Blackbox тестирование на проникновение

Финансы

Локация Европа

Отрасль Финансы

технологии

Решения

Тестирование

Сроки

3 месяца
полностью завершен

Защита финансовых границ

Клиент - международный банк с общими активами 2,5 миллиарда долларов США.

Наша команда по тестированию на проникновение получила задание сымитировать реальную хакерскую атаку на отделение банка в Центральной Европе в рамках проверки безопасности клиентских данных и соответствия требованиям. Тест на проникновение проводился с точки зрения "черного ящика" (то есть ноль исходной информации, кроме названия организации-мишени).

Путем построения атаки мы смогли получить доступ к основным процессинговым системам и системе SWIFT. Более того, команда нашла способ переводить деньги с одного банковского счета на другой от имени других клиентов. Таким образом, цель теста была успешно достигнута.

ЧТО БЫЛО СДЕЛАНО

ОСОБЕННОСТИ ТЕСТИРОВАНИЯ

Подготовка

Чтобы обеспечить точные результаты, наша команда использовала как ручные, так и автоматизированные инструменты и методы тестирования. В начале теста на проникновение мы обнаружили уязвимость во внешней сети банка. Мы разработали дроппер (разновидность трояна) для установки нашего вредоносного программного обеспечения на целевую систему. С помощью фишинговой атаки этот дроппер был загружен на компьютер в сети клиента. Дроппер содержал вредоносное программное обеспечение, которое воспроизводило себя в нескольких местах для устойчивости и мигрировало от одного процесса к другому. Первоначально загруженный как текстовый файл, он с помощью макросов трансформировался во вредоносный код таким образом, чтобы избежать обнаружения антивирусными сканерами. Таким образом, ни системы безопасности, ни брандмауэры и антивирусные решения не обнаружили проводимую в сети злонамеренную активность.

Компрометация HTTP-соединения:

Далее мы обнаружили, что https-соединение осуществлялось через Amazon CDN. Таким образом, мы зарегистрировали домен на Amazon, который служил нам для создания псевдонима и компиляции запросов банка, перенаправляя их на наш собственный сервер. Таким образом, ИТ-команда банка понимала, что соединение из их внутренней сети было направлено на Amazon, что, однако, могло означать обмен любыми обновлениями. Таким образом, неявное соединение позволило "злоумышленнику" остаться незамеченным.

Сценарий взлома:

Получение полного доступа. Проникнув во внутреннюю сеть, мы собрали приватные данные пользователей и основные учетные данные, повысили привилегии до роли администратора домена, захватили домен и получили полный контроль над системой. На этом наша задача была выполнена. Однако хакеры в реальном мире смогли бы пойти дальше к основным системам обработки данных и провести нежелательные транзакции.

РЕЗУЛЬТАТ

Симуляция действий противника позволила нам продемонстрировать полный путь компрометации путем использования одной уязвимости во внешней сети в сочетании с одной успешной фишинговой атакой. На этапе устранения последствий мы тесно сотрудничали с командой IT-безопасности клиента, чтобы немедленно устранить все найденные уязвимости и применить лучшие практики безопасности. Благодаря этому тесту на проникновение банку удалось избежать компрометации учетных записей пользователей и уменьшить бизнес-риски, такие как потеря финансов и данных, а также репутационные убытки. В результате наш клиент разработал лучшие практики безопасности и смог соответствовать высокому уровню комплаенса и регуляторных стандартов.