано всего четыре домена, два из которых были зарегистрированы в конце февраля и участвовали в одной кампании по распространению вредоносных документов.

Список зарегистрированных доменов (подчеркнутые точно вредоносные):

• east-ge.com

• mariotkitchens.com

• sommernph.com

• kingtexs-tvv.com

Первые файлы, связанные с этими доменами, начали загружаться в публичные песочницы 18 июня 2019 года.

Основная часть из этих файлов представляет собой RTF-документы, эксплуатирующие уязвимость CVE-2017-11882, а другие исполняемую полезную нагрузку. В ходе исследования этой кампании мы обнаружили письма и документы-приманки на украинском, русском, греческом, испанском и чешском языках.

Заражение

Один из первых документов этой кампании распространялся через электронную почту под разными названиями: CNC 0247.doc, ЧПУ 0247.doc SHA1:443c079b24d65d7fd74392b90c0eac4aab67060c.

Согласно данным из нашего графа, этот документ устанавливает подключение к http://68.235.38[.]157/ava.hta и kingtexs-tvv[.]com.

Мы заинтересовались этим хостом и обнаружили дополнительные файлы, которые устанавливали сетевое подключение к http://68.235.38[.]157. Одни из таких файлов, Estos son los documentos adjuntos de junio.doc SHA1: 02799b41c97b6205f1999a72cef8b8991d4b8092 и New Order.doc SHA1: 25abf0f75c56516134436c1f836d9db1e770ff30, эксплуатируют уязвимость CVE-2017-11882. Во время запуска они устанавливают подключение к http://68.235.38[.]157/oyii.hta.

Этот файл содержит код на Visual Basic, который выполняет обфусцированную в Base64 PS-команду на загрузку полезной нагрузки из общедоступного файлового хранилища https://m.put[.]re/Qm8He5E4.exe - SHA1: 523c5e0a1c9bc6d28f08500e96319571b57e4ba7 и сохраняет в директорию temp под именем avantfirewall.exe.

Загружаемая полезная нагрузка считывает содержимое из https://paste[.]ee/r/rSrae, вследствие чего выполняется Async RAT, который устанавливает подключение к своему C&C-серверу kizzoyi.duckdns[.]org на порт 8808.

Другой документ из данной кампании SHA1-1230acfd1f6f5b13a218ff8658a835997d1f0774 под названием таблиц.doc распространялся через письмо на украинском языке.

Из-за критически опасной уязвимости CVE-2017-11882, позволяющей выполнить вредоносный код без взаимодействия с пользователем, во время запуска этого документа происходит выполнение кода, содержащегося в OLE-объекте wd32PrvSE.wmf.

В результате выполнения кода из OLE-объектов загружается и выполняется Async RAT.

Заключение

На этой ноте мы заканчиваем первую часть исследования. Мы понимаем, что этот детектив должен закончиться чем-то логичным, и в следующей части вы с новыми силами окунетесь в развязку данной истории. Пока же можете изучить наше ежегодное исследование Hi-Tech Crime Trends или взглянуть на наши вакансии.

Рекомендации

Ниже техники атакующего и защитные техники в соответствии с MITRE ATT&CK и MITRE Shield, которые мы рекомендуем использовать для защиты и предотвращения инцидентов.

Все защитные техники реализованы в продуктах Group-IB для защиты на разных этапах атаки. Если у вас будут вопросы или подозрения на инцидент обращайтесь на response@cert-gib.com.

Какая ваша любимая компьютерная игра? Lineage, Doom, Cuphead, WOW, другая? Я обожаю играть в старые игры для приставок Dendy или Sega, например, в Марио, где, проходя уровень за уровнем, добираешься до финального босса. Игровой сюжет большинства консольных игр построен в целом одинаково: преодолей все преграды, страдай и не выключай приставку неделями, чтобы заставить босса отдать тебе принцессу.

В реальной жизни заработать максимальные бонусные очки чаще всего получается уже с первого уровня: взлом личных устройств/аккаунтов ключевых руководителей компаний быстрый способ получить желаемое: стратегические планы компании, финансовые данные, неограниченный доступ к учетным системам.

