19 июля, в тот самый день, когда некорректное обновление антивирусного ПО от CrowdStrike привело к сбою глобальных сервисов по всему миру и российские киберзащитники делились друг с другом мемами, в инфраструктуру одной из ИБ-компаний проник хакер. Участник открытых кибериспытаний Innostage под ником prorok успешно провернул фишинг и едва не закрепился на рабочей станции компании. Как развивалась атака — рассказывает он сам и его визави из Innostage SOC CyberART.
- Ловись рыбка большая и… трудоустроенная
- Что в письме?
- Механика угона учётки
- Что известно о взломщике
Ловись рыбка большая и… трудоустроенная
Белый хакер с ником prorok (настоящее имя Пётр Тарасов) разослал фишинговое сообщение сотрудникам Innostage, которое оказалось настолько правдоподобным, что по ссылке перешли несколько человек, а один даже дважды ввёл данные своей учётной записи. Свои действия исследователь изложил в отчёте и загрузил на платформу Standoff Bug Bounty.
В ходе проверки выяснилось, что компрометация учётной записи действительно состоялась, правда, без закрепления на корпоративной рабочей станции. Но попытка была засчитана как успешная, и старания prorok’а вознаградили выплатой в 100 тысяч рублей. Счастливчик согласился поделиться деталями атаки и попутно ответить на вопросы о мотивации к хакингу и своём пути.
«У меня не было ни одного проекта, где бы социальная инженерия не дала никакого эффекта», — уверяет Пётр Тарасов.
В центре противодействия киберугрозам Innostage SOC CyberART подтвердили, что фишинг был и остаётся одним из базовых инструментов первого касания при хакерских атаках. Как показала практика, от неё не застрахованы даже сотрудники компании, специализирующейся на кибербезопасности: умело составленное письмо и тщательно продуманная схема обмана может убедить кого угодно.
Программа открытых кибериспытаний (ОКИ) Innostage разрешает фишинг только через корпоративную почту, а не соцсети и мессенджеры. Поэтому prorok остановился на этом канале и позаботился о выборе домена, похожего на легитимный. Он менял букву «i» в Innostage на «l», которые в тексте почти неотличимы друг от друга, а где-то просто добавил в конце com.ru. Обе уловки настолько тонкие, что многие пользователи ничего не заподозрили.
На чём прокололся
«Честно скажу, я не сильно надеялся вывести деньги (прим: такое недопустимое событие выкатила компания с обещанием выплаты 5 млн рублей за его реализацию), поскольку это достаточно сложный процесс, но мне хотелось хотя бы попасть внутрь и попытаться скомпрометировать доменного администратора. Я начал подходить к этому с OSINT: нашёл все, которые только смог, подсети, доменные имена, IP-адреса. Увидел, что стоят средства защиты и решил заняться сбором сведений о сотрудниках и email-адресах. Проводил разведку с различными утилитами, шерстил источники, включая ВКонтакте и LinkedIn. В соцсетях нашёл много сотрудников, сделал подборку из почти 1000 потенциальных почтовых адресов», — приводит детали белый хакер.
Он не стал тратиться на фильтрацию списка — торопился быстрее протестировать взлом. Как результат, хакера заблокировали где-то на середине атаки.
«Если бы потратил время на отсев, меня, скорее всего, вычислили бы не так быстро. Когда ИБ-служба увидела рассылку, в том числе уволенным сотрудникам, они сразу распознали атаку. Возможно, этому способствовала ещё и реакция пользователей, которые сообщали в отдел ИБ, что происходит что-то странное», — признает ошибку Пётр и добавляет, что, действуя в цейтноте, предпринял вторую попытку, на этот раз запустив рассылку с конца списка.
Действительно, пользователи, получившие «письма счастья», начали уведомлять SOC о фишинге уже в 11:30.
Из отчёта Innostage SOC CyberART следует, что 19 июля 2024 года в период с 11:08 по 12:28 от лже-службы техподдержки, было направлено 287 однотипных писем, содержащих фишинговую ссылку, ведущую на подставной VPN-ресурс. А в период с 13:21 по 13:38 фиксировалась вторая волна массовых рассылок, с другого похожего адреса, связанного с ещё одним фишинговым ресурсом. Домены отправителей и целевые URL в обоих случаях мимикрировали под легитимные ресурсы компании.
При этом вторая попытка действия не возымела, так как до всех сотрудников компании довели информацию о массовой фишинговой атаке с просьбой быть внимательными при получении писем с незнакомых и подозрительных адресов.
Что в письме?
За несколько недель до атаки исследователь откликнулся на вакансию и задал вопрос об условиях для удалёнщиков. Присланный ответ позволил ему выяснить подробности работы почтового сервера и получить референс специальной маркировки для всех внешних писем Innostage, отсылку к ней prorok использовал в фишинговом сообщении.
В подготовке текста письма применялась генеративная нейросеть. По словам хакера, он прогонял через неё абзац за абзацем, пока не получил текст с убедительным обоснованием переезда на новый VPN, написанный в характерном для Innostage полуофициальном стиле. В лучших традициях социальной инженерии, сообщение давило на срочность: оно рассылалось в пятницу, с предупреждением, что переезд состоится в выходные, и в понедельник есть риск, что все письма потеряются, а рабочие встречи вылетят из календаря.
Prorok понимал, что ИБ-интегратор не сделает авторизацию в VPN просто по доменной учётной записи, без применения многофакторной защиты. Поэтому сделал импровизированную форму с просьбой ввести второй фактор. После чего у пользователя на 20 секунд всплывало окно, имитирующее загрузку, далее следовало сообщение, что что-то пошло не так, и второй фактор нужно ввести повторно. По признанию хакера, достаточно и одного ввода, второй – скорее в качестве эксперимента и проверки гипотез в области социальной инженерии. Таким образом было скомпрометировано три учётные записи. При этом один из сотрудников ввёл аутентификационные данные дважды.
Впрочем, нашлись и те, кто раскусил обман, ввёл ложные данные и даже прямо намекнул, что вычислил хакера, тем самым пытаясь его спровоцировать и эмоционально раскачать.
Механика угона учётки
При переходе по фишинговой ссылке жертва попадает на страницу аутентификации, где ей предлагается ввести свой логин и доменный пароль для входа на страницу VPN-сервиса. После ввода учётных данных (даже несуществующих) и нажатии на кнопку LOG IN автоматически начинается загрузка исполняемого файла vpn-client-2.1.1.exe и перенаправление на страницу для ввода кода 2FA. Так потенциальный злоумышленник получает необходимую информацию (логин/пароль + 2FA-код) для преодоления периметра. Предположительно конечной целью хакера было выполнение закрепления на доменном хосте посредством создания «Запланированной Задачи» и запуском по расписанию исполняемого файла C:\Users\Public\ vpn-client-2.1.1.exe.
«После ввода данных учётной записи происходила также автоматическая загрузка Трояна. Стоит отметить, что ни одна сессия получена не была, однако были зафиксированы возможные запросы от программы к C2 серверу. Это может говорить о корректной настройке всех необходимых СРЗИ. Данный отчёт отправлен с целью улучшения мер защиты, повышения осведомлённости пользователей в вопросах ИБ и информирования о результатах проведенной атаки. Благодарю за возможность поучаствовать в таком противостоянии. Возможно, через какое-то время я попробую взять реванш», — расписал белый хакер свои действия в отчёте на платформе Standoff.
На инцидент достаточно быстро отреагировал Innostage SOC CyberART, а внутренняя команда исследователей проанализировала подставной лендинг и зловред, который автоматически скачивался. Код зловреда был проанализирован, сигнатура добавлена в систему антивирусной защиты.
Что известно о взломщике
Пётр Тарасов, выбравший ник prorok, интересовался миром хакинга со школы. В старших классах узнал про направление пентест и загорелся им. Отучился на информационную безопасность и почти сразу устроился на работу. Начал расти, получать offensive security сертификаты. Стаж в информационной безопасности составляет 5 лет. На текущий момент работает старшим инженером. Этичным хакингом занимается в свободное от основной работы время. Предпочитает действовать в одиночку, чтобы контролировать процесс и не переживать за действия напарников. В то же время признаёт, что командная работа, возможно, помогла бы быстрее и эффективнее провести атаку.
Увлекся сферой баг-баунти на зарубежной площадке HackerOne пару лет назад, активно там поучаствовал месяц или два — поднимал рейтинг на бесплатных программах. Затем сделал достаточно длительную паузу и решил вернуться к баг-хантингу уже на российской площадке Standoff где-то 2–3 месяца назад.
На программу открытых кибериспытаний от ИТ-компании Innostage откликнулся, как только увидел условия, так как считает, что реализация недопустимых событий даёт большой простор для применения различных тактик и видов атак. Вознаграждение от Innostage — его первый «улов».
Готов предпринять новую попытку и дойти до реализации НС — увести со счёта Innostage 2000 рублей, хоть и понимает, как непросто будет обмануть корпоративную финансовую систему. Программа открытых кибериспытаний от ИБ-интегратора для Петра — отличная возможность отвлечься от рутинных проектов и отчётов, «размять мозги», легально похулиганить и при этом заработать.
«Если рассматривать доход до нескольких сотен тысяч, то баг-хантинг — достаточно плотная работа. Может быть, даже поплотнее работ в офисе. На некоторых программах, как мне кажется, критические уязвимости недостаточно высоко оцениваются. Вполне честная оценка, кажется, у пары маркетплейсов, которые сейчас подняли выплаты», — рассуждает Пётр о том, можно ли достойно зарабатывать на участии в баг-баунти-программах и открытых кибериспытаниях.
В отчёте к ОКИ Пётр Тарасов описал ещё несколько важных поинтов, которые помогут компании повысить киберустойчивость ИТ-инфраструктуры, и 100 тысяч рублей вручены ему более чем заслуженно. Технические подробности команда SOC описала в своём блоге на Хабр.
Напомним, в прошлом месяце Innostage расширила программу вознаграждений за найденные уязвимости (Bug Bounty): теперь она охватывает промежуточные действия на пути к реализации недопустимого события (НС). Тогда компания сообщила: за последнюю неделю число кибератак на сети компании выросло аж в десять раз. В основном киберпреступники пытаются разведать инфраструктуру.
