Современная социнженерия на практике #1

Как подготовить и провести социотехнический пентест

Атаки с использованием социальной инженерии нынче стали чем- то обыденным и традиционным — как распространение вирусов или SQL-инъекции. Злоумышленники используют их для хищения средств, атак класса Advanced Persistent Threat (APT) и высоко- эффективного проникновения в корпоративную сеть, даже когда другие способы преодоления периметра не дают результатов. Пентестеры и этичные хакеры выполняют социотехнические проверки как в виде самостоятельных работ, так и в рамках комплексного тестирования на проникновение

Прежде всего, для успешного проведения большой и сложной атаки ее надо разделить на несколько этапов и последовательно решать маленькие задачи, что- бы успешно прийти к финишу. Этапы у нас будут следующие: разведка, подготовка, рассылка и разбор результатов.

РАЗВЕДКА/READY Смысл этого этапа, как ты уже догадался, — получение максимума сведений о целях социальной инженерии. • Чем занимается компания? Придется разобраться в этой области бизнеса. Деловые письма наверняка заинтересуют сотрудников. • Каковы текущие дела фирмы? К примеру, если недавно была сделка по поглощению или слиянию, можно попытаться воспользоваться возникшей неразберихой. • Как зовут сотрудников и каков формат их почтовых ящиков? Нам необходимо знать, куда слать наше творчество и как общаться с целями. • Какова структура компании? Какие есть должности и отделы? Организационная диаграмма нам пригодится: наивным секретаршам лучше будет слать мультики, а финансовому директору —отчеты с цифрами. Адреса топ-менеджеров и сотрудников службы безопасности пригодятся в особенности! • В каком офисе и городе они работают? Работают ли они все в одном месте или сидят порознь? Во сколько приходят и уходят? Не вызовет ли возглас «Ой, я какой-то файл за- пустила» цепную реакцию, которая завалит всю атаку? • Какое ПО используют сотрудники? ОС, браузеры, анти- вирусы, почтовые клиенты. Нам предстоит обнаружить потенциальные уязвимости и пережать вредоносное ПО так, чтобы обойти конкретные антивирусы. • Другие полезные сведения: формат почтового сообщения и прочие элементы фирменного стиля, новости и события в компании — все, что сделает письмо, фишинговый сайт и целевую атаку более правдоподобными. • Дополнительно будет полезно правильно выбрать дату. Например, приурочить атаку к какому-то празднику или к мировым событиям, особенно если они перекликаются с деятельностью компании. Конечно, мы всегда можем отправить классическое «Глянь, какая красивая картинка» или, к примеру, «Штрафы ГИБДД», не выяснив, есть ли у адресатов машина, но шанс спалиться будет очень высоким. Поэтому сбор данных и максимальная точность в подделках — немаловажный фактор при подготовке. Инструментария для этого этапа предостаточно. Можно начать с хитрых запросов в поисковиках и соцсетях, а также простых сборщиков почтовых адресов по доменному имени. Такие тулзы есть в виде standalone бинарников и скриптов или в виде плагинов для любимого Metasploit. Для серьезных слу- чаев есть огромные фреймворки, которые умеют строить графы и извлекать метатеги—такие делают в FOCA и MALTEGO. И конечно, никто не отменял уязвимые SMTP-серверы с воз- можностью проводить запросы VRFY/EXPN без авторизации и получать или перебирать почтовые адреса. Есть еще один способ — технически простой, но смелый. Взять и отправить письмо в отдел кадров или закупок. Прикинуться дурачком и попросить подсказать формат почтового сообщения; так будет получено имя первой цели. С другой стороны, активные работы на этом этапе не подразумеваются — разведчика не должно быть видно! В общем, есть масса вариантов атак, и почтовая рассылка — это лишь самый популярный и изученный, но не обязательно самый действенный. В случае с социнженерией вариантов исполнения может быть сколько угодно — вплоть до полевых работ с проникновением на территорию. В таких случаях под-готовка будет включать такие этапы, как изучение карты офиса (особенно внимательно смотри на местоположение кабинета техподдержки и столовой — забросить флешку будет легче после бесплатного обеда) и набор команды, ведь хакер не обязан владеть еще и актерским мастерством. С историческими примерами смелых проникновений ты уже знаком благодаря предыдущей статье, так что вернемся к более технологичным методам. 
ПОДГОТОВКА/STEADY
Один из важнейших этапов планирования работы — выбор сценария. На этом этапе вырабатывается главная тактическая линия в зависимости от поставленных целей. От выбора правильного и эффективного сценария будет зависеть результат всей работы. Сценариев может быть не- сколько: «персональные», таргетированные сценарии для конкретных целей или общие типовые и массовые — они помогут протестировать подготовку сотрудников. В общем, нам надо решить, как и что рассылать, как и что собирать. Пройдемся по списку протоколов коммуникации в по- рядке их приоритетности и популярности:
• электронная почта — универсальный рабочий идентификатор человека в компании;
• телефон — следующий по популярности способ, неизменный в своей эффективности еще со времен Кевина Митника. Требует особой подготовки и творческой жилки, так как предусмотреть все исходы переговоров попросту невозможно;
• девайсы, разбросанные по офису или подкинутые в карманы. Можно подбрасывать как старые добрые трояны на флешках, так и Bad USB, Teensy и прочие новомодные «умные» железки. И менее популярные:
• социальные сети — здесь нет гарантии того, что жертва от- кроет вложение из корпоративной сети, но гораздо больше шансов провести с целью долгую игру: войти в доверие, стать лучшим другом по переписке и в итоге гарантировать тихое заражение;
• всяческие SMS и MMS, с помощью которых можно проводить как фишинг, так и заражение мобильных устройств.

Один из важнейших этапов планирования работы — выбор сценария. На этом этапе вырабатывается главная тактическая линия в зависимости от по- ставленных целей

Торговая площадка SEBLOG - только проверенные временем товары и услуги.