Андрей Жуков, УЦСБ: При физическом пентесте более-менее неприступной может быть лишь очень мелкая компания — у которой просто нечего ломать

Андрей Жуков, ведущий специалист по анализу защищенности УЦСБ, автор блога s0i37_channel, рассказал порталу Cyber Media об особенностях физического пентеста, специфике его проведения и неочевидных векторах атаки на компании, как крупные компании ломаются с помощью только одного смартфона и чем опасны беспроводные мышки на рабочем месте.

Cyber Media: Распространено мнение, что физический пентест ограничивается разбрасыванием флеш-карт вокруг офиса заказчика. Что на самом деле входит в физический пентест?

Андрей Жуков: Да, эта атака была красиво показана в сериале Mister Robot, как и большинство других атак.

Пожалуй, еще более распространенным мнением о физическом пентесте является вскрытие замков, ломание техники и прочее применение грубой силы. И это, и подбрасывание флешек — лишь самая вершина айсберга рисков, что возникают при наличии особо мотивированных злоумышленников.

Мотивированных настолько, что они больше не мучают ваш периметр сканерами сидя на диване, а готовы приехать к вашим офисам и быть в зоне действия беспроводных устройств или даже ещё ближе.

Как ни странно, к физическому пентесту я бы отнес то, что согласно CVSS им не является (Access Vector: Network). Речь про разнообразные атаки на беспроводные устройства. Почему физический пентест я бы начал с радиоканала — потому что, как правило, любой злоумышленник вначале является внешним нарушителем и пока ему доступны только такие атаки. Почему я вообще считаю такие вещи физическими атаками — потому что их проведение имеет мало общего с атаками по сети интернет, а сами условия проведения зачастую накладывают на злоумышленника те же ограничения что и уже классические физические атаки (неудобное место проведения, погодные условия и тп). Разница порою лишь в нескольких метрах.

Конечно же, в первую очередь начать стоит со всеми любимого Wi-Fi. На него атак существует столько, что хватит на целую неделю пентеста. Причем далеко не про все атаки широко известно – что-то банально забыто, а на какие-то вещи широкая общественность внимания не обращала.

Попытка проникновения через Wi-Fi — это не только атака, что называется «в лоб», то есть на официальные точки доступа. Хотя, конечно же, проникновение может быть и через них. Например, популярные в корпоративном сегменте WPA Enterprise имеют ряд проблем, связанных с небезопасной передачей пароля. Открытые гостевые сети тоже могут содержать изъяны — например, там могут встретиться dual-homed ПК, вторым интерфейсом смотрящие в корпоративную сеть. Бывает, что в гостевых сетях присутствует глубокая сегментация и где-то в 192.168.0.0/16 или 172.16.0.0/12 могут встретиться также корпоративные узлы.

Чаще проникновения происходят через второстепенные точки доступа, например тестовые, технологические, какого-то особого назначения или сетей для VIPов. А порою этими точками доступа являются и давно забытые сети.

Атаковать эти сети можно не только классическим брутом hashshake/pmkid. Не стоит и забывать и про WPS, который всё ещё может встретиться. Но что делать, если у точки доступа нет активных клиентов, а pmkid и wps она не подвержена? Точка доступа при этом может содержать словарный пароль вроде 12345678 — так что про онлайн брутфорс забывать тоже не нужно. Так, очень часто, почти у любой компании можно встретить беспроводные принтеры, в которых могут быть, например, сохраненные доменные учетные записи.

Наконец, иногда подобные второстепенные точки доступа могут быть и вовсе открытыми. Например, как было в одном из моих недавних проектов, когда в столовой одного из офисов заказчика по какой-то причине стоял открытый Mikrotik.

В наше время любой имеет в своем телефоне точку доступа и иногда злоумышленник может зайти через несанкционированную беспроводную сеть, раздаваемую сотрудником. Зачастую не беспокоясь о безопасности, такие точки доступа могут иметь очень слабые пароли. Далее последует атака на корпоративный ПК пользователя и в случае успеха — проникновение.

