8 800 201-20-70Звонок бесплатный
Контакты it_law_security Поиск
RTM Group » Кейсы » Социотехнический тест на проникновение

Социотехнический тест на проникновение

Заказчику потребовалось проведение пентеста с использованием социотехнических методов для оценки готовности персонала противодействовать атакам социальной инженерии.

Проблема

Заказчик обратился за проведением социотехнического теста на проникновение со сбором исходной информации о пользователях из открытых источников.

Требовалось провести OSINT, проникнуть на охраняемую территорию, получить доступ к регистрационным данным пользователей, установить вредоносное ПО, получить доступ к защищаемой информации.

Решение

Подготовительный этап

На подготовительном этапе экспертами RTM Group проведен анализ открытых источников, благодаря которому удалось получить большое количество исходной информации о сотрудниках, такой, как:

  • E-mail
  • Фамилии и имена
  • Позиции в организации

А также название провайдера, предоставляющего доступ в интернет для компании, и другую.

Подготовлены средства нападения. Среди них сгенерирована и протестирована полезная нагрузка в виде вредоносных PowerShell скриптов, автоматически запускающихся с флэшек при подключении к компьютеру и в виде зараженных документов Microsoft Word и Microsoft Excel. 

Сгенерированная полезная нагрузка позволяла получить и закрепить удаленный доступ к компьютерам заказчика. Для затруднения обнаружения полезной нагрузки средствами антивирусной защиты был применен ряд различных обфускаторов.

Также подготовлен автономный аппаратный сниффер, позволяющий перехватывать траффик, циркулирующий по сети, и сохранять его для дальнейшего анализа, либо, при наличии доступа в интернет, создавать обратное подключение и перенаправлять трафик экспертам для анализа в режиме реального времени.

Проведение работ

Далее тестирование сотрудников осуществлялось при помощи рассылки поддельных e-mail и телефонных звонков.

При тестировании по email полезная нагрузка в виде зараженных документов Microsoft Word и Excel была разослана на обнаруженные в ходе OSINT e-mail адреса. Для этого были подготовлены ряд сопровождающих текстов, мотивирующих сотрудников к скачиванию и запуску полезной нагрузки. Среди них:

  • Сообщения о якобы пересмотре графика отпусков в организации
  • Новых правилах мотивационных выплат
  • Установке обновлений корпоративного ПО
  • Формах заявок на повышение квалификации
  • Новом телефонном справочнике сотрудников

И тому подобное.

При тестировании по телефону эксперты RTM Group представлялись сотрудниками различных филиалов организации и пытались получить различную конфиденциальную информацию.

Проводилось тестирование физического доступа на территорию организации с помощью методов социальной инженерии.

Для проникновения на территорию организации эксперты RTM Group использовали следующую легенду: «на оборудовании провайдера, установленном на территории организации, необходимо произвести профилактические работы». Для этого в магазине спецодежды была закуплена рабочая одежда, похожая на спецодежду сотрудников провайдера, которого удалось определить в ходе OSINT, и заказаны вышитые эмблемы, повторяющие его логотип. В таком виде и под такой легендой экспертам RTM Group удалось не только проникнуть на территорию организации, но и получить доступ к телекоммуникационному оборудованию в одной из серверных комнат.

Попав в офис организации эксперты RTM Group незаметно разбрасывали подготовленные флэшки с вредоносным ПО.

Получив доступ в серверную комнату, смогли незаметно установить подготовленный аппаратный сниффер.

Имитируя настройку сетевого оборудования, эксперты смогли подключить свой ноутбук к внутренней сети заказчика, получив таким образом возможность осуществить дополнительные атаки, которые, однако, не входили в план работ.

Результат

В результате:

  • В результате рассылки большое количество пользователей открывали вредоносные файлы из писем. При этом не обращая внимание на отправителя.
  • Удалось получить конфиденциальную информацию из телефонных звонков, при том, что звонки осуществлялись не с телефонных номеров организации или филиалов.
  • Часть разбросанных флэшек также успешно отработали и заразили компьютеры сотрудников.
  • Автономный аппаратный сниффер смог перехватить хэши паролей пользователей, но не смог их передать из-за отсутствия доступа в интернет. Для анализа перехваченной информации требовалось повторное проникновение на территорию.

По результатам тестирования заказчик получил отчет, в котором описаны использованные методы и средства, полученные в ходе тестирования результаты, а также рекомендации по повышению готовности персонала противодействовать атакам социальной инженерии.

Сопутствующие услуги

Социальная инженерия в рамках пентеста

Социальная инженерия в рамках пентеста

– Имитация атаки и защиты от социальной инженерии;
– Социальная инженерия: понятие, задачи и потенциальный риск;
– Распространённые методы социальной инженерии;
– Как избежать атак с использованием методов социальной инженерии.
Периодическое контролируемое социотехническое тестирование

Периодическое контролируемое социотехническое тестирование

— Что такое социотехническое тестирование
— Кому нужно проводить социотехнического исследование
— Этапы проведения социотехнического тестирования
— Стоимость социотехнического теста