Журнал "Information Security/ Информационная безопасность" #6, 2019

Обыкновенный e-mail – наверное, основной транс- порт для проведения соци- альной инженерии, он при- меняется уже пару десятков лет и иногда приводит к самым необычным послед- ствиям. Часть 1. Why so serious? Представьте себе такую ситуацию. Холод- ное октябрьское утро, проектный институт в областном центре одно- го из регионов России. Кто-то из отдела кадров заходит на одну из стра- ниц вакансий на сайте института, размещенную пару дней назад, и видит примерно то, что изображено на рис. 1 (снимки экрана здесь и далее немного заретушированы, чтобы не раскрыть исходных имен). Утро быстро перестает быть скучным: кто-то разместил на странице вакансий фотографию кота. Через некоторое время отдел кадров удаляет фото, но оно упорно возвращается, его опять удаляют, и так происходит еще несколько раз. Отдел кад- ров понимает, что намерения у кота самые серьезные, уходить он не хочет, и призывает на помощь Web-программиста – человека, который делал сайт и разбирается в нем, а сейчас его администрирует. Програм- мист заходит на сайт, еще раз удаляет надоевшего кота, выявляет, что его разместили от имени самого отдела кадров, затем делает предположение, что пароль отдела кадров утек к каким-то сетевым хулиганам, и меняет его. Кот больше не появляется. Что произошло на самом деле? В отношении группы ком- паний, куда входил институт, специалистами Group-IB прово- дилось тестирование на про- никновение в формате, близком к Red Teaming (проще говоря, это имитация целевых атак на компанию с использованием самых продвинутых методов и инструментов из арсенала хакерских группировок). О Red Teaming мы поговорим в отдель- ной статье, но важно знать, что при таком тесте может приме- няться очень широкий спектр атак из заранее согласованных, в том числе социальная инже- нерия. Понятно, что само раз- мещение кота не было конечной целью происходящего. А про- изошло следующее: 1. Web-сайт института был размещен на сервере в самой сети института, а не на сторон- них серверах. 2. Найдена утечка учетной записи отдела кадров (файл журнала писем в корне сайта). Администрировать сайт с этой учетной записью было нельзя, но можно было редактировать страницы вакансий. 3. Изменяя страницы, можно было разместить свои скрипты на языке JavaScript. Обычно они делают страницы интерактив- ными, но в данной ситуации этими же скриптами можно было похитить из браузера посетителя то, что отличало отдел кадров от программиста, а программи- ста от простого посетителя, – идентификатор сессии на сайте. Кот был триггером атаки и кар- тинкой для привлечения внима- ния. На языке разметки сайтов HTML это выглядело так: если загрузилась картинка, JavaScript уже исполнился, а идентифика- тор сессии вместе с данными о вашем браузере и IP-адресе уже был похищен. С похищенным идентифика- тором сессии администратора можно было бы получить пол- ный доступ к сайту, размещать исполняемые страницы на языке PHP, а значит получить выход в операционную систему сервера, а затем уже и в саму локальную сеть, что и было важной промежуточной целью проекта. 32 • ТЕХНОЛОГИИ Обмани меня, если сможешь: особенности проведения социотехнического пентеста этой статье рассмотрим примеры социальной инженерии, новые способы обхода защиты и варианты проверки безопасности “самого слабого звена”. В Павел Супрунюк, технический руководитель Департамента аудита и консалтинга компании Group-IB Рис. 1.