Куда более не очевидным примером атак на Wi-Fi может быть атака клиентских устройств, например IoT. Яркий тому пример — атака на IP-камеры, которыми обычно увешаны периметры компаний. Существуют техники, позволяющие удаленно подключать такие устройства к своему ПК и атаковать их. IP-камеры далеко не самый защищенный девайс, и в случае успешной атаки IP-камера может стать мостиком в корпоративную сеть.

Казалось бы, столько угроз, а ведь список атак ещё не полный… тем не менее Wi-Fi далеко не самая страшная угроза. И не самая распространенная…

Задумывались ли вы, что ваш адаптер беспроводной мышки (не в каждом случае, конечно) позволяет с расстояния 50 метров любому желающему набрать на вашем ПК любой текст. Злоумышленник не станет писать приветственные фразы, а нажмет вам «win-r» и введет вредоносную команду. Такое RCE работает так быстро, что жертва может ничего не заметить, а если и заметит, то далеко не в первую очередь соотнесет это с инцидентом ИБ и попыткой взлома. Что ещё более печально, так это вес жертвы — в ряде компаний обладателями таких уязвимых устройств обладают либо VIPы, либо ИТ-шники или админы. Так что добыча злоумышленника может стать сразу весомой.

Заметьте, все эти атаки не потребуют от потенциального злоумышленника риска, а применяемые им технические средства тут либо не отличаются от привычных, либо едва ли вызовут подозрение. В итоге, такие атаки трудно оперативно выявить, а злоумышленнику быть пойманным.

Совсем другие атаки открываются для злоумышленника, когда он переходит в следующий раунд — внутренний нарушитель.

Возможно, для этого злоумышленнику пришлось повозиться со СКУДом. В большинстве офисов СКУД легко подвержен клонированию, как в случае с RFID, не имеющим защиты от несанкционированного считывания. В меньшем количестве случаев, как правило, когда СКУД достаточно новый, злоумышленник может столкнуться с NFC технологией. Зачастую такие карточки (что с виду не отличить от RFID) могут быть также прочитаны с помощью аппаратных уязвимостей (например, nested). Мне попадались случаи, когда NFC СКУД хранил идентификаторы на незащищенном UID.

Однако для проникновения внешнему нарушителю иногда достаточно лишь войти в офис и перед ним окажется, скажем отдел по работе с клиентами или отдел кадров.

Насколько офисы компаний уязвимы теперь перед внутренним нарушителем? Многие ли из нас блокируют свои рабочие ПК, когда выходят из кабинета? Или как много вы замечаете не заблокированных компов ваших коллег? Сколько потребуется злоумышленнику для захвата такого ПК? Ответ — 3-4 секунды — win-r и команда загрузки backdoor. Работа сделана, злоумышленник может идти домой. Больше тут добавить нечего.

Но каким атакам подвержен ваш ПК, если вы, как порядочный пользователь, блокируете свой сеанс? При этом у вас свежая ОС, стойкий пароль и даже зашифрованный диск. Словом, эталонный пример защищенного рабочего места. Что ж, злоумышленник может отправить ваш ПК в аппаратную перезагрузку и вставить загрузочную флешку. ПК начнет загружаться с незатертыми данными в RAM. И если злоумышленнику дальше удастся подхватить свою флешку, то загрузочным кодом он сохранит всё содержимое вашей оперативной памяти в раздел флешки. Далее специализированные средства, такие как volatility или rekall, позволят вытащить очень много информации, включая пароли открытым текстом, что были за мгновение до перезагрузки, ведь в RAM все данные всегда открыты. Если ваши рабочие ПК всё ещё работают на BIOS, то вы весьма подвержены данной атаке.

