понедельник, 16 мая 2016 г.

Как взламывают корпоративные сети (презентация и видео)

На одной из конференций Security Day компании CTI был проведен интересный эксперимент доказывающий каким образом можно выполнять убийственную цепочку (kill chain) и проникнуть внутрь хорошо защищенной корпоративной сети.

И так, предварительно  для тех, кто еще не в теме, кратко поясним о чем речь. 

Убийственная цепочка (англ. kill chain) - это ряд последовательных действия со стороны злоумышленника по поэтапному проникновению внутрь защищаемого периметра (см. рисунок ниже). 

Весь путь состоит из 7 этапов:
  1. Разведка (сканирование, исследование)
  2. Вооружение (выбор фрейворка для провидения атаки со стороны злоумышленника)
  3. Доставка (подключение к целевой системе с целью атаки)
  4. Эксплуатации уязвимости
  5. Установка вредоносного ПО
  6. Управление зараженной системой
  7. Действия на цель (например, НСД и копирование конфиденциальной информации)
Однако, не все угрозы нужно использовать на каждом этапе, ровно также как действия, доступные на каждом этапе могут варьироваться, создавая практически неограниченное разнообразие производимой атаке.



А следующий рисунок ниже иллюстрирует нам средства защиты информации доступные не том или ином этапе всей убийственной цепочки.



Теперь непосредственно к самому эксперименту.

Алексей Лукацкий, один из приглашенных гостей и одновременно очевидец этого мероприятия, рассказывает:

Идея Максима Лукина, руководителя направления ИБ CTI, который начал свое выступление с того, что предложил любому участнику семинара "взломать" его компанию за время проведения мероприятия. Тому, кто не побоится назвать имя своей компании для проведения теста на проникновения, был предложен приз в виде бутылки хорошего виски. Что характерно, нашлась только одна компания, представитель которой не побоялся предложить себя в качестве подопытного кролика. Для чистоты эксперимента было названо только имя компании (по понятным причинам я его называть не буду) и специалисты CTI приступили к работе. 

Спустя всего час с небольшим они вышли с участниками на связь по Cisco Webex и продемонстрировали первые результаты:
  • в Интернет была найдена информация о компании и отдельных ее сотрудниках
  • сотрудники CTI связались с сотрудницей компании, представившись потенциальным клиентом
  • сотруднице прислали запароленный архив с документами якобы для анализа и последующего заключения договора
  • в архиве находились не самые свежие (4-5-тидневной выдержки) вредоносы, на которые ругнулся антивирус ESET Nod32
  • "клиент" пообещал прислать новый "небитый" файл, что и сделал спустя несколько минут, запаковав за это время малварь так, чтобы Nod32 ее не распознал
  • сотрудница компании-жертвы запустила файл, который и заразил ее компьютер
  • часть случайно собранных на жестком диске файлов была слита на Яндекс.Диск в качестве демонстрации.
На все ушло около часа, что поразило (как мне показалось) аудиторию, которая и не подозревала, что осуществить проникновение так легко и что имеющиеся технические средства не сильно помогли от социального инжиниринга и целенаправленно подготовленной угрозы (хоть и на базе не самого свежего вредоноса).


А вот и презентация с того вечера


Болевые точки корпоративной сети: взгляд не со стороны службы ИБ  



В презентации с той встречи было три видео: 
  • отправка фальшивого e-mail от имени главы Сбербанка, ЦБ или налоговой, 
  • установка аппаратной закладки для IP-телефона с последующим перехватов всего корпоративного трафика 
  • и создание фальшивой точки доступа и перехват с расшифрованием беспроводного трафика. 

Из них у меня пока выложено только одно - про фальшивые почтовые сообщения.

Отправка фальшивых постовых сообщений  с целью проникновения в корпоративную сеть



В целом же моя презентация могла бы быть озвучена в виде трехминутного ролика, который я в свое время готовил для одной из заметок:


Комментариев нет:

Отправить комментарий

Вы можете добавить свой комментарий...

Примечание. Отправлять комментарии могут только участники этого блога.