Злом промислового підприємства: досвід Red Team тестування

19 листопада 2024 1 хвилина Автор: Lady Liberty

У статті описується досвід команди з проведення Red Team тестування на промисловому підприємстві. Детально розглядається підготовка до операції, включно зі збором інформації про об’єкт, плануванням дій та вибором необхідних інструментів. Описані методи фізичного проникнення, такі як відкриття замків, обхід систем контролю доступу та використання соціальної інженерії.

  • Disclaimer: Усі наведені в цій статті дані мають виключно ознайомчий і навчальний характер. Вони не є інструкцією до дії та не можуть бути використані для будь-яких незаконних чи зловмисних цілей. Мета статті — підвищити обізнаність про вразливості та допомогти фахівцям із кібербезпеки краще захищати інфраструктуру.

Як це зробити?

Привіт усім! Цього разу представлено цікавий проєкт, деталі якого не можуть бути розкриті через суворі умови NDA. Усі події та персонажі змінені, а будь-які збіги є випадковими.

Важливо зазначити, що наведена інформація має виключно навчальний характер, не є закликом до дії та не може бути використана у зловмисних цілях. Основна мета – продемонструвати вразливості, які потребують усунення фахівцями з інформаційної безпеки.

Проєкт розпочався на запит великої компанії для перевірки систем захисту за моделлю Red Team, у межах якої взаємодіяли кілька спеціалізованих команд:

  1. Координатори.

  2. Спеціалісти із зовнішнього впливу.

  3. Підтримка C2 інфраструктури.

  4. Група, відповідальна за фізичний доступ.

  5. Представники замовника, які контролювали процес.

Завданням було знайти та реалізувати будь-які можливі вектори атаки з урахуванням активного протистояння. Проєкт мав важливе значення, оскільки вимагав повної демонстрації потенційних загроз і вразливостей, які могли бути використані проти компанії.

У центрі уваги цього опису — діяльність команди, відповідальної за фізичний доступ до об’єктів. Замовник визначив основні цілі: штаб-квартира компанії та стратегічний об’єкт, що включає склади та технологічні ресурси.

Першим етапом стало проведення OSINT. Отримана інформація значно полегшила планування робіт, підбір необхідного обладнання та оцінку ресурсів, які потрібно було залучити для виконання завдання.

Наступним кроком була підготовка обладнання. З огляду на велику кількість потенційних векторів, для транспортування устаткування знадобилися чотири 120-літрові валізи, шість рюкзаків і декілька невеликих сумок. Серед вантажу були технічні засоби, інструменти, а також документація. Остання складалася з договорів на проведення робіт та авторизаційних листів. Усі документи пройшли ретельну перевірку юристів, що дозволило уникнути можливих юридичних помилок.

Підготовка технічних засобів для фото- та відеофіксації стала важливим етапом роботи. У складних умовах використання смартфона виявляється незручним і ризикованим. Наприклад, знімати свої дії поблизу дверей щитової або в ситуаціях, де є ризик впасти, практично неможливо. До того ж, відсутність задокументованих доказів компрометації значно ускладнює підготовку звіту.

У таких випадках оптимальним рішенням є екшн-камера, яка забезпечує надійну фіксацію подій. Для зручності використовується швидкознімний затискач, що дозволяє оперативно змінювати батареї без зайвих затримок, навіть у напружених умовах.

Приблизний список того, що команда взяла із собою

Техніка

  • Ноутбуки: MSI, MacBook, MSI для HackRF

  • Raspberry Pi: 4B (1 шт.), Pi Zero (2 шт.)

  • GoPro + кріплення, акумулятори (4 шт.)

  • Flipper + модулі

  • Proxmark (3 шт.)

  • HackRF + антени (2 шт.)

  • Alfa: велика та маленька з антенами

  • Рації з антенами (2 шт.)

  • Модем

Зарядні пристрої

  • Зарядний пристрій для ноутбуків (3 шт.)

  • зарядки для рацій (2 шт.)

  • Powerbank: великий (20000 mAh) та малий

Інструменти

  • Паяльник + припій

  • Пасатижі

  • Відмички (комплекти: англійська, перфораційна, сувальдна, самоімпресія)

  • Ліхтарі: звичайний та налобний, а також для замкових свердловин

Мережеве обладнання

  • Патч-корди

  • Type-A – Ethernet перехідник

  • SD-card reader

USB-пристрої

  • BadUSB Cactus + корпуси (15 шт.)

  • Звичайні флешки

  • Live CD

Спорядження

  • Промальп-спорядження

  • Балаклава

  • Рукавички (5 пар)

Документи

  • Паспорти

  • Посвідчення (промальп)

  • Документи за проектом (договір, авторизаційні листи)

  • Мерч атакованої компанії

Витратники

  • Армована ізолятора

  • Двосторонній скотч

На наступному етапі було складено детальний план робіт, який визначав порядок дій, послідовність проведення розвідки та етапи реалізації атаки. Проєкти такого типу відