Банківська кібербезпека, Pen-тестування

Фінансові сервіси

Локація США

Галузь Фінансові сервіси

технології

Рішення

Мобільні додатки

Термін

3 місяці
повністю завершено

Тестуємо кордони, зміцнюємо захист

Клієнт - міжнародний банк із загальними активами 900 мільйонів доларів США. Банк пропонує весь спектр банківських послуг для приватних та корпоративних клієнтів.

Нас попросили провести тест на проникнення за допомогою соціальної інженерії та спробувати отримати доступ до внутрішньої мережі банку, маніпулюючи його персоналом. Таким чином Клієнт хотів перевірити ефективність існуючих рішень безпеки в поєднанні з інформаційними кампаніями серед співробітників щодо кібер-гігієни.

ЩО БУЛО ЗРОБЛЕНО

ЕТАПИ ТЕСТУВАННЯ

Розвідка:

Вивчення систем клієнта зайняло у нас тиждень. Ми зібрали інформацію про програмне забезпечення, ОС, браузери, антивіруси, поштові клієнти тощо, якими користуються співробітники. Ми також зосередилися на форматі електронного листа та інших елементах фірмового стилю, новинах і подіях у компанії - на всьому, що могло викликати довіру до листа, фішингового сайту та цільової атаки.

ОСОБЛИВОСТІ

Незважаючи на зрілість кібербезпеки клієнта, після тижня розвідки нам вдалося обійти служби безпеки та проникнути в систему за допомогою одного з класичних трюків - розсилки листів зі шкідливими вкладеннями.

Уразливість обходу пісочниці:

Ми встановили, що клієнт використовує систему "пісочниці", яка аналізує вкладення для виявлення шкідливого програмного забезпечення. Ця система виконує ненадійний код в обмеженому середовищі, аналізує, які дії він виконує в системі, і визначає, чи є цей файл безпечним чи ні. Такий метод запобігає фішинговим атакам через вкладення будь-якого типу.

Ми застосували спеціальні методи навчання, щоб визначити, як обійти цей фільтр. Проаналізувавши, як система запускає та вивчає дерево процесів файлу, ми змогли розробити шкідливе програмне забезпечення, яке обманює пісочницю. Ми підготували нове корисне навантаження, яке пройшло через антивірусний контроль, контроль сигнатур файлів і поведінковий аналіз, і активувало код лише через кілька днів, не виявляючи себе як шкідливе програмне забезпечення.

Сценарій злому:

Незважаючи на різноманітність креативних підходів, спрямованих на введення співробітників в оману, з технічної точки зору все зводиться до двох дій: фішинг для крадіжки даних облікового запису і запуск виконуваного файлу для зараження пристрою. У нашому випадку відкриття та запуск вкладення до листа стало тригером для успішної роботи скрипту.

РЕЗУЛЬТАТ

Виявивши вразливість обходу пісочниці, наш шкідливий електронний лист пройшов етап захисту, і дроппер активувався на одному з пристроїв співробітника. Далі ми встановили з'єднання і через файлообмінники знайшли можливість перехопити певні облікові записи, знайти некоректно налаштований доступ до резервної копії та прокласти свій шлях через мережу для захоплення домену. Після завершення тестування ми надали перелік можливих заходів для відновлення необхідного рівня безпеки та допомогли банку в найкоротші терміни залатати прогалини в безпеці.