Выстраивая оборону вокруг бизнес-систем, обкладываясь мониторингом и средствами защиты, многие компании забывают об одном: самые вкусные и зачастую менее защищенные данные обычно сосредоточены в руках нескольких человек: ТОП-менеджмента компании.

Я работаю в команде, которая специализируется на аудитах информационной безопасности, и наши заказчики платят нам за взлом своей инфраструктуры. И нам постоянно приходится размывать в своих отчетах скриншоты с конфиденциальной информацией, обнаруженной на рабочих столах/сетевых папках/почтовых ящиках руководителей, доступ к которым мы смогли получить.

Ваших боссов тоже легко могут взломать. Как? Под катом я расскажу о самых распространенных векторах атак, как правило, приводящих к успешному взлому, т.е. позволяющих начать игру и почти сразу же ее закончить. Там же вы найдёте рекомендации по защите данных руководства своей компании.

Я много участвую в аудитах ИБ и компаний, в которых был внедрён хотя бы необходимый минимум по защите таких данных, могу вспомнить не больше десятка. Безопасники склонны применять к руководству значительно более гуманные меры, а ТОП-менеджеры чаще других сотрудников игнорируют правила ИБ. Я люблю таблички, поэтому нарисовал вот такую:

Как злоумышленники могут этим всем воспользоваться? Предлагаю поохотится на боссов рассмотреть несколько популярных векторов атак, позволяющих добавить в отчет пентестеров пару интересных скриншотов.

Внешние атаки (модель внешний злоумышленник)

Компрометация внешних корпоративных ресурсов

Размытость корпоративного периметра и множественные точки входа (OWA-интерфейс электронной почты, MS Office 365, корпоративный портал, confluence и т.д.) сейчас характерны для большинства компаний. Получить доступ к данным на внешних ресурсах глобально можно тремя способами:

- стучаться эксплойтами во все уязвимые сервисы;

- попытаться сбрутить нужную нам учетную запись;

- заставить добровольно поделиться нужной нам информацией (фишинг).

Если у хакера достаточно мотивации, времени и ресурсов, он сможет добиться своего любым из этих способов, но трудоемкость технических атак гораздо выше. Самый простой путь сэкономить время и нервы скомпрометировать почту руководителя, после чего заняться чисто механической работой: заходить на все доступные извне ресурсы (ERP, CRM, BI и др.), чтобы попылесосить там интересные данные. Поэтому используем самый быстрый и надёжный вектор VIP-fishing (aka Spear-phishing).

Сколько раз нам вычеркивали руководство из списка атакуемых при проведении пентестов? Очень много раз. Но там, где атака была согласована, результаты того стоили ведь именно фишинговые атаки быстрее всего позволяют достичь цели. Глобальное отличие VIP-phishing от массового фишинга это направленная атака, где гораздо больше времени уделяется подготовке: изучаем фейсбук, лайкаем фотки, гуглим новости. От качества собранной информации во многом будет зависеть успех всей атаки.

ТОП-менеджеры вряд ли будут переходить по ссылкам или открывать вложения, чтобы получить бесплатный мерч, записаться на бесплатную вакцинацию, протестировать новый сервис электронной почты. Мотивировать жертву можно, предложив скачать уникальные данные конкурентной разведки, аналитические отчеты по продажам и пр.

Успешность данного вектора значительно снижается путем реализации технических мер: подмена ссылок, песочница, мультифакторная аутентификация (которая постепенно становится стандартом для доступа извне). Однако риск нивелируется не полностью: остаётся немало других векторов, например, с отправкой вредоноса для закрепления на рабочей станции и др.

Основной способ защиты повышать осведомленность руководителей. Сложность только в том, как деликатно подойти к этому вопросу (подсунуть памятку ИБ между договорами на подписание). Руководители зачастую игнорируют правила ИБ и вовлечь/донести информацию обычными способами может быть непросто.

На мой взгляд, оптимальное решение проводить киберучения для ТОП-менеджмента. Нет, это не blue team & read team между финансовым директором и директором по стратегическому развитию. Это штабные учения или игры, основой сценария которых является моделирование возможных страхов руководства: публикация провокационной информации в СМИ, утечка данных клиентов и пр. Это поможет не только повысить осведомленность, но и вовлечь руководителей в нюансы обеспечения ИБ.

