О том, что такое социальная инженерия, каковы тенденции red team, в чём состоят технические аспекты kill chain, рассказал Константин Полишин (Positive Technologies). Он поделился и проектным опытом проведения атак в рамках мероприятий Фестиваля Positive Hack Days 12, который прошёл 19-20 мая в Москве.
Константин Полишин, специалист отдела тестирования на проникновение PT, рассмотрел практические аспекты проведения кибератак на почтовые сервисы. Он отметил, что социальная инженерия – область стыка разных навыков. Оценка защищённости сервисов методами red team кардинально отличается от пентестеров. Для оценки red team нужны иные методы, чем для проверки осведомлённости, поскольку и методы реализации и цели – разные. Качественной оценкой red team стало получение первоначального доступа, количественной – число доставленных писем.
Повышение экспертизы на рынке социальной инженерии и побуждение вендоров более качественно относится к настройке антиспама, sandbox и E-mail Security Gateway в целом – глобальные цели выступления на PHDays 12, отметил Константин Полишин.
В ходе часового доклада он подробно разобрал сценарии kill chain типа Bad Magic APT, которые используют целевой фишинг в качестве начального вектора атаки, сообщения и ссылки на zip-архив, размещённый на веб-сервере, и вредоносные файлы .lnk и .msi, которые используются для развёртывания бэкдора.
Второй вариант сценария kill chain – использование pdf-файлов, которые содержат ссылки на вредоносные ресурсы. Примененные инструменты позволяют успешно обходить средства защиты информации шлюза и двухфакторную аутентификацию и, в конечном итоге, позволяют атакующему получить первоначальный доступ в систему. Константин Полишин подробно остановился на причинах выбора того или иного инструмента или метода, популярно объяснив свои предпочтения.
Усилить доверие пользователя к вредоносному письму позволяют внутренний фишинг, некий корпоративно-житейский сценарий, ссылки в Телеграм, vishing (голосовой фишинг), хостинг нагрузки на пробитых ресурсах организации и Spearphishing via service, когда загрузка вредоноса идёт с внешнего корпоративного ресурса. Как отметил докладчик, голосовой фишинг показал высокую эффективность и повышает доверие пользователя к электронному письму.
Говоря о перспективах фишинговых атак с использованием достижений в области искусственного интеллекта, Константин Полишин отметил, что при правильной постановке задачи ИИ может быть отличным помощником в написании сценариев атак. Или стать инструментом в правильных руках, который поможет создать критерии реализации в случае, если исследователь или злоумышленник сталкивается со сложностями или трудностями при планировании атаки.
