cybersecurity

Blackbox тестирование на проникновение

Финансы
Blackbox тестирование на проникновение
Location Европа
Branch Финансы
Technologies
Solution
Тестирование
Terms
3 месяца полностью завершен

Защита финансовых границ

Клиент - международный банк с общими активами 2,5 миллиарда долларов США. Наша команда по тестированию на проникновение получила задание сымитировать реальную хакерскую атаку на отделение банка в Центральной Европе в рамках проверки безопасности клиентских данных и соответствия требованиям. Тест на проникновение проводился с точки зрения "черного ящика" (то есть ноль исходной информации, кроме названия организации-мишени). Путем построения атаки мы смогли получить доступ к основным процессинговым системам и системе SWIFT. Более того, команда нашла способ переводить деньги с одного банковского счета на другой от имени других клиентов. Таким образом, цель теста была успешно достигнута.

Защита финансовых границ

ЧТО БЫЛО СДЕЛАНО

ЧТО БЫЛО СДЕЛАНО

ОСОБЕННОСТИ ТЕСТИРОВАНИЯ

Подготовка

  • Чтобы обеспечить точные результаты, наша команда использовала как ручные, так и автоматизированные инструменты и методы тестирования. В начале теста на проникновение мы обнаружили уязвимость во внешней сети банка. Мы разработали дроппер (разновидность трояна) для установки нашего вредоносного программного обеспечения на целевую систему. С помощью фишинговой атаки этот дроппер был загружен на компьютер в сети клиента. Дроппер содержал вредоносное программное обеспечение, которое воспроизводило себя в нескольких местах для устойчивости и мигрировало от одного процесса к другому. Первоначально загруженный как текстовый файл, он с помощью макросов трансформировался во вредоносный код таким образом, чтобы избежать обнаружения антивирусными сканерами. Таким образом, ни системы безопасности, ни брандмауэры и антивирусные решения не обнаружили проводимую в сети злонамеренную активность.

Компрометация HTTP-соединения:

  • Далее мы обнаружили, что https-соединение осуществлялось через Amazon CDN. Таким образом, мы зарегистрировали домен на Amazon, который служил нам для создания псевдонима и компиляции запросов банка, перенаправляя их на наш собственный сервер. Таким образом, ИТ-команда банка понимала, что соединение из их внутренней сети было направлено на Amazon, что, однако, могло означать обмен любыми обновлениями. Таким образом, неявное соединение позволило “злоумышленнику” остаться незамеченным.

Сценарий взлома:

  • Получение полного доступа. Проникнув во внутреннюю сеть, мы собрали приватные данные пользователей и основные учетные данные, повысили привилегии до роли администратора домена, захватили домен и получили полный контроль над системой. На этом наша задача была выполнена. Однако хакеры в реальном мире смогли бы пойти дальше к основным системам обработки данных и провести нежелательные транзакции.

РЕЗУЛЬТАТ

Симуляция действий противника позволила нам продемонстрировать полный путь компрометации путем использования одной уязвимости во внешней сети в сочетании с одной успешной фишинговой атакой. На этапе устранения последствий мы тесно сотрудничали с командой IT-безопасности клиента, чтобы немедленно устранить все найденные уязвимости и применить лучшие практики безопасности. Благодаря этому тесту на проникновение банку удалось избежать компрометации учетных записей пользователей и уменьшить бизнес-риски, такие как потеря финансов и данных, а также репутационные убытки. В результате наш клиент разработал лучшие практики безопасности и смог соответствовать высокому уровню комплаенса и регуляторных стандартов.

РЕЗУЛЬТАТ
Chat with manager