Blackbox тестування на проникнення
Захист фінансових кордонів
Клієнт - міжнародний банк із загальними активами 2,5 мільярда доларів США.Наша команда з тестування на проникнення отримала завдання зімітувати реальну хакерську атаку на відділення банку в Центральній Європі в рамках перевірки безпеки клієнтських даних та відповідності вимогам. Тест на проникнення проводився з точки зору "чорного ящика" (тобто нуль початкової інформації, окрім назви організації-мішені).Шляхом побудови атаки ми змогли отримати доступ до основних процесингових систем та системи SWIFT. Більше того, команда знайшла спосіб переказувати гроші з одного банківського рахунку на інший від імені інших клієнтів. Таким чином, мета тесту була успішно досягнута.
ЩО БУЛО ЗРОБЛЕНО
ОСОБЛИВОСТІ ТЕСТУВАННЯ
Підготовка.
Щоб забезпечити точні результати, наша команда використовувала як ручні, так і автоматизовані інструменти та методи тестування. На початку тесту на проникнення ми виявили вразливість у зовнішній мережі банку. Ми розробили дроппер (різновид трояна) для встановлення нашого шкідливого програмного забезпечення на цільову систему. За допомогою фішингової атаки цей дроппер був завантажений на комп’ютер в мережі клієнта. Дроппер містив шкідливе програмне забезпечення, яке відтворювало себе в декількох місцях для стійкості та мігрувало від одного процесу до іншого. Спочатку завантажений як текстовий файл, він за допомогою макросів трансформувався у шкідливий код таким чином, щоб уникнути виявлення антивірусними сканерами. Таким чином, ні системи безпеки, ні брандмауери та антивірусні рішення не виявили зловмисну активність, що проводилася в мережі.
Компрометація HTTP-з’єднання:
Далі ми виявили, що https-з’єднання здійснювалося через Amazon CDN. Таким чином, ми зареєстрували домен на Amazon, який слугував нам для створення псевдоніму та компіляції запитів банку, перенаправляючи їх на наш власний сервер. Таким чином, ІТ-команда банку розуміла, що з’єднання з їхньої внутрішньої мережі було спрямоване на Amazon, що, однак, могло означати обмін будь-якими оновленнями. Таким чином, неявне з’єднання дозволило “зловмиснику” залишитися непоміченим.
Сценарій злому:
Отримання повного доступу. Проникнувши у внутрішню мережу, ми зібрали приватні дані користувачів та основні облікові дані, підвищили привілеї до ролі адміністратора домену, захопили домен і отримали повний контроль над системою. На цьому наша задача була виконана. Однак хакери в реальному світі змогли б піти далі до основних систем обробки даних і провести небажані транзакції.
РЕЗУЛЬТАТ
Симуляція дій противника дозволила нам продемонструвати повний шлях компрометації шляхом використання однієї вразливості в зовнішній мережі в поєднанні з однією успішною фішинговою атакою. На етапі усунення наслідків ми тісно співпрацювали з командою ІТ-безпеки клієнта, щоб негайно усунути всі знайдені вразливості та застосувати найкращі практики безпеки. Завдяки цьому тесту на проникнення банку вдалося уникнути компрометації облікових записів користувачів та зменшити бізнес-ризики, такі як втрата фінансів та даних, а також репутаційні збитки. В результаті наш клієнт розробив кращі практики безпеки і зміг відповідати найвищому рівню комплаєнсу та регуляторних стандартів.