Однако у злоумышленника есть ещё парочка безотказных приёмов. В залоченный ПК он может вставить особое USB-устройство (например, raspberry) и сэмулировать на нем ethernet-устройство. Ваша заблокированная Windows (или даже Linux или Mac), увидев съемное сетевое устройство, автоматически создадут сетевой интерфейс и применят к нему DHCP. В этот момент хакерское устройство может выдать сетевые настройки так, что основные интерфейсы окажутся перекрытыми и трафик начнет стекать в устройство. Перекрытыми окажутся и маршруты до контроллеров домена, почты и других корпоративных ресурсов со сквозной аутентификацией. Ваш ПК, не ожидая такого подвоха всего через 1-2 минуты отправит NetNTLM-хэш в данное хакерское устройство. С ним хакер может поступить двумя способами — либо брутить, а может и заюзать слитый хэш в NTLM-relay атаке. Так что, если перед ним заблокированный комп админа, то таким устройством он вероятно сможет открыть себе доступ к любому серверу.

Можно поступить еще проще. Все вы, наверное, слышали про rubber ducky, те самые флешки, что ведут себя, как клавиатуры, набирая уже знакомые win-r evil-команды. А ведь такие устройства (весьма небольшого размера, кстати) можно запрограммировать на повтор этих самых нажатий. В случае если у злоумышленника есть возможность скрытно подключить такое устройство к вашему заблокированному или даже выключенному ПК, то циклично повторяя ввод раз в N-минут/часов/дней устройство непременно угадает момент, когда ваш ПК будет разлочен и злоумышленник добьется своего.

Наконец, оказавшись внутри компании злоумышленнику не обязательно атаковать что либо, достаточно лишь закрепиться. Сделать это можно двумя способами. Либо вклинившись посередине между сетевой розеткой и, скажем, принтером в коридоре или IP-телефоном в переговорке. Устройство может прозрачно зеркалировать трафик между сетевыми интерфейсами, не выявляя своего присутствия, и в тоже время предоставив злоумышленнику удаленный сетевой доступ через открытый с устройства VPN. Другим менее очевидным примером физического закрепления может быть немного модифицированный 4G-модем. Такие устройства образуют с вашим ПК сетевой интерфейс, а внутри у них полноценный Linux, на котором может быть запущен VPN уже через неконтролируемый GSM-канал. В итоге злоумышленник в дальнейшем может начать удаленно атаковать корпоративный комп, как бы изнутри модема подключенному по USB.

Все это далеко не полный перечень атак, которые должна выдержать инфраструктура заказчика, заказавшей физический пентест. На самом деле, мало кто из заказчиков знает про все эти атаки на этапе согласования работ. И часто данные работы мы проводим, так сказать, бонусом. Требуется проверить Wi-Fi — мы проверяем и другие беспроводные устройства (беспроводные мышки). Физический пентест ещё не столь распространенная услуга и те заказчики, что робко делают первые попытки таких работ, скажем обозначив только подбрасывание badusb-флешек или проверку СКУДа, обычно получают от нас куда большее количество проверок и демонстраций актуальных угроз. Так что куда чаще глаза у заказчиков на все актуальные угрозы открываются уже потом.

Cyber Media: Какие технические средства чаще всего входят в инструментарий пентестера при работе непосредственно на объекте заказчика?

Андрей Жуков: Хоть ноутбук я и не считаю главным инструментом при физических атаках, но вся настройка и удаленный доступ происходит именно через него.

Почти все атаки по радиоканалу я предпочитаю делать с обычного Android-смартфона. Используя root + chroot, какое-нибудь ядро Linux я собираю нужные мне драйвера и могу использовать абсолютно любое внешнее устройство. Внешний адаптер при атаках на Wi-Fi далеко не всегда нужен большой и с длинными антеннами. Отказ от мощного сигнала можно компенсировать неприметностью оборудования и возможностью ближе подойти к целям.

Не стоит забывать и про то, что половина тех же атак на Wi-Fi прекрасно будет работать и со встроенного адаптера. А мощность сигнала у некоторых современных телефонов превосходит даже адаптер Alfa (собственноручно измерено в поле).

