"Я помітив, що тут відкрито". Як відбуваються пентести компаній?

Ми вирішили перекласти для Вас транскрибт з підкасту Darknet Diaries – історією про людину, яку компанії наймають, щоб подивитися, чи є у них дірки у безпеці. Його головне завдання – знайти лазівку та проникнути через неї до будівлі чи інфраструктури компанії.

Але спочатку ліричний вступ про Майкла Фегана та його дивовижну історію «зломів» Букінгемського палацу. Це сталося 1982 року в Лондоні. Вперше Майкл потрапив у палац водостічної труби через відкрите вікно. Чоловік майже годину ходив палацом і розглядав картини на стінах. А що ж служба безпеки? Ніхто з них не помітив непроханого гостя. Майкл навіть зайшов до кабінету особистого секретаря Чарльза і випив близько половини знайденої там пляшки вина.

Історія здається неймовірною, чоловік легко проник у королівський палац, відпив королівського вина і як ні в чому не бувало покинув будівлю, навіть не попавшись охороні. Але історія Майкла на цьому не скінчилася. Через якийсь час він рано-вранці прогулювався вулицями Лондона і в його голові знову з'явилося бажання потрапити до палацу. Майкл привітався з прибиральницями, які поспішали на роботу, і зайшов разом із ними до палацу. Чудово чоловік знайшов кімнату королеви. Майкл вирішив переконатися, що він точно в королівських покоях, тому відсмикнув штору, щоб краще розглянути королеву. Раптом королева прокинулася і запитала, що чоловік робить у її покоях, після чого вигнала непроханого гостя.

Тільки уявіть, чоловік двічі пробирався до Букінгемського палацу, вдруге пробрався до спальні королеви, поки вона спала, а звинувачення йому висунули лише за крадіжку півпляшки вина. Присяжні визнали його невинним у правопорушенні, і він не був засуджений до ув'язнення.

Історія ще одного пентестера

Вступна частина закінчилася. Давайте перейдемо до ще одного пентестера. Герой історії – Джеремі Роу, архітектор рішень для Synack. Компанії наймають його, щоб подивитися, чи є у них дірки у безпеці та чи зможе він знайти їх. Ще в дитинстві Джеремі любив створювати невеликі веб-сайти – так розпочалася його технічна кар'єра. Після армії Джеремі влаштувався працювати у Geek Squad, де займався усуненням неполадок в комп'ютерах клієнтів. Потім він вирішив знайти іншу роботу, почав вивчати технології, зрештою прийшов у кібербезпеку та отримав сертифікат OSCP. Після цього його найняли до організації, яка працювала на уряд. Завдання Джеремі полягали в тестуванні на проникнення на рівні мережі та тестуванні на проникнення веб-застосунків, також він спробував знайти вразливості в будинках.

Оскільки організація взаємодіяла з урядом, зловмисники могли атакувати її, щоб отримати доступ до урядових мереж. Джеремі знав це, і тому хотів перевірити один із віддалених офісів панрядника та спробувати знайти лазівки, через які можуть атакувати зловмисники. Але керівництво компанії було проти, і Джеремі довелося переконувати їх у важливості тестування. Аргументом стало те, що пентестери продумують сценарії, за якими потенційно можуть атакувати зловмисники. Так Джеремі Роу отримало зелене світло від керівництва на пентест. "Найкращий захист - це гарний напад", - вважав герой історії.

Організація дозволила спробувати проникнути у віддалений офіс фізично та через мережу, але з деякими умовами. Джеремі заборонили встановлювати на фізичні пристрої бекдори чи шкідливі програми. Вони не хотіли, щоб він встановив "хакерські інструменти" у мережу, яка активно використовується.

Джеремі та його команда почали вигадувати план, як їм перевірити офіс. В результаті тестування вони хотіли отримати відповіді на запитання:

1. По каким сценариям организацию могут атаковать хакеры?
2. Можно ли получить доступ к устройствам и корпоративной сети?
3. Можно ли добыть информацию, которая потенциально ставит под угрозы правительственные сети?

Джеремі хотів провести пентест так, ніби він зловмисник, який атакує урядові мережі. Хоча він і працював у цій компанії, але ніколи раніше не був у тестованому офісі і не збирався використовувати внутрішні ресурси, щоб отримати інформацію.

