Информационная безопасность IT

В предыдущих частях (часть 1 и часть 2) мы рассмотрели основные действия злоумышленника, осуществляемые для сбора информации в открытых источниках о внешнем периметре организации, а также для поиска адресов корпоративной электронной почты. Последние могут быть использованы преступником для заражения внутренних систем компании вредоносным ПО, однако для этого необходимо, чтобы зловредное письмо было хотя бы открыто. Что же сделает киберпреступник, если этого не произойдет? Отступит? Нет, подойдет к делу более целенаправленно.

На текущий момент, практически любой человек имеет профиль в популярных социальных сетях: Facebook, ВКонтакте, Twitter или Instagram. Такие аккаунты являются ценным источником информации о работе, увлечениях, характере и ближайшем окружении людей. Для формирования более целенаправленного письма, для вызова эмоционального отклика у адресата и, как следствие, для повышения шанса открытия вложения злоумышленники нередко используют открытые данные о работниках целевой компании.

Отправной точкой для поиска личных данных сотрудников является официальный сайт организации, а именно разделы «Контакты», «О нас» и т.д. Опять же, администраторы зачастую оставляют свою контактную информацию при регистрации доменных имен или при оформлении сертификата (см. часть 1).

Поиск информации обычно производится при помощи универсальных поисковых движков, например, Google, Yandex и т.д.

Или, как вариант, при помощи возможностей социальных сетей.

В «Друзьях», выявленных сотрудников целевой компании, всегда найдется парочка коллег. Также всегда существует вероятность, что человек оставил раскрытой дополнительную контактную информацию, например, адрес личной электронной почты, номер телефона или ссылки на другие социальные сети.

Помимо самих данных пользователя, представленных в аккаунте, злоумышленника интересуют используемые логины, никнэймы, номера и другие идентификаторы, по которым можно продолжать поиск на других ресурсах: к примеру, по никнэйму администратора можно найти его репозиторий на Github или аккаунт в LiveJournal, где он рассказывает о специфике работы корпоративных серверов или делится мнением о том, какие пароли лучше использовать.

Именно к паролям специалисты регулярно наблюдают крайне пренебрежительное отношение. Мало кто из сотрудников и даже руководителей компаний может допустить мысль о большой вероятности кражи пароля. По этой причине, взломы различных учетных записей, кражи персональных данных, утечки баз данных не сходят с заголовков информационных ресурсов. Объемные кластеры информации и коды аутентификации регулярно появляются в продаже на нелегальных форумах в даркнете. Причем, не нужно ждать взлома нужной компании, – достаточно найти пароли от аккаунтов работников на сторонних ресурсах, которые, как это ни странно, очень часто подходят и для рабочих учеток.

Для того, чтобы проверить не стали ли Ваши данные достоянием интернет-общественности, как нельзя лучше подходит агрегатор утечек haveibeenpwned.com. Вводим почтовый ящик в строку поиска и получаем список утечек, содержащих указанный адрес.

В целях автоматизации описанных действий по поиску информации в открытых источниках, создаются мощные фреймворки для OSINT, например, Maltego, Lampyre и Datasploit. Правда, часть из них являются платными, а для своей работы они требуют множество API-ключей, чтобы подключаться к различным ресурсам.

В конечном итоге, злоумышленник получает массу личной информации о сотрудниках для формирования более персонализированных писем, а также аутентификационные данные, которые могли быть использованы на других ресурсах.

Если и это не помогло: отправленные письма заблокированы спам-фильтром и антивирусом, а все обнаруженные пароли уже давным-давно изменены, — то в таком случае, крайне целеустремленный злоумышленник может попытаться «подобраться поближе». Об этом расскажем в следующей части.

Текст: команда Origin Security

Ссылка на источник статьи

Уже хорошо, но чем больше адресов обнаружит злоумышленник, тем больше вероятность успешного проникновения. Ищем дальше:

Добавление всего одного символа в поисковую строку существенно расширило количество полученных адресов. Однако, мало кто готов тратить собственное время на сбор информации вручную.

В подавляющем большинстве случаев, злоумышленник будет использовать автоматизированный поиск. В этом ему может помочь дополнительное ПО. Для примера, используем широко известную программу из состава дистрибутива Kali – theHarvester и получаем список интересующих нас адресов, не прилагая никаких усилий:

Также для поиска адресов электронной почты отлично подходят SimplyEmail, h8mail. В Рунете хорошо себя показывает ePochta.

Третий вариант еще проще. Адреса электронной почты можно найти с помощью общедоступного сервиса hunter.io, созданного с благородной целью облегчения взаимодействия между компаниями:

Таких же результатов позволяет достичь использование соответствующего расширения для интернет-браузера.

После сбора данных, злоумышленник приступает к анализу обнаруженных логинов. Это позволяет сделать вывод о маске (если таковая имеется), которая используется для генерации пользовательских имен. Кстати, открытый сервис hunter.io тоже в состоянии это сделать. Вышеописанные действия помогают потенциальному преступнику составить список дополнительных «возможных» почтовых адресов компании, на которые и будут осуществляться вредоносные рассылки.

Кража аутентификационных данных с помощью фишинговых атак, распространение писем, содержащих трояны для осуществления удаленного доступа, и шифровальщиков для получения прибыли, — это лишь основной список злонамеренных мероприятий, в которых киберпреступник использует приобретенную информацию. Для формирования подобных рассылок, в целях повышения шанса на успех, обычно используются методы социальной инженерии и темы общей направленности, рутинные для большинства компаний, такие как бухгалтерская отчетность, согласование документов и пр.

Предположим, что работники организации оказались хорошо проинформированы по поводу рисков при работе с электронной почтой, и ни одно вредоносное письмо не было открыто (маловероятно, но все же). Тогда злоумышленнику необходимо действовать более целенаправленно. А как именно, мы расскажем в следующей части.

Интернет знает о Вас больше, чем Вы думаете

Иллюзия того, что злоумышленникам практически не под силу получить доступ к чужому компьютеру или проникнуть во внутреннюю сеть компании, постепенно уходит в прошлое. Если обратиться к заголовкам официальных СМИ, которые все чаще сообщают о взломах различных информационных систем, сложных целенаправленных атаках на финансовые организации, предприятия и даже целые города, — становится ясно, что киберпреступления стали явлением регулярным и распространенным. Как показывает практика, все взломы начинаются с поиска информации о цели, а некоторые атаки на этом этапе и заканчиваются.

Поиск информации в открытых источниках (OSINT – Open Source Intelligence) — довольно обширная тема. Этим материалом мы начинаем цикл статей, раскрывающих последовательность действий злоумышленников и выводы, которые могут быть ими сделаны в результате сбора информации о компании.

Первые шаги: выявление и анализ области будущих атак (диапазона IP-адресов).

Предположим, что ваша компания приглянулась некоему субъекту с наклонностями к вредительству. Какую информацию он может получить в Сети?

Рассмотрим абсолютно законные методы. Начнем с поисковых движков: Google, Yandex и им подобных. Вводим в поисковой строке название фирмы и получаем официальный сайт, который сейчас есть у каждой уважающей себя компании.

Отправная точка есть, с этим и будем работать.

Дальше, подробно по шагам:

1. Рассмотрим, на какой платформе развернут ресурс и какие технологии применяются. Для этого даже не надо выходить из браузера: используем плагин Wappalyzer.

Нашли CMS, значит и панель администрирования можно поискать по стандартным путям и проверить учетные данные администратора, установленные по умолчанию.

2. Список того, что пытаются «скрыть» администраторы от поисковых движков находится в robots.txt:

3. Установим какие документы содержит сайт и какие метаданные они содержат. В этом нам поможет FOCA (Fingerprinting Organizations with Collected Archives):

В результате анализа этих данных, можно получить информацию о внутренней структуре сети: домен/рабочая группа, внутренние сервисы, порядок именования сетевых объектов, логины доменных пользователей, адресацию сети, используемое ПО и не только.

4. Поищем информацию о дате истечения регистрации доменного имени в любом доступном whois сервисе, к примеру, на reg.ru:

Зачем это делать злоумышленникам? Киберсквоттеры – злоумышленники, занимающиеся угоном доменных имен, у которых истекает срок регистрации. В этом случае, компания рискует потерять доступ к своему сайту, если администраторы не решат вопрос заранее. На сегодняшний день также существует распространенная практика покупки имен в других доменных зонах с целью компрометации ресурса и вымогания денег за прекращение таких действий. В данном случае, регистрация продлена.

5. Ищем сайты в других зонах. Для этого хорошо подходят регистраторы доменных имен, как уже упомянутый, reg.ru или seo-анализаторы (cy-pr.com, pr-cy.ru и пр.). Нашли. Возможно, это старый, давно забытый сайт с уязвимостями. Повторяем предыдущие этапы для них.

6. Проверим принадлежность хостинг-площадки у сайта: собственная или арендованная.

В данном случае используется хостинговая площадка NIC.ru. Неплохой выбор. В случае уязвимой платформы появляется возможность получить доступ к необходимому ресурсу, либо к неправильно настроенному веб-серверу через уязвимый сайт. В любом случае, стоит посмотреть какие сайты располагаются на той же площадке (2ip.ru, вкладка «Сайты на одном IP»).

7. Поищем сервисы в интересуемой доменной зоне:

Для начала получим доменные серверы, обслуживающие зону и почтовые серверы. Для этого можно использовать стандартную утилиту nslookup или же воспользоваться одним из множества сервисов в сети, к примеру infobyip.com.

Информацию о доменной зоне можно получить несколькими путями:

Получить у DNS-сервера (если он неправильно настроен). Для проверки отлично подойдет утилита dnsrecon, входящая в состав дистрибутива Kali.

dnsrecon -d ********.com -t axfr

Перебором зоны. Для перебора хорошо подойдет утилита dnsmap.

dnsmap *********.com

8. Поищем домены в других источниках:

Проанализируем сертификаты при помощи сервиса Сensys:

В данном случае не пришлось обращаться к DNS-серверу организации.

9. А теперь найдем внешний периметр организации (если до сих пор не нашли):

Или же можно использовать полученные данные о доменной зоне и посмотреть, как разрешаются имена:

Получаем приблизительные диапазоны IP-адресов. Подтвердим с помощью анализа сервисов.

10. Анализ сервисов проводим все в тех же Shodan и Censys. Есть возможность, что поисковые сервисы проиндексировали уязвимый сервис, «подсветили» его и написали номер уязвимости.

Результаты беглого поиска по открытым источникам информации.

После проведения вышеописанных действий, выявляется диапазон IP-адресов, используемых интересуемой организацией, и список сервисов, размещенных на них, либо на арендуемых площадках. Далее злоумышленник анализирует полученную информацию, подготавливает и проводит различные компьютерные атаки по наименее защищенному направлению.

В случае если внешний периметр остается неприступен, преступник может использовать электронную почту для проникновения внутрь сети. Но это уже совсем другая история…

Текст: команда Origin Security

Ссылка на источник статьи

Rubber Ducky — известное хакерское устройство, давно знакомое специалистам по информационной безопасности (и любителям сериала Mr. Robot). Первая версия вышла более десяти лет назад. С виду обычная флешка при подключении выдаёт себя за USB-клавиатуру и запускает произвольный скрипт. Это позволяет проводить необычные атаки, которые сложно обнаружить с помощью антивируса.

Атака Rubber Ducky — просто последовательность нажатий клавиш (чтобы открыть консоль и ввести в ней некоторые команды).

Никаких вредоносных файлов на флешке нет. Это просто «клавиатура», на которой просто «нажимаются» определённые кнопки.

Она может активировать скрипт, который открывает PowerShell и собирает сохранённые пароли из браузера Chrome. Можно сохранить их на флешке или отправить на сервер под видом GET-запросов headless-браузера Chrome, чтобы не вызвать подозрения со стороны антивируса.

То-есть схема атаки такая:

Флешка вставляется в компьютер

В системе регистрируется новая USB-клавиатура

На исполнение автоматически запускается скрипт, который представляет собой одну конкретную последовательность нажатий клавиш.

Источник. Источник 2.