В случае же если нами получен доступ к беспроводной сети, а сигнал её приема не оставляет нам иного места проведения кроме как сидеть в кустах, то можно воспользоваться обычным одноплатником и 4G модемом. Такое устройство подключается к нужной беспроводной сети и предоставляет туда удаленный доступ по VPN подобно шлюзу из комфортного места. Это может позволить избежать съёма квартиры в доме напротив объекта.

В общем, устройств много, никогда наперед не знаешь, что пригодится и в скромный рюкзак всё это легко помещается.

Cyber Media: Если говорить об успешности физического пентеста, насколько часто получается достичь всех поставленных задач?

Андрей Жуков: Успех проникновения можно условно выразить следующей формулой: размер компании * время проведения пентеста. Как видно из этой простой формулы все величины прямо пропорциональны успеху. Чем крупнее размер компании, тем выше шансов разыскать что-то забытое, уязвимое, о чем все позабыли. Ну и конечно же все упирается во время — даже если злоумышленник не нашел ни одной уязвимости он может подбирать пароли пока те не подберутся. Либо же он может просто ждать очередного 0-day и сыграть с админами на опережение. Словом, для достаточно мотивированного злоумышленника нет ничего невозможного.

Cyber Media: Какие внештатные ситуации могут произойти при проведении физического пентеста? Какие рекомендации Вы могли бы дать, чтобы выйти из них наилучшим образом?

Андрей Жуков: Конечно же, во-первых, это внимание со стороны служб безопасности. Существуют такие строгие режимные объекты, что даже безо всякой техники к вам могут подойти и начать расспрашивать. И это, не говоря уже про попытку применения специальных технических средств (внешние Wi-Fi адаптеры, длинные страшные антенны). Думаю, что ничего страшного не случится, но если работы проводятся в формате redteam, то желательно подобного как-то избегать.

Мои рекомендации — используйте телефоны. Эти устройства имеют колоссальный хакерский потенциал, они более удобны при подвижных атаках и наконец, почти не вызывают подозрения (если что, то вы такси ждёте).

Не стесняйтесь использовать одноплатные ПК, мы живем в прекрасное время, когда под любую задачу можно найти соответствующий одноплатник — RockPi, RaspberryPi, NanoPi, BananaPi, и т.д. Ну и, конечно же, Arduino. Все эти устройства можно настроить на работу с любым хакерским девайсом и решить абсолютно любую задачу. Не опускайтесь до уровня покупки готовых устройств — «я купил pineapple (или flipper), нажал кнопку, и оно все сделало само» — это путь script kiddie.

Будьте свободны и не зависьте от того самого продавца — умейте собирать всё сами.

Cyber Media: Какие кейсы из Вашей практики Вы считаете наиболее интересными и наглядными?

Андрей Жуков: Сложные и редкие атаки — это не прикольно. Кому они нужны, когда есть куча куда более простых атак с отличным импактом. Так что, самые показательные кейсы это те, где атака прошла максимально просто, действенно, но не очевидно.

Мой любимый кейс — это кейс с пробивом периметра завода через беспроводную мышку. Завод был пробит в конце рабочего дня в пятницу, когда мы уже собирались уезжать. Мне нравится этот кейс по многим причинам. Во-первых, легкость и скорость с которой был пробит периметр — всего несколько секунд. Во-вторых, практически полное отсутствие осведомленности в обществе на данный тип атаки (ещё множество заказчиков было взломано подобным образом, включая крупные и известные ИТ-компании). Про угрозы Wi-Fi нынче знает любой, но про беспроводные мышки не так много, как хотелось бы. В-третьих, данный объект имел очень жесткую систему досмотра, но в результате был атакован прямо с улицы, да ещё и с простого телефона.

Я очень люблю развивать фантазию в плане атак, особенно касательно беспроводных мышек. К сожалению, в рамках пентеста мы не можем проявлять своё творчество на 100%, но посмотрите этот замечательный ролик, который показывает, что есть уязвимости ещё опаснее, чем в компьютерных играх про хакеров.

