W jaskini cyberzbójców: jak przestępca wykorzystuje najsłabsze punkty systemu IT?

Tylko u nas

Zamiast murowanej piwnicy - ósme piętro ekskluzywnego biurowca. Zamiast ostrzenia ciupag - dopracowywanie i wysyłka złośliwych kodów. Tak wyglądały przygotowania do hakerskiego ataku na system teleinformatyczny dużej korporacji, którym przypatrywał się dziennikarz aleBank.pl. Oczywiście, tym razem były to tylko ćwiczenia - zorganizowane przez PwC w ramach spotkania pod wymownym tytułem "Czy bezpieczeństwo twojej firmy jest właściwie monitorowane?"

W rolę cyberprzestępcy wcielił się Paweł Maziarz – ekspert cybersecurity w PwC. Rola Sherlocka Holmesa, monitorującego przebieg ataku, przypadła z kolei Tomaszowi Wojciechowskiemu.

150511.w.jaskini.01.400x

Od czego zaczynają sieciowi włamywacze? Na początku zdobywają przyczółek wewnątrz organizacji, aby następnie móc skutecznie atakować kolejne elementy korporacyjnego środowiska IT. Nie zawsze też pierwszy kontakt hakera z systemem IT instytucji od razu ukierunkowany jest na włamanie; czasami jest to tylko rekonesans techniczny. Jak go skutecznie wykryć? Oto zadanie dla korporacyjnych ekspertów w zakresie bezpieczeństwa IT – i wspomagających ich systemów sieciowych.

W obserwowanym przypadku, do włamania doszło wskutek naruszenia zasad bezpieczeństwa w korporacji. – W fazie rekonesansu znaleźliśmy osobę głównej księgowej i od niej chcemy rozpocząć atak – stwierdził Paweł Maziarz. Okazuje się, że nie zawsze musi on nadejść z sieci. Przychodząc do pracy, księgowa odebrała kopertę z opisem: “Pani Gosiu, to jest raport za zeszły rok, proszę zająć się tym jak najszybciej”. W środku znajdował się pendrive, który – jak nietrudno się domyślić – nie zawierał żadnego raportu, a jedynie złośliwe oprogramowanie. Konkretnie – wirtualną klawiaturę, zaprogramowaną tak, by wykonać skrypt dostarczony przez hakerów. Nie trzeba było na tym etapie forsować złożonych zabezpieczeń: jeden niefrasobliwy ruch pracownika, który w żadnym razie nie powinien odbierać korespondencji niewiadomego pochodzenia – i już złośliwe oprogramowanie zostało zaszczepione do sprawdzonego dotychczas systemu. Co gorsza, tego typu inject jest wyjątkowo trudny do wykrycia przy użyciu technologii antywirusowych. – Przed takim “pendrivem” bardzo ciężko się obronić – zaznaczył Maziarz, podkreślając, że od chwili wgrania injectu komputer w księgowości czeka, aż przestępcy uruchomią dowolne polecenie – np. podanie screenshota w momencie, gdy wpisywane jest hasło. – Możemy uruchomić dowolne polecenie na tym komputerze – ostrzegał “haker”. Jego słowa potwierdził również korporacyjny ekspert z zakresu IT Security. – Mamy kontrolę nad komputerem w organizacji, ale nie mamy źródeł – więc w logach nie pojawi się nic ciekawego – stwierdził Tomasz Wojciechowski. – Malware jest wewnątrz – nie ma na to sygnatur, dlatego jest bardzo trudne do wykrycia – dodaje.

150511.w.jaskini.03.400x

Co dzieje się dalej? Pani Małgorzata widzi komunikat z prośbą o konkretne działanie. Są dwie możliwości: albo – zgodnie z oczekiwaniami przestępców – zaakceptuje komunikat, albo nie. – W tym drugim przypadku wysyłamy komunikat jeszcze raz – magiczna liczba to trzy – zaznaczył Paweł Maziarz, twierdząc, że po trzecim przypomnieniu większość pracowników dla świętego spokoju spełni żądania hakera. W taki sposób można na przykład “poprosić” o hasło księgowej; pojawia się wówczas standardowy, natywny komunikat Windows z prośbą o podanie hasła. – Nie trzeba keyloggerów, taka forma najbezpieczniejsza i najprostsza dla hakera – podkreślił Maziarz.

Mając już hasło kluczowej osoby w firmie, można niemal bezkarnie pobrać dla przykładu listę adminów domeny. – Spróbujmy wykonać atak group force na hasła tych użytkowników. Uruchamiamy taki atak – widzimy, że admin ma całkiem popularne hasło – trochę nam zajęło zanim je rozszyfrowaliśmy – powiedział “haker”, potwierdzając, że do złamania zabezpieczeń doszło dopiero po wielu nieudanych logowaniach. Co na to systemy bezpieczeństwa? – Wykryliśmy jeden z punktów monitorowania, dostrzegliśmy atak dopiero wtedy, gdy on się już rozprzestrzeniał – przyznał Wojciechowski.

– Mamy już hasło admina – więc stosujemy narzędzie PsExe, które pozwala uruchomić jeden proces na wielu kompach. Ten element – uruchomienie PSExe – zobaczymy w logach WIN. Może to być, ale nie musi indykator ataku – podkreślił Maziarz. Wówczas zadziałał drugi punkt kontrolny – jednak było już za późno, bo haker zdobył kontrolę nad systemem.

Nietrudno się domyślić, że dalszym celem przestępców są z reguły konkretne działania na szkodę firmy. – Cały ten atak nie ma na celu wyłącznie uzyskania dostępu, tylko co innego – np. zrobienie przelewu na konto przestępcy czy pozyskanie dokumentów – dodał Maziarz. Dlatego samo sforsowanie zabezpieczeń to nie wszystko. Aby haker odniósł jak największą korzyść z ataku, musi poszerzyć zakres dostępu do komputera i go utrzymać. Kolejnym etapem jest skuteczne zatarcie śladów – celowi temu służyć może zarówno “niewinne” czyszczenie logu, restart serwera, jak również formatowanie dysków w firmie. – Restart serwera zobaczymy dopiero wtedy, kiedy on się uruchomi i uruchomi ponownie usługi – zaznaczył Wojciechowski. – Warto monitorować restarty, brak restartu również może sugerować, że z patchowaniem nie jest najlepiej – dodał.

fot. i tekst Karol Jerzy Mórawski

Udostępnij artykuł: