Кибербезопасность банков, пен-тестирование
Тестируем границы, укрепляем защиту
Клиент - международный банк с общими активами 900 миллионов долларов США. Банк предлагает весь спектр банковских услуг для частных и корпоративных клиентов.Нас попросили провести тест на проникновение с помощью социальной инженерии и попытаться получить доступ к внутренней сети банка, манипулируя его персоналом. Таким образом Клиент хотел проверить эффективность существующих решений безопасности в сочетании с информационными кампаниями среди сотрудников по кибер-гигиене.
ЧТО БЫЛО СДЕЛАНО
ЭТАПЫ ТЕСТИРОВАНИЯ
Разведка:
Изучение систем клиента заняло у нас неделю. Мы собрали информацию о программном обеспечении, ОС, браузерах, антивирусах, почтовых клиентах и т.д., которыми пользуются сотрудники. Мы также сосредоточились на формате электронного письма и других элементах фирменного стиля, новостях и событиях в компании – на всем, что могло вызвать доверие к письму, фишинговому сайту и целевой атаке.
ОСОБЕННОСТИ
Несмотря на зрелость кибербезопасности клиента, после недели разведки нам удалось обойти службы безопасности и проникнуть в систему с помощью одного из классических трюков – рассылки писем с вредоносными вложениями.
Уязвимость обхода песочницы:
- Мы установили, что клиент использует систему “песочницы”, которая анализирует вложения для обнаружения вредоносного программного обеспечения. Эта система выполняет ненадежный код в ограниченной среде, анализирует, какие действия он выполняет в системе, и определяет, является ли этот файл безопасным или нет. Такой метод предотвращает фишинговые атаки через вложения любого типа.
Мы применили специальные методы обучения, чтобы определить, как обойти этот фильтр. Проанализировав, как система запускает и изучает дерево процессов файла, мы смогли разработать вредоносное программное обеспечение, которое обманывает песочницу. Мы подготовили новую полезную нагрузку, которая прошла через антивирусный контроль, контроль сигнатур файлов и поведенческий анализ, и активировала код только через несколько дней, не проявляя себя как вредоносное программное обеспечение.
Сценарий взлома:
Несмотря на разнообразие креативных подходов, направленных на введение сотрудников в заблуждение, с технической точки зрения все сводится к двум действиям: фишинг для кражи данных учетной записи и запуск исполняемого файла для заражения устройства. В нашем случае открытие и запуск вложения к письму стало триггером для успешной работы скрипта.
РЕЗУЛЬТАТ
Обнаружив уязвимость обхода песочницы, наше вредоносное электронное письмо прошло этап защиты, и дроппер активировался на одном из устройств сотрудника. Далее мы установили соединение и через файлообменники нашли возможность перехватить определенные учетные записи, найти некорректно настроенный доступ к резервной копии и проложить свой путь через сеть для захвата домена. После завершения тестирования мы предоставили перечень возможных мер для восстановления необходимого уровня безопасности и помогли банку в кратчайшие сроки залатать пробелы в безопасности.