«Корпоративные лаборатории» — программа профессиональной подготовки в области информационной безопасности, состоящая из теоретической (курсы-вебинары) и практической подготовки (работа в пентест-лабораториях). В данной статье будет рассмотрено содержание именно практической базы, составляющей порядка 80% от общей программы обучения. В статье содержится краткий разбор одного из заданий практической подготовки.
Внешний и внутренний периметр
Зачастую основное внимание ИБ-специалистов уделяется внешнему периметру. Тем не менее, существует вероятность того, что злоумышленник преодолеет системы безопасности внешнего периметра и окажется внутри сети. Таких методов существует огромное количество, включая социотехнические, используя манипулирование психологией человека, линейностью его действий или иными факторами.
Внутренняя защита обычно сводится к разделению прав и антивирусной защите — либо от непонимания серьезности угроз и рисков, либо слабой квалификации и осведомленности технического персонала или недостаточного бюджетирования.
Внутренний нарушитель
Не на последнем месте стоит проблема т.н. инсайдинга, когда атакующий находится внутри сети и наделен определенными правами и полномочиями, которые он может попытаться расширить, используя недоработки или уязвимости инфраструктуры.
Инсайдеров можно разделить на несколько категорий:
- Любопытный — как известно, многих людей отличает любопытство и стремление сунуть нос не в свое дело. Данный тип инсайдера характеризуется тем, что даже если по роду своей деятельности он не должен иметь доступа к конфиденциальным данным, он всё равно, часто из любопытства, желает с ними ознакомиться. Это может касаться зарплатных ведомостей, распределения премий и т.д.
- Исследователь – легальный сотрудник, обладающий правом доступа к основному серверу, но недостаточными полномочиями для доступа к конфиденциальной информации. Такой человек может попытаться повысить недостаточный для своих целей, не связанных с работой, уровень полномочий в серверной ОС, до уровня администратора. Данный тип инсайдера характеризуется попытками исследовать инфраструктуру компании, вне рамок своей профессиональной деятельности или обязанностей.
- Мститель – это обиженный или увольняемый сотрудник, который может воспользоваться периодом времени до отзыва администратором его прав доступа к конфиденциальным данным, для их копирования или изменения с целью хоть как-то «отыграться» за свои обиды.
- Мотивированный – легальный сотрудник компании, действующий целенаправленно и способный привлекать значительные технические ресурсы для получения доступа к интересующей его информации. При этом он использует и социальную инженерию, и физический доступ к серверу, и другие возможности, 90% из которых полностью легальны и необходимы для его штатной деятельности. Такого рода инсайдер может быть мотивирован извлечением прибыли из полученных данных для себя лично, либо по заказу третьей стороны.
Сценарий атаки
В качестве примера можно привести атаку Group Policy Hijacking. Group Policy (групповая политика) — это набор правил или настроек, в соответствии с которыми производится настройка рабочей среды приёма/передачи (Windows, X-unix и другие операционные системы с поддержкой сети). Групповые политики создаются в домене и реплицируются в рамках домена. Group Policy Hijacking была открыта в начале этого года, но первая полностью функциональная реализация данной атаки появилась только в Intercepter-NG (некоторые браузеры могут помечать сайт как вредоносный, тем не менее деструктивного функционала утилита не несет).
Благодаря этой уязвимости примерно за полтора часа можно получить доступ к любому компьютеру в домене (кроме домен-контроллера). Ситуация состоит в том, что примерно каждые 90 минут участник домена запрашивает групповые политики с контроллера домена. Происходит это по SMB, и если с последнего запроса что-то изменилось, то это значит, что требуется их обновить.
Каждые 90 + случайное количество от 0 до 30 минут участник домена запрашивает групповые политики с DC. Происходит это по SMB, путем открытия сетевого адреса \\DC\SYSVOL\domain.name\Policies\UUID\gpt.ini, содержащего такую запись:
[General]
Version=12345
Данное число является относительной версией текущих групповых политик. Если с последнего обновления версия не изменилась, то процесс получения групповых политик прекращается, но если версия другая — значит требуется их обновить. На этом этапе клиент запрашивает у домена активные CSE (client-side extensions), к которым относятся различные logon скрипты, задачи для планировщика и так далее. Естественно, атакующий, встав посередине, может подменить одну из задач, которая генерируется контроллером в виде файла. При таком раскладе эксплуатация была бы совсем простой, но все эти CSE по умолчанию отключены и единственное, что можно сделать — модифицировать реестр, ведь при обновлении групповых политик клиент запрашивает еще один файл — GptTmpl.inf, через который можно добавить или удалить запись.
Но не всё так просто, CSE по умолчанию отключены и единственное, что можно сделать — модифицировать реестр. Поэтому автором Intercepter был реализован специальный механизм (установление дебаггера для процесса taskhost.exe), позволяющий получить шелл с правами «NT AUTHORITY\SYSTEM».
Group Policy Hijacking возможен на системах Windows 7\8.1, в качестве контроллеров домена могут использоваться серверные решения 2008R2\2012R2 со всеми существующими патчами на сегодняшний день. Так же, стоит заметить, что атака полностью автоматизирована и не требует каких-либо дополнительных действий или условий.
Предотвращение
Конкретные методы противодействия зависят от используемых злоумышленниками техник, средств и опыта сотрудников ИТ/ИБ подразделений. Знание методов и тактик атаки в современных системах позволит своевременно ликвидировать возможные недочеты и уязвимости, предотвратив попытки получения несанкционированного доступа. Специалистам в области информационной безопасности необходимо быть знакомым с арсеналом современных инструментов, овладевать практическими упражнениями и быть готовыми к их применению в реальных ситуациях. Также стоит уделять внимание малоизвестным и недокументированным возможностям, которые могут быть полезны для проверки собственной инфраструктуры. Стоить развивать правильный образ мыслей, который включает в себя нестандартное мышление и предугадывание действий злоумышленника, тщательное взвешивание рисков и проверенные временем методики. Эти навыки неоднократно вам пригодятся независимо от того являетесь ли вы профессиональным специалистом по информационной безопасности, либо работаете системным/сетевым администратором.