Атака на личные аккаунты

Взаимодействие хакера с объектом атаки может проходить не только через средства корпоративной коммуникации, но и по другим каналам: через СМС, мессенджеры, звонки, личные аккаунты в социальных сетях. Этот способ потребует более глубокой проработки профиля жертвы с помощью техники разведки OSINT. OSINT позволяет на основе открытых источников собрать максимальный объем информации об объекте атаки. OSINT-инструментов достаточно много, не будем подробно останавливаться на технике работы с ними. Разведка всегда приводит к очень интересным находкам: зачастую от проведения reverse photo location фотографии руководителя до обнаружения паролей от слитых аккаунтов и номеров мобильных телефонов пара шагов.

После сбора информации начинается исключительно творческая работа хакера: звонки курьеров службы доставки цветов с полезной нагрузкой в виде флешки, сообщения от служб DPD, PonyExpress в WhatsApp с просьбой дополнить личные данные для получения посылки. Тип интерактива определяется в первую очередь профилем атакуемого.

Очевидно, что никакие корпоративные средства защиты здесь не помогут. Хорошо, если эти базовые шаги пройдет третья сторона (пентестеры) до того, как это сделали злоумышленники:

- проведут OSINT в отношении ТОП-менеджеров (проанализируют информацию в соцсетях, базах данных утечек информации);

- проверят актуальность полученной информации;

- донесут риски до руководства.

Хорошая практика внедрить политику безопасности для предотвращения фишинговых атак на персональные аккаунты. Данная политика должна регламентировать процесс действий в случае обнаружения атаки, правила поведения: например, перенаправление фишингового письма в адрес ИБ-службы, блокировка вредоносного аккаунта без вступления в переписку, информирование о потенциальной атаке.

Эксплуатация недостатков в групповых почтовых рассылках

Проводя работы по социальной инженерии, наши пентестеры всегда придерживаются принципов этики и нравственности. Но реальными злоумышленниками фишинг используется зачастую для более грязных целей например, отправки писем с шокирующей информацией от имени руководства: такие письма имеют гораздо большую степень доверия работников/клиентов. А в качестве инструмента доставки используются группы рассылок корпоративной почты.

К сожалению, культура корпоративных рассылок во многих компаниях оставляет желать лучшего: такую рассылку может создать любой пользователь, их количество переваливает за сотни, и никто уже не помнит, кто из работников или клиентов был в них включен. Особенно удобно, когда писать на групповые адреса может любой пользователь: не нужно заморачиваться веерной рассылкой, которую может заблокировать спам-фильтр: отправляем одно письмо на event@example.com, и получаем профит в сотни доставленных писем внутри компании.

Защита от таких атак несложная, хотя и требует долгой и методичной работы: инвентаризация групп, их закрытие, определение бизнес-владельцев и формализация правил работы с ними. Закройте возможность писать на рассылки руководству, если в этом нет необходимости.

Атаки внутри периметра (модель внутренний злоумышленник)

Получение доступа к АРМ руководителей через средства удаленного доступа

Средства удаленного администрирования (VNC, TeamViewer и пр.) сейчас есть в каждой, даже самой наколеночной инфраструктуре. Решать проблемы пользователей надо быстро, а проблемы руководителей (чтобы не было проблем у работников службы технической поддержки) ещё быстрее. И тут вместо технической поддержки к устройствам руководителей зачастую подключаются наши пентестеры.

В комментариях мне возразят: служба ИБ и поддержки пользователей не имеет доступа к устройствам руководителей, у них свой Mac, мы к ним ногами ходим и др. Но практика удаленного подключения остаётся популярной и зачастую ничем не отличается от управления всеми остальными АРМ: рабочие станции ТОП-менеджеров находятся в общей для всех пользовательской сети с общим для всех паролем на подключение (или тем же беспаролем). Мы часто встречаем в своей практике: нестойкий пароль на подключение, хранение файлов конфигурации VNC с паролем в SYSVOL или других общедоступных папках, уязвимые версии с доступными эксплойтами, инструкции по удаленному подключению в общедоступных папках со всеми паролями.

Большую часть времени руководители проводят на работе, поэтому рабочие станции зачастую являются хранилищем личных данных. Однажды мы нашли на рабочем столе руководителя файл со ВСЕМИ паролями: от банковских карт, портала госуслуг, личной почты, аккаунтов в мессенджерах и пр.

Что с этим делать? Хорошая практика организация отдельного контура безопасности для рабочих мест руководства: выделение отдельного сетевого сегмента для размещения АРМ, ограничение числа лиц, имеющих права на подключение. Не забудьте запретить для машин ТОП-менеджмента возможность управления с использованием средств удаленного администрирования Windows (RDP).

Подбор учётной записи в домене

Я думаю, знакомая многим картинка:

Функционал AD позволяет исключить отдельные группы пользователей и/или компьютер от применения настроек групповой политики (Group Policy). На практике специалисты ИБ обычно используют этот функционал для отключения требований к сложности пароля для учетных записей руководства. Комментарии тут не нужны самые любимые и в большинстве своем несложные пароли подбираются быстро.

Лучшее, но не всегда доступное решение, чтобы не мучать руководителей вводом сложных паролей использовать аутентификацию на основе SMS или токенов. Если это пока невозможно реализовать, усложняем существующую парольную политику с использованием базовых фишек AD Fine-Grained Password Policies пользовательских списков запрещенных слов. Кроме превентивных мер подключаем детектирующие контроли: периодическую проверку хешей паролей пользователей в домене Windows на слабые пароли и, конечно, мониторинг.

Разведка в папках общего доступа

Какая самая распространенная сетевая папка? Да, папка Обмен, которая служит для обмена файлами между смежными подразделениями. Доступ к ней обычно имеют все работники компании, и зачастую в ней можно производить археологические раскопки: данные хранятся годами, а удалять страшно: вдруг они кому-то еще нужны?

И даже если всеми внутренними правилами по ИБ запрещено хранить в таких папках критичные данные, работники будут делать так, как удобно, а не как надо, если никакие меры контроля не реализованы. И руководство здесь не исключение: что мы только не находили в таких сетевых каталогах: стратегии вывода новых продуктов на рынок, внутреннюю финотчетность, копии паспортов руководства и пр.

Однако это лишь верхушка айсберга. Именно до сетевых ресурсов у ИБ-специалистов зачастую руки доходят в последний момент. Поэтому права All Domain Users read/write довольно частая практика даже для таких папок, как Казначейство, Finance, Buh.

Как защитить папки общего доступа? Пообщайтесь с бизнесом где они хранят свои данные? Какими сетевыми каталогами пользуются? Проведите инвентаризацию прав доступа в самых важных папках, обеспечьте ежедневную очистку общих папок обмена по скрипту, сформируйте для работников правила игры с такими ресурсами.

Атаки на хэш учётной записи

Атаки на хэши паролей с использованием инструмента mimikatz являются базовыми для любого уважающего себя пентестера. Mimikatz позволяет извлечь пароли и хэши авторизованных пользователей, хранящиеся в памяти системного процесса LSASS.EXE.

Где удобнее и быстрее всего найти заветный хэш? Например, на RD Session host служб удалённого рабочего стола (MS RDS), на серверах BI-платформ.

Обычно комплекс мер по защите от таких атак применяется для учетных записей администраторов, мы рекомендуем расширить такую практику и на руководство. Базовые меры, такие как:

- отключение LM и NTLM,

- запрет кэширования учетных данных,

- включение в группу Protected Users,

- запрет использования сохранённых паролей,

- отключение возможности получение debug,

описаны в огромном количестве статей в сети Интернет.

Безусловно, вариантов получения доступа к данным руководства гораздо больше, чем те примеры, которые я привел выше. Способов защиты также намного больше. Я рассмотрел основные, но даже такая базовая гигиена значительно поможет снизить риски.

Самое главное не бояться потрогать за бочок серьезных людей и наметить свой собственный baseline мер для защиты данных руководства. Такие меры неплохо сделать дополнением к тому базовому набору, который уже применяется для обеспечения безопасности в компании. И лучше, если возможность получения критичных данных сегодня продемонстрирует пентестер, чем завтра это сделает злоумышленник, но в более жесткой форме.

А какие меры безопасности для защиты руководства применяете вы?