Чужой в банке: гость, которого не ждали
Исходя из практики проведения аудита защищенности, социальная инженерия является одним из наиболее эффективных векторов атаки, поскольку человеческий фактор - наиболее трудно контролируемый при обеспечении безопасности. Рядовые сотрудники банка, уровень технической осведомленности которых ниже, чем у работников информационных отделов, чаще всего доверчивы, и не подозревают, чем может грозить открытие фишинговых писем и запуск вложений. Злоумышленники способны найти почтовые адреса сотрудников из открытых источников и составить такое письмо, которое заинтересует пользователя скачать вредоносный файл или перейти на фишинговый сайт и ввести туда свои корпоративные учетные данные. При этом, письмо может быть оформлено в корпоративном стиле, что не вызовет подозрения.
БДИТЕЛЬНОСТЬ, БЫВАЕТ, ПРИТУПЛЯЕТСЯ
Помимо этого, есть сотрудники, работа которых связана с тем, что они обязаны открывать файлы из интернета (сотрудники кадрового отдела, менеджеры, техническая поддержка и т.д.). Вполне возможно, что ближе к концу рабочего дня их бдительность ослабевает, и злоумышленники могут воспользоваться этим.
?В процессе подготовки атаки злоумышленники могут зарегистрировать доменное имя, схожее с легитимным названием, сформировать вредоносные вложения, которые при запуске закрепятся в системе и предоставят им полный доступ к зараженной машине, проверят почтовые серверы на некорректную конфигурацию. Если они настроены неправильно, то при подключении к ним появляется возможность рассылать письма сотрудникам банка от любого имени (коллеги, руководителя, бухгалтера).
ПОД КОНТРОЛЕМ ТРЕТЬЕГО ЛИЦА
Наш опыт проведения тестов на проникновение с использованием социальной инженерии демонстрирует, что в подавляющем большинстве случаев хотя бы один сотрудник запускал вредоносное вложение, вследствие чего его компьютер оказывался под контролем третьего лица (в частности, нашего специалиста).
Как показывает практика, безопасность внутренней сети организаций находится на низком уровне и, как правило, получив доступ на одной или нескольких машинах, используя уязвимости ПО, словарные пароли, некорректную настройку групповых политик и т.д., нам удавалось захватить контроллер домена, а значит, мы получали возможность влиять на целостность, доступность всей инфраструктуры.
ЦЕПОЧКА УЯЗВИМОСТЕЙ
Еще одним случаем, когда удалось получить доступ к ключевым компонентам системы, являлась ситуация, при которой администраторский сегмент сайта использовал стандартные учетные данные. Его функционал позволял администраторам системы выполнять различные скрипты, а также произвольный код на уровне ОС. Просканировав внутреннюю сеть и выявив уязвимые компоненты, нам также удалось захватить контроллер домена, используя цепочку уязвимостей.
УСТАРЕВШЕЕ ПО
Нередко встречаются случаи, когда система использует устаревшее ПО с общеизвестными уязвимостями. Так, в ходе одного из аудитов защищенности было выявлено, что сайт банка подвержен уязвимости MS15-034, позволяющей удаленно считывать фрагменты памяти веб-сервера, в одном из которых были обнаружены несколько корпоративных учетных записей, использованных в дальнейшем для развития атаки во внутреннюю сеть.
Не редки ситуации, когда банки используют не готовые решения, а собственное ПО с небезопасным кодом. Найденные в них веб-уязвимости (DirectoryTraversal, SQL- injection) позволяли получить доступ к базам данных и совершать любые действия с ними (развивать атаку внутрь сети, контроль файлов, баз). В ряде случаев, из-за избыточных привилегий учетной записи, которая взаимодействовала с базой данных, нам удавалось получить выполнение произвольных команд на уровне ОС.
ЗАМЕТАЮТ СЛЕДЫ
Обычно атака разделена на несколько этапов: проникновение, закрепление и вывод денежных средств. После того, как работа закончена, злоумышленники старательно “заметают” следы, удаляя из системы вредоносное ПО, логи и прочие "отметки", которые могут привести к ним. Поэтому очень часто невозможно найти убедительное подтверждение того, что именно так или иначе была произведена атака.
ОСНОВНЫЕ ЦЕЛИ
Одной из основных целей для злоумышленников, попавших внутрь системы конкретного банка, является АРМ КБР, SWIFT (международная система совершения платежей), АБС (содержащая все данные о счетах клиентов), ДБО (системы, процессинг).
Стоит рассмотреть пример с атакой на АРМ КБР. Суть её - в простой подмене входных данных для АРМ КБР - платежного XML документа. FinCERT дает статистику попыток хищения данным методом на конец 2015 – начало 2016 года на сумму 2,87 млрд. руб.
Сценарий, завязанный на подмене передаваемых данных, возможно реализовать в отношении SWIFT. Либо, учитывая, что данные из АБС всегда попадают на АРМ КБР, захватив контроль над АБС, у злоумышленника появляется возможность подделывать информацию о платежных переводах, которые будут попадать в АРМ КБР. Количество различных вариантов атак на внутренние связи между банками, различные варианты систем переводов, связей с банкоматами и т.д. очень велико.
Защита на уровне внешних атак не имеет смысла, если внутренний сегмент сети остаётся практически беззащитным. Особенно в таких критичных точках банка, как АРМ КБР, SWIFT и т.д. Под удар данные системы ставит невыполнение простых базовых рекомендаций, включая создание отдельного сегмента сети для данных критичных систем, использование электронных цифровых подписей, аппаратных токенов для АРМ КБР, вывод информации из корпоративного домена и т.д.
НАБОР ПРОБЛЕМ
Стоит отметить, что против таргетированных атак антивирусные системы практически бессильны. Основные проблемы, которые встречаются в ходе аудита защищенности, - это наличие избыточных привилегий пользователей на рабочей станции, отсутствие сегментации сети, устаревшее ПО, самописные сервисы, имеющие множество уязвимостей, отсутствие средств защиты (ids/ips). Поскольку они нередко существуют в банках разного уровня, захват контроллера домена в большинстве случаев не представляет собой большой проблемы для атакующих. Далее, злоумышленники получают возможность завладеть контролем над всей инфраструктурой (серверами, базами данных, банкоматами, терминалами), создавать мошеннические платежные поручения, выводить деньги, изменять данные в базах данных, заражать банкоматы и многое другое.
Резюмируя вышесказанное, можно отметить, что ключевым моментом является не то, что злоумышленнику удалось проникнуть внутрь системы, а то, насколько правильно и безопасно построена инфраструктура. Не всегда злоумышленнику нужно ломать банк снаружи, он может устроиться совершенно легально в данный банк сотрудником и иметь доступ во внутреннюю сеть. Обязательно должна быть сегментация сети, которая избавит от множества проблем, и строгая фильтрация между сегментами. К примеру, даже если серверный сегмент использует уязвимое ПО, но доступ к нему имеют только администраторы сети, то нарушителю будет крайне трудно проэксплуатировать уязвимости, поскольку изначально ему нужно будет получить контроль над машиной администратора. Помимо этого, основными рекомендациями также являются корректное разделение привилегий у учетных записей, обновление всего ПО до актуальных версий, внедрение антивирусных и мониторинговых средств и регулярное проведение аудита защищенности как своими силами, так и при помощи привлечения аутсорсинга. Неотъемлемой частью в обеспечении безопасности также является организация тренингов для сотрудников с целью повышения уровня технической осведомленности, на которых стоит показывать, как безопасно работать с поступающими письмами, вложениями.
(1).png)