W jaskini cyberzbójców: jak przestępca wykorzystuje najsłabsze punkty systemu IT?
Zamiast murowanej piwnicy - ósme piętro ekskluzywnego biurowca. Zamiast ostrzenia ciupag - dopracowywanie i wysyłka złośliwych kodów. Tak wyglądały przygotowania do hakerskiego ataku na system teleinformatyczny dużej korporacji, którym przypatrywał się dziennikarz aleBank.pl. Oczywiście, tym razem były to tylko ćwiczenia - zorganizowane przez PwC w ramach spotkania pod wymownym tytułem "Czy bezpieczeństwo twojej firmy jest właściwie monitorowane?"
W rolę cyberprzestępcy wcielił się Paweł Maziarz – ekspert cybersecurity w PwC. Rola Sherlocka Holmesa, monitorującego przebieg ataku, przypadła z kolei Tomaszowi Wojciechowskiemu.
Od czego zaczynają sieciowi włamywacze? Na początku zdobywają przyczółek wewnątrz organizacji, aby następnie móc skutecznie atakować kolejne elementy korporacyjnego środowiska IT. Nie zawsze też pierwszy kontakt hakera z systemem IT instytucji od razu ukierunkowany jest na włamanie; czasami jest to tylko rekonesans techniczny. Jak go skutecznie wykryć? Oto zadanie dla korporacyjnych ekspertów w zakresie bezpieczeństwa IT – i wspomagających ich systemów sieciowych.
W obserwowanym przypadku, do włamania doszło wskutek naruszenia zasad bezpieczeństwa w korporacji. – W fazie rekonesansu znaleźliśmy osobę głównej księgowej i od niej chcemy rozpocząć atak – stwierdził Paweł Maziarz. Okazuje się, że nie zawsze musi on nadejść z sieci. Przychodząc do pracy, księgowa odebrała kopertę z opisem: „Pani Gosiu, to jest raport za zeszły rok, proszę zająć się tym jak najszybciej”. W środku znajdował się pendrive, który – jak nietrudno się domyślić – nie zawierał żadnego raportu, a jedynie złośliwe oprogramowanie. Konkretnie – wirtualną klawiaturę, zaprogramowaną tak, by wykonać skrypt dostarczony przez hakerów. Nie trzeba było na tym etapie forsować złożonych zabezpieczeń: jeden niefrasobliwy ruch pracownika, który w żadnym razie nie powinien odbierać korespondencji niewiadomego pochodzenia – i już złośliwe oprogramowanie zostało zaszczepione do sprawdzonego dotychczas systemu. Co gorsza, tego typu inject jest wyjątkowo trudny do wykrycia przy użyciu technologii antywirusowych. – Przed takim „pendrivem” bardzo ciężko się obronić – zaznaczył Maziarz, podkreślając, że od chwili wgrania injectu komputer w księgowości czeka, aż przestępcy uruchomią dowolne polecenie – np. podanie screenshota w momencie, gdy wpisywane jest hasło. – Możemy uruchomić dowolne polecenie na tym komputerze – ostrzegał „haker”. Jego słowa potwierdził również korporacyjny ekspert z zakresu IT Security. – Mamy kontrolę nad komputerem w organizacji, ale nie mamy źródeł – więc w logach nie pojawi się nic ciekawego – stwierdził Tomasz Wojciechowski. – Malware jest wewnątrz – nie ma na to sygnatur, dlatego jest bardzo trudne do wykrycia – dodaje.
Co dzieje się dalej? Pani Małgorzata widzi komunikat z prośbą o konkretne działanie. Są dwie możliwości: albo – zgodnie z oczekiwaniami przestępców – zaakceptuje komunikat, albo nie. – W tym drugim przypadku wysyłamy komunikat jeszcze raz – magiczna liczba to trzy – zaznaczył Paweł Maziarz, twierdząc, że po trzecim przypomnieniu większość pracowników dla świętego spokoju spełni żądania hakera. W taki sposób można na przykład „poprosić” o hasło księgowej; pojawia się wówczas standardowy, natywny komunikat Windows z prośbą o podanie hasła. – Nie trzeba keyloggerów, taka forma najbezpieczniejsza i najprostsza dla hakera – podkreślił Maziarz.
Mając już hasło kluczowej osoby w firmie, można niemal bezkarnie pobrać dla przykładu listę adminów domeny. – Spróbujmy wykonać atak group force na hasła tych użytkowników. Uruchamiamy taki atak – widzimy, że admin ma całkiem popularne hasło – trochę nam zajęło zanim je rozszyfrowaliśmy – powiedział „haker”, potwierdzając, że do złamania zabezpieczeń doszło dopiero po wielu nieudanych logowaniach. Co na to systemy bezpieczeństwa? – Wykryliśmy jeden z punktów monitorowania, dostrzegliśmy atak dopiero wtedy, gdy on się już rozprzestrzeniał – przyznał Wojciechowski.
– Mamy już hasło admina – więc stosujemy narzędzie PsExe, które pozwala uruchomić jeden proces na wielu kompach. Ten element – uruchomienie PSExe – zobaczymy w logach WIN. Może to być, ale nie musi indykator ataku – podkreślił Maziarz. Wówczas zadziałał drugi punkt kontrolny – jednak było już za późno, bo haker zdobył kontrolę nad systemem.
Nietrudno się domyślić, że dalszym celem przestępców są z reguły konkretne działania na szkodę firmy. – Cały ten atak nie ma na celu wyłącznie uzyskania dostępu, tylko co innego – np. zrobienie przelewu na konto przestępcy czy pozyskanie dokumentów – dodał Maziarz. Dlatego samo sforsowanie zabezpieczeń to nie wszystko. Aby haker odniósł jak największą korzyść z ataku, musi poszerzyć zakres dostępu do komputera i go utrzymać. Kolejnym etapem jest skuteczne zatarcie śladów – celowi temu służyć może zarówno „niewinne” czyszczenie logu, restart serwera, jak również formatowanie dysków w firmie. – Restart serwera zobaczymy dopiero wtedy, kiedy on się uruchomi i uruchomi ponownie usługi – zaznaczył Wojciechowski. – Warto monitorować restarty, brak restartu również może sugerować, że z patchowaniem nie jest najlepiej – dodał.
fot. i tekst Karol Jerzy Mórawski
