Олег Лабынцев, специалист по анализу защищенности УЦСБ, автор блога GigaHackers и лауреат премии «Киберпросвет», рассказал порталу Cyber Media о специфике фишинговых атак в рамках пентестов и редтим-проектов, наиболее чувствительных темах для пользователей и специфике атак с применением социальной инженерии в контексте импортозамещения.
Что представляет собой типовая инфраструктура для проведения анализа защищенности, из каких элементов она состоит?
Олег Лабынцев: Если проводится тестирование методами социальной инженерии, то необходимо подготовить выделенный сервер и домен для развертывания инфраструктуры под тестирование. Корректно настроить почтовый сервер, DNS-сервер, подготовить фронтенд для фишинга – веб-интерфейс, который будут видеть пользователи при переходе по фишинговой ссылке, настроить логирование введенных данных и фиксацию открытий файлов во вложениях. А также опционально, если подразумевается редтим-проект, подготовить сервер и агенты С2 (command & control) для дальнейшего продвижения в сети Заказчика после успешного фишинга на старте.
К каким последствиям при проведении пентеста или редтим-проекта может привести плохая инфраструктура, насколько от нее зависит успех проекта?
Олег Лабынцев: В первую очередь может пострадать качество итогового результата проекта. Заказчик может получить не тот результат, который он ожидал.
Например, может быть некорректно собрана статистика рассылки, в результате «попавшихся» пользователей можно упустить из виду. В случае с редтим-проектами при плохой инфраструктуре этот самый redteam может вовсе не начаться, так как социальная инженерия зачастую является одним из основных способов первоначального доступа в систему. Здесь важно позаботиться о работоспособности всех составляющих инфраструктуры, предварительно отработав каждый шаг, и действовать слаженно в команде.
Какие типовые ошибки совершает команда при развертывании, настройке и использовании инфраструктуры для проведения анализа защищенности?
Олег Лабынцев: Настройка инфраструктуры для проведения тестирования – дело тонкое. Нужно учитывать множество деталей и нюансов: позаботиться обо всех необходимых записях DNS, обеспечить логгирование, проверить работу полезной нагрузки, настроить HTTPS, убедиться, что в текстах писем нет опечаток, и так далее.
Здесь важно не торопиться, всё делать последовательно, использовать чек-листы и автоматизацию рутинных задач – это, кстати, позволяет в том числе ускорить развёртку инфраструктуры. Мы в своей работе так и поступаем, а для полной уверенности в результате привлекаем для контроля процесса опытных специалистов.
В рамках пентестов часто используется таргетированный фишинг, нацеленный на конкретную компанию или даже группу людей внутри нее. Как добывается информация для реализации такого подхода?
Олег Лабынцев: Используется самая разная информация, доступная во всемирной паутине. Здесь стоит помнить, что всё, что попало в Интернет, остаётся там навсегда.
Мы в своей работе базово начинаем с поисковых систем – при грамотном поиске с их помощью можно найти много интересного. А уже далее используем поиск по соцсетям, чтобы уточнять данные для целевых рассылок или определения подходящего отправителя.
В целом в ход идут как базовые методы OSINT, так и поиск по различным утечкам. Здесь всё ограничивается фантазией. Можно настолько углубиться, что получится узнать чуть ли не распорядок дня конкретного человека. Но на мой взгляд здесь надо искать золотую середину между временем, выделенным на реализацию проекта, и действительно важной информацией для проведения тестирования.
Российские компании активно импортозамещаются, переходят на российские почтовые клиенты, текстовые редакторы и т.д.. Как это сказывается на проведении атак с использованием социальной инженерии в рамках анализа защищенности?
Олег Лабынцев: Кто-то скажет, что это усложняет жизнь этичным (и не очень) хакерам и будет отчасти прав. Но на мой взгляд переход на российское ПО кардинально не меняет нашей работы в «социалке», мы лишь адаптируем старые техники под новые реалии. В первую очередь меняется содержимое тех же макросов.
Например, если в случае с классическим Microsoft Word мы использовали широко известную технику с VBA-макросами, то сейчас на российском рынке можно встретить офисный пакет, использующий в качестве макросов JavaScript.
Соответственно, необходимо больше времени на проведение исследований, чтобы научиться работать с новыми отечественными офисными пакетами, но общие принципы при проведении тестирований остаются без изменений.
Поделитесь опытом, с какими интересными или необычными кейсами, в контексте инфраструктуры для проведения пентестов, вы сталкивались?
Олег Лабынцев: Не так давно мы столкнулись с активным сопротивлением со стороны одного из популярных браузеров: он определил нашу фишинговую страницу как вредоносную и не отображал её конечному пользователю. Проблему удалось решить с помощью обфускации HTML – вышло неплохо, и пока это работает.
Ещё одно интересное наблюдение – QR-коды вызывают больше доверия у людей, чем мы могли подумать ранее. Если уделить верстке буклетов достаточно времени, то можно получить хороший импакт при проведении тестирования. При этом в плане инфраструктуры работа с QR-кодами во многом похожа на обычную фишинговую рассылку: нужно создать фишинговую страницу и подобрать подходящий домен.
По вашему опыту, какие тематики или инфоповоды эффективнее всего работают на сотрудниках компаний?
Олег Лабынцев: Люди всегда с особым трепетом относятся к своим финансам, поэтому один из самых результативных вариантов – сценарий, связанный с изменениями заработной платы.
Также отмечу сценарии, связанные с различными техническими проблемами. Например, можно сделать акцент на проблемах с доступом и вежливо попросить пользователя пройти по ссылке для разблокировки учетной записи.
Общая же тенденция, которую мы наблюдаем на наших проектах, такая: люди больше верят сценариям, направленным от имени кого-то из внутренних пользователей, службы безопасности или администраторов.
Интервью также можно прочитать на сайте портала Cyber Media.