Разведка из открытых источников.

Всем привет.

Продолжим историю о том как сейчас меняется вектор атаки на ресурсы кампании. Сегодня пройдусь по следам Дениса Макрушина который специализируется на исследовании угроз и разработке технологий защиты от целевых атак.

В одной из прошлых колонок Денис рассказал о стадиях целенаправленных атак (kill chain). Первая стадия, стадия «разведки», начинается задолго до того, как атакующий дотронется до первой машины жертвы. От количества и качества данных, собранных на этом этапе, зависит успешность атаки и, самое главное, стоимость ее проведения.

Разумеется, можно стучаться эксплоитами на уязвимые сервисы, доступные на периметре (и, например, засветить сами эксплоиты и свое присутствие в логах систем защиты), а можно использовать spear phishing и закрепиться на рабочей станции внутри периметра. Результат будет достигнут в обоих случаях, но стоимость атаки совершенно разная.

Стадия разведки - ключевая для выбора тактики, техник и инструментов (tactics, techniques and procedures, далее TTPs), которые будут использоваться для достижения цели. Однако чаще всего задача разведки заключается в следующем: найти как можно больше потенциальных точек входа для доступа к цели и оценить стоимость реализации обнаруженных векторов. Для того чтобы усложнить жизнь атакующему, который проводит разведку, необходимо понимать, какие TTPs он использует на данном этапе.

По аналогии с старым автомобилем у которого двери могут быть открытыми, закрытыми и незакрытыми мы будем искать те самые Незакрытые двери.

От множества точек входа в корпоративную сеть зависит множество векторов атак, доступных злоумышленнику. Можно формально классифицировать точки входа:

• информационные системы, расположенные на периметре и имеющие доступ в интернет (серверы, рабочие станции, административные панели специального оборудования);
• мобильные устройства, используемые сотрудниками внутри периметра и за его пределами;
• учетные записи в облачных сервисах сотрудников (в том числе используемые в личных целях).

Последний пункт зачастую требует от атакующего «интерактива» с жертвой (например, коммуникацию с объектом фишинговой атаки), что повышает риск обнаружения атаки. Поэтому в некоторых случаях приоритет отдается доуступным точкам входа, расположенным на периметре.

Сетевой периметр - понятие, которое с развитием технологий и повсеместным внедрением облаков постепенно исчезает. Концепция Bring your own device (BYOD), позволяющая сотрудникам компаний использовать личные устройства для бизнес-процессов, а также появление облаков размывают периметр. Контролировать потоки данных между корпоративной сетью и внешним миром становится невероятно трудно. И это же облегчает жизнь злоумышленникам - многообразие вариантов проникновения растет.

В больших организациях периметр пестрит сервисами, о которых забыли (или они работают из коробки) админы и которые уже давно не патчились. Предлагаю поискать такие сервисы в вашей кампании.

Известный способ получить информацию о периметре и при этом никак с ним не взаимодействовать - изучить логи Shodan и аналогичных поисковых систем, роботы которых любезно все сделали за атакующего.

В публичном доступе могут находится всевозможные серверы, которые могут нести в себе специфику деятельности целевой организации и хранить ценную информацию. К примеру, если говорить о медицинских компаниях, то их периметр содержит DICOM-устройства и PACS-серверы (picture archiving and communication system). Это медицинские системы, основанные на стандарте DICOM (digital imaging and communications in medicine, отраслевой стандарт создания, хранения, передачи и визуализации медицинских изображений и документов обследованных пациентов) и состоящие из следующих компонентов:

• DICOM-клиент - медицинское устройство, обладающее возможностью передачи информации DICOM-серверу;
• DICOM-сервер - программно-аппаратный комплекс, который обеспечивает получение и хранение информации от клиентов (в частности, к таким устройствам относятся PACS-серверы);
• диагностическая DICOM-станция и DICOM-принтеры - программно-аппаратный комплекс, отвечающий за обработку, визуализацию и печать медицинских изображений.

Отличительная особенность большинства данных систем - наличие веб-интерфейса для управления ими через Сеть. Здесь могут обнаружиться уязвимости, которые злоумышленник может использовать для получения доступа к ценной информации и процессам. Стоит подробнее рассмотреть эти системы и проверить, доступны ли они из интернета, то есть служат ли потенциальной точкой входа для злоумышленника.

И социальная инженерия

Есть в американской разведке такая дисциплина, как OSINT (Open source intelligence), которая отвечает за поиск, сбор и выбор информации из общедоступных источников. К одному из крупнейших поставщиков общедоступной информации можно отнести социальные сети. Ведь практически у каждого из нас есть учетка в одной или нескольких соцсетях. Тут мы делимся своими новостями, личными фотографиями, вкусами (например, лайкая что-то или вступая в какую-либо группу или спор), кругом своих знакомств. Причем делаем это по своей доброй воле и практически совершенно не задумываемся о возможных последствиях. Исходя из этого если есть цель собрать определенные данные то для успешной разведки можно воспользоваться специальными утилитами. Существует несколько open source утилит, позволяющих вытаскивать информацию о пользователях из соцсетей.

Закрепиться внутри корпоративного периметра эффективно позволяет использование различных сценариев социальной инженерии. Например, рассылка фишинговых сообщений, которые содержат вредоносные вложения или ссылки, ведущие на фишинговые ресурсы.

Для реализации данных сценариев атакующий также должен собрать информацию об объекте атаки, чтобы увеличить вероятность, что адресат перейдет по ссылке в письме или откроет вложение. В настоящее время службы безопасности крупных организаций стараются повышать осведомленность своих сотрудников о вредоносной корреспонденции, что явно не идет на пользу злоумышленникам. Теперь злодеям необходимо не только обойти спам-фильтры жертвы и доставить «полезную нагрузку» в Inbox, но и мотивировать объект атаки выполнить необходимые действия и, самое главное, не вызвать подозрений.

Обилие социальных сетей, а также «раскрепощенность» типичного их пользователя предоставляет атакующему возможность извлечь информацию о своей жертве и составить убедительный контекст «полезной нагрузки»: текст сопроводительного письма, стиль коммуникации.

Это творческая задача, и зависит она от конкретной ситуации, но в качестве общего примера можно привести ресурс, который использует открытые API популярных соцсетей для извлечения ценной информации об учетной записи.

К примеру, атакующий, обратившись к LinkedIn, смог определить ключевых сотрудников для организации атаки spear-phishing, их имена, фамилии, контактные данные (электронную почту). Используя эти данные, несложно найти аккаунты этих сотрудников в других соцсетях, например в Facebook. При помощи веб-сервиса атакующий может собрать интересную статистику своих жертв, например где и в каких отелях они «чекинились». Далее от имени отеля злодей может отправить сообщение с напоминанием об супер-акции Resort Fee и прикрепленным инвайтом в виде PDF-документа.

Не менее полезную информацию может принести анализ текущих вакансий в кампании. Вот к примеру ПОДРОБНЫЙ перечень инструментов на ключевую должность в секторе защиты информации крупной фирмы.

Потрібні спеціалісти для:

розробки контенту моніторингу інформаційної безпеки (ArcSight)

розробки / конфігурації ArcSight connectors

підтримки комплексу моніторингу інформаційної безпеки (ArcSight ESM, ArcSight Logger, ArcSight Command Center, ArcSight smart (flex) connectors, Imperva SecureSphere); 

підтримки систем централізованого збору логів (Syslog, Event Log Collector)

Є перевагою знання:

розробка / конфігурація ArcSight connectors

основи розробки контенту моніторингу під ArcSight

знання SQL (Oracle)

знання regex

знання протоколів Syslog (адміністрування Syslog NG), Event Log (адміністрування Microsoft Event Log Collector)

знання операційних систем Linux (Red Hat Enterprise Linux Server), Windows Server, Active Directory, знання принципів роботи комунікаційного устаткування і основних категорій систем інформаційної безпеки (IPS / HIPS, FW, WAF, Proxy, AV, DLP, IDM)

знання з адміністрування ArcSight ESM, ArcSight Logger, ArcSight Command Center

адміністрування Imperva SecureSphere.

Впечатляет!

Вот еще одна. 

Требования:

Вища технічна освіта. Досвід роботи з активним та пасивним мережевим обладнанням MikroTik. Знання та досвід адміністрування (OC Windows Server, Linux). Знання та досвід адміністрування СУБД MySQL. Отличное владение пользовательскими версиями ОС Windows 7-10.

Обязанности:

Забезпечує адміністрування локальної мережі (налаштування маршрутизаторів, оновлення та архівування прошивок). Адміністрування серверів (домен, пошта, web-сервер, проксі, діловодство, сервер БД та ін.). Адміністрування баз даних MySQL (оптимізація, резервне копіювання, розмежування доступу та ін.). Створення резервних копій основних сервісів

Надається перевага: Знання систем віртуалізації VMWare. Досвід адміністрування СУБД PostgreSQL, MS SQL, Oracle.

Активне життя колективу (он-лайн вікторини, флешмоби, участь у зйомках відео, виїзні змагання з футболу/волейболу/настільного тенісу та багато іншого).

Можно оценить парк ОС и баз данных, их версии. Зайти на сайт кампании и по анализу скриптов вычислить версии упомянутых баз данных. Там же по активной жизни коллектива (наверняка есть фото и видео в сети, с шашлыками) попробовать собрать информацию про конкретного сотрудника. Его предпочтения, знакомства, симпатии, дружбу.

Удачи в поисках.