План А та Б

Отже, Джеремі почав з того, що погугли місце розташування офісу. Так він отримав інформацію про те, що оточує будівлю, чи прибудовані до неї кав'ярні, скільки входів та ін. Потім він під'їхав туди на машині, щоб спостерігати за обстановкою навколо і детально вивчити місцевість.

У подкасті Darknet Diaries Джеремі Роу розповів, що мав два плани розвитку подій. План А полягав у тому, щоб пройтися по периметру будівлі та перевірити, які двері відчинені. Це був непоганий план, тому що часто головний вхід розташовується там, де знаходиться вся охорона, а прослизнувши через бічні або задні двері, можна пройти зустрічі з нею. План Б полягав у тому, щоб потрапити до офісу через головний вхід. Джеремі та його команда не знали, що знаходиться всередині офісного завдання, вони лише припустили, що на першому поверсі може бути фойє.

Час висуватися

Джеремі працював із напарником (ВС). Напередодні пентесту вони підстриглися та одягнулися так, щоб зливатись із співробітниками офісу. Джеремі та ВС взяли з собою ноутбуки, набір відмичок, Bash Bunny тощо. Також Джеремі встановив собі на телефон мобільну версію Kali Linux.

У день Х Джеремі та ВС припаркували машину на офісному паркуванні, в'їзд на який виявився вільним. Вони вирішили обійти будинок по периметру та перевірити двері. Виявилося, що одні двері були прочинені через технічну несправність. Так Джеремі і НД опинилися на сходовій клітці. Перший поверх пентестери вирішили не перевіряти, т.к. офіси їх підрядника розташовувалися на другому та третьому. Двері на другому поверсі, на їх подив, виявилися відкритими, вони потрапили в офіс організації, сфотографувалися там і повернулися назад на сходи. На третьому поверсі двері теж були не зачинені.

Після успішності плану А – герої історії вирішили перевірити, чи можна безперешкодно потрапити до будівлі через головний вхід. Джеремі припускав, що на їхньому шляху має бути перешкода, яка не дозволить вільно потрапити до офісу. Вони зайшли до будівлі через головний вхід і вільно пройшли до сходів та ліфтів, які вели на верхні поверхи.

На поверхах з офісами підрядника знаходилися зони відпочинку з диванами – там і вирішили розташуватись Джеремі з напарником. Виявилося, що потрапити до кабінетів організації можна лише за ключ-карткою, яка є у співробітників. Пентестери увімкнули ноутбуки, почали думати, що робити далі і паралельно спостерігали за обстановкою довкола. У холі з диванами Джеремі помітив маленький комп'ютер (інфокіоск), йому здалося цікавим, що комп'ютер залишений без нагляду.

Виявилося, що на комп'ютері працювало програмне забезпечення, яке дозволяло співробітникам заходити тільки в один додаток. На задній панелі інфокіоску розташовувався USB-порт, через який Джеремі підключили Bash Bunny. У подкасті Darknet Diaries Джеремі Роу пояснив, що Bash Bunny виглядає як звичайна флешка, але коли її підключають до комп'ютера, він сприймає Bash Bunny як клавіатуру. Якщо заздалегідь прописати Bash Bunny сценарій дій, то ПК думатиме, що до нього підключили клавіатуру і почне приймати клавіші. Джеремі заздалегідь прописав сценарій, за яким комп'ютер мав відкрити Word та почати друкувати на екрані. Цього було достатньо, щоб пентестер міг зробити фото та довести керівництву, що він контролює цей комп'ютер.

Після цього Джеремі та ВС вирішили ще раз пройтися офісом і перевірити, чи точно всі двері зачинені і доступ до них можна отримати тільки по ключ-карті. Але чомусь у цей конкретний день деякі двері виявилися відчиненими.

Разом, Джеремі та ВС потрапили в офіс через головний вхід, піднялися сходами, смикнули за ручку і просто увійшли до офісу, де довкола багато корпоративної інформації. Там вони помітили мережеві порти, принтери, проекти, над якими працювали співробітники, вони також бачили, що було написано на дошках, бачили ярлики та різні IP-адреси.

Джеремі з напарником вільно переміщалися офісом, при цьому у них не було бейджів і перепусток. Вони проходили повз велику кількість співробітників і віталися з ними. Якоїсь миті пентестери навіть піднялися до кімнати відпочинку співробітників і випили по каві.

Поки пентестери прогулювалися офісом, то помітили відкрите приміщення для переговорів із кількома роз'ємами Ethernet на стінах. У Джеремі та НД саме з собою були кабелі для підключення. Джеремі бачив, що тут є мережа Wi-Fi і, хоча він не знав пароля, але він був і не потрібен, адже вони підключилися до нього через роз'єм Ethernet. У підскасті Джеремі пояснював, що порти Ethernet можна налаштувати у різний спосіб. Вони можуть надати внутрішній доступ, а можуть взагалі не надати доступу. Не факт, що тільки тому, що ви фізично перебуваєте в офісі, зможете підключитися і використовувати мережу. У правильно налаштованому офісі не вийде підійти та підключитися до будь-якого порту Ethernet. Але вони підключили свої комп'ютери до роз'ємів Ethernet і побачили, що порти живі.

Джеремі вирішив переглянути, що знаходиться в цій мережі, але інших комп'ютерів у мережі не було. Все, що він міг зробити, це отримати доступ до Інтернету. Джеремі зробив висновок, що ця компанія використовувала NAC, тому, коли він підключив комп'ютер до порту, маршрутизатор перевірив його MAC-адресу і визначив, що цей комп'ютер не повинен мати розширений доступ. Джеремі вирішив спробувати отримати розширений доступ, а не гостьовий. Він хотів знайти MAC-адресу, яка знаходиться в списку дозволених і змінити MAC-адресу свого комп'ютера на один з них. Він зауважив в офісі кілька принтерів. У подкасті він пояснив, що перша частина MAC-адреси від постачальника, тому якщо в компанії є обладнання Cisco, то кожен окремий Ethernet порт на всьому обладнанні Cisco починається з MAC-адреси 94:36:CC. А друга половина MAC-адреси буде різною для кожного порту Ethernet, що зробить їх різними.

Джеремі подивився, які типи принтерів є в організації і подивився, з чого починається MAC-адреса цього постачальника, а потім змінив MAC-адресу на своєму комп'ютері, щоб він збігався з тим, з якого починався принтер. Потім він спробував знову підключити кабель Ethernet і подивитися, чи отримає він іншу IP-адресу. Це спрацювало та Джеремі отримав розширений доступ усередині мережі. Ще однієї мети було досягнуто – вони отримали доступ до мережі.

Після цього пентестери відключилися від мережі і вирішили ще раз пройтися офісом, щоб пошукати якусь вразливість, яку вони, можливо, втратили. Поки вони ходили, то помітили, що багато співробітників відходять від ноутбуків і не блокують сеанс. Джеремі з напарником зробили кілька фото, на яких сидять за такими ноутбуками. Так вони продемонстрували керівництву, що ПК розблоковані та з ними можна зробити все, що завгодно.

Потім пентестери попрямували до ліфта, в якому їхав один із працівників підрядника. У ліфті вони привіталися з ним і перекинулися кількома безглуздими фразами. Джеремі вирішив імпровізовано простежити за цим співробітником, тож вийшов із ним на одному поверсі. Співробітник попрямував до дверей, дістав перепустку і притримав двері для Джеремі. Той подякував співробітникові та увійшов до офісу. Джеремі побачив, що його напарник залишився у вестибюлі, тому вирішив обійти інші двері, щоб впустити його, але коли він завернув за ріг, напарник уже був в офісі. Виявилося, що інші двері не вимагали перепустки. То був ще один висновок для звіту.

Поки пентестери були на третьому поверсі, вони зосередилися на зборі розвідданих. Їм було цікаво, чи є доступ до якихось програм, до яких не повинно бути доступу. Поки вони гуляли офісом, вони фотографували дошки, документи на столах, файли, назви файлів. Вони хотіли отримати якомога більше інформації про організацію та про те, кому належать ці файли та наскільки вони конфіденційні для організації. Джеремі та BC зібрали достатньо інформації для звіту та залишили офіс підрядника через головні двері будівлі.

А що зрештою?

Джеремі зміг розіграти сценарії, за якими потенційні зловмисники могли легко отримати безперешкодний доступ до організації. У підкасті Джеремі розповів, що керівництву було важко ухвалити цей факт. Вони були здивовані, як легко Джеремі отримав контроль над інфокіоском у холі. Також керівництво було шоковане тим, що співробітники, відходячи від комп'ютерів, залишають їх увімкненими.

Що керівництво зробило постфактум? Джеремі розповів, що вони зачинили двері та просто прибрали комп'ютер із холу. Організацію вразила робота Джеремі та його партнера, тому їм дозволили провести додаткові тестування на безпеку.