Клиент - международный банк с общими активами 900 миллионов долларов США. Банк предлагает весь спектр банковских услуг для частных и корпоративных клиентов.
Нас попросили провести тест на проникновение с помощью социальной инженерии и попытаться получить доступ к внутренней сети банка, манипулируя его персоналом. Таким образом Клиент хотел проверить эффективность существующих решений безопасности в сочетании с информационными кампаниями среди сотрудников по кибер-гигиене.
ЭТАПЫ ТЕСТИРОВАНИЯ
Разведка:
Изучение систем клиента заняло у нас неделю. Мы собрали информацию о программном обеспечении, ОС, браузерах, антивирусах, почтовых клиентах и т.д., которыми пользуются сотрудники. Мы также сосредоточились на формате электронного письма и других элементах фирменного стиля, новостях и событиях в компании - на всем, что могло вызвать доверие к письму, фишинговому сайту и целевой атаке.
ОСОБЕННОСТИ
Несмотря на зрелость кибербезопасности клиента, после недели разведки нам удалось обойти службы безопасности и проникнуть в систему с помощью одного из классических трюков - рассылки писем с вредоносными вложениями.
Уязвимость обхода песочницы:
Мы применили специальные методы обучения, чтобы определить, как обойти этот фильтр. Проанализировав, как система запускает и изучает дерево процессов файла, мы смогли разработать вредоносное программное обеспечение, которое обманывает песочницу. Мы подготовили новую полезную нагрузку, которая прошла через антивирусный контроль, контроль сигнатур файлов и поведенческий анализ, и активировала код только через несколько дней, не проявляя себя как вредоносное программное обеспечение.
Сценарий взлома:
Несмотря на разнообразие креативных подходов, направленных на введение сотрудников в заблуждение, с технической точки зрения все сводится к двум действиям: фишинг для кражи данных учетной записи и запуск исполняемого файла для заражения устройства. В нашем случае открытие и запуск вложения к письму стало триггером для успешной работы скрипта.
Обнаружив уязвимость обхода песочницы, наше вредоносное электронное письмо прошло этап защиты, и дроппер активировался на одном из устройств сотрудника. Далее мы установили соединение и через файлообменники нашли возможность перехватить определенные учетные записи, найти некорректно настроенный доступ к резервной копии и проложить свой путь через сеть для захвата домена. После завершения тестирования мы предоставили перечень возможных мер для восстановления необходимого уровня безопасности и помогли банку в кратчайшие сроки залатать пробелы в безопасности.