Заработок на карантине для мамкиных хакеров

Дисклеймер: Данная статья ни в коем случае не призыв к действию, мы лишь высказываем свои мысли и опасения на счет текущего положения дел.

“Для тех у кого проблемы с доступом к джойказино: “

В этой статье я вам не открою Америку, но, надеюсь, помогу освежить в голове основной ландшафт угроз с учётом новых реалий карантина. Думаю все (ну или большинство) уже столкнулись с тем что теперь удалённый доступ необходимо обеспечить всем и сразу. Без оглядки на адекватность пользователей, на полное отсутствие понимания у них что вообще происходит при нажатии на ярлычок 1C.rdp, вам необходимо здесь и сейчас сделать так чтобы офис переехал домой к конкретным юзерам.

В этой заметке я не буду рассказывать вам как защититься, универсальных рецептов не бывает, а “ванговать” — не наши методы. Я напомню вам как атаковать, а уж как от этого защититься — это уже ваша война ;)

С учётом массового безделья школьников, интересующихся хакингом, а так же возросшим числом желающих подзаработать пока в пыльный офис всё равно не пускают (ещё и зарплату урезали), я думаю актуально будет ждать следующие виды атак:

0. Ошибки конфигурации

Я даже не буду перечислять очевидные ошибки со стороны админов для облегчения жизни себе любимым в виде торчащих в открытый мир служебных портов, без ВПН и прочих очевидных требований ИБ. Этого не оправдать запарой или возросшим количеством юзеров на удалёнке.

1. Брутфорс RDP

Так как RDP порты открыты для большого количества юзеров только начинающих работать на удаленке, чего раньше никогда не планировалось для удалённого доступа, эникейщики начинают упрощать себе жизнь:

- увеличивая количество попыток неверного ввода кредов;

- упрощая требования к самим паролям, тк далеко не все юзеры могут повторить “спецсимвол” из выданного им админом «2!DF$1@1vba#7!»;

- продлевать срок жизни паролей;

Само собой, с такими делами брутфорс из долгого и нудного страдания бездельем может превратиться в лёгкую прогулку за “credentials”.

(Пссст! Рекомендация по атакам: используйте инструмент, составляющий пароли по определённым маскам для конкретного пользователя, данные о котором вы пробили при помощи OSINT или СИ, например https://github.com/sc0tfree/mentalist)

2. DOS (Denial-Of-Service) с шантажом

Серваки будут долбить пока не заплатишь выкуп, а поскольку теперь из-за отказа сервака дружить с внешним миром ложится не какая-то отдельная услуга или отдел, а сразу вся компания — на эникейщика будут давить вдвойне, втройне, ну или насколько там у собственника бизнеса терпения хватит. Раньше вопрос решался шаманством с сетью, отключением определённых пулов адресов. В новых же реалиях, уложив удалёнку компании, можно фактически парализовать её работу.

(Эй, скрипткидди! Рекомендация по атакам: простенькая утилитка для атак, да и ещё и через сеть Тор это — https://www.geeksforgeeks.org/perform-ddos-attack-using-torshammer/ Конечно же на серьёзные сервисы с более менее вменяемой защитой эта атака не пройдёт, но как заказать DDOS ботнетом, арендованным в даркнете я вам рассказывать не буду ;))

3. Spear Phishing

Многие ушли на удалёнку и общение, которое раньше строилось на персональном подходе, теперь переехало в электронную форму. Тут OSINT по полной программе и старый добрый фишинг. Недавно поднимали тему об актуальной памятке для твердолобых юзеров, но кто ж из них будет это внимательно читать, да? ;)

(ОСИНТерам на заметку. Рекомендация по атакам: в сборе данных о юзерах и разведке вам поможет мега комбайн CSI Linux https://www.csilinux.com/ и в довесок вот вам графическое упрощение в работе с Metasploit https://github.com/Zerx0r/Kage)

4. Social Engineering

Непривычность использования новых технологий для сотрудников, которые ранее с этими технологиями сталкивались очень редко, накладывает свои отпечатки. Формы контроля, ранее производимые лично, теперь упрощены до “OK” в электронном письме или мессенджере. Ну а письмо на бланке компании и с похожей печатью может сделать своё чёрное дело очень быстро и просто. Научить пользователей подтверждать всё звонком и максимально повысить бдительность относительно электронных документов дело трудное, иногда практически невыполнимое, но необходимое.

(СИ любителям! Рекомендация по атакам: тут мемуары Кевина Митника вам в помощь, ну и генератор печатей в придачу https://www.softportal.com/software-3697-shtamp.html)

Ну и немного юмора: почаще участвуйте в опросах, наподобие “Как организована удалёнка в вашей компании? Наша компания проводит опрос, чтобы выбрать приоритеты в разработке способов защиты IT-инфраструктуры…” Ведь зачем проводить разведку когда юзер сам готов заполнить и прислать анкетку, а вы её аккуратненько приспособите к делу )))))