Второй мой любимый кейс — это достаточно неочевидный взлом компании через IoT.

В моем давнем докладе на PHDays (https://www.youtube.com/watch?v=qMGxLwI53b4) я рассказывал о скрытой и давно забытой угрозе Wi-Fi устройств — Karma. И вот на одном из объектов мои коллеги подключили к себе IP-камеру, проэксплуатировали на ней 1day RCE и закинули на неё прокси. В результате с улицы попали в корпоративную сеть. Данный кейс примечателен своей неочевидностью, ведь IP-камера это клиентское устройство, не раздающее Wi-Fi и ничем не выделяющееся. Это заставляет задуматься о том сколько ещё подобных «молчаливых» устройств могут таить в себе подобную угрозу. Ведь ни для кого не секрет, что клиентских устройств куда больше, чем точек доступа.

Cyber Media: По Вашему опыту, насколько компании устойчивы к физическим и околофизическим атакам?

Андрей Жуков: По моему мнению, в данный момент состояние не очень. Исходя из формулы успеха атак, более-менее неприступной может быть лишь очень мелкая компания — у которой просто нечего ломать. Крупные компании (те, что имеют много зданий, распределенных по городу или даже стране) имеют гораздо более перспективную поверхность для атак и куда с большей вероятностью привлекут уже реальных злоумышленников. Если бы реальные атаки проводили опытные пентестеры, то почти всегда был бы пробив. Но ситуацию спасает то, что всё-таки некоторая сложность и определенный порог входа не позволяет злоумышленникам реализовать все атаки. Они чаще пойдут по более простому сценарию – например, социальная инженерия.

На самом деле, природа хакерских атак такая, что чаще ломают не таргетированно, а то, что можно сломать, действуя, что называется в ширину. В киберпространстве компании ловят шифровальщиков не потому, что кто-то очень их не любит, а потому что у них было что-то уязвимое и легко доступное. С точки зрения прибыли почти все черные шляпы действуют именно так.

Но вот в физическом мире, к счастью, иные законы. Мало кто станет разгуливать по городу в поисках незащищенных беспроводных устройств с тем, чтобы так же массово атаковать все подверженные компании. Тут нет такой автоматизации, как в интернете, где та или иная программа за неделю сможет обойти весь мир атакуя подверженные устройства. А человек по своей природе существо ленивое.

Выходит, все дело в том, что количество и качество злоумышленников ещё не достигло критического уровня. А значит надо играть на опережение — и не тянуть с повышением уровня своей физической и околофизической защищенности.

Но я бы не советовал всем компаниям сейчас кидаться в эту область. Физический пентест — это уже второй уровень. Сперва следует навести порядок в цифровом мире — ваши ресурсы в сети интернет. Ведь, все-таки куда больше шансов получить киберинцидент с этого поля.

Cyber Media: Если говорить о защите от такого рода кибератак, какие рекомендации Вы могли бы дать?

Андрей Жуков: Проведение пентеста? Не у всех компаний есть на это бюджет. Да и пентест будет куда эффективнее, если вы сперва попытались выстроить свою защиту, тогда есть, что проверять. Но что посоветовать в этом случае? Трудно выделить какую-то одну хорошую рекомендацию. Кроме разве что одной — это осведомленность. Ведь перед началом выстраивания защиты нужно сперва узнать угрозы.

Несколько лет назад я понял, что на рынке еще нет источника, описывающего все упомянутые и не только атаки, и решил сам написать про эту книгу «Физические атаки с использованием хакерских устройств».

В книге представлены наиболее актуальные и современные векторы физических и околофизических атак. Даже если вы не очень разбираетесь в технике, множество цветных картинок и фото наглядно покажет вам все актуальные угрозы, с которыми может столкнуться ваша компания и с чем вы должны непременно справиться. Так что каждому безопаснику — must have.

Также книга будет полезна и проверяющей стороне — как начинающим пентестерам, так и уже практикующим. Уверен, все найдут для себя что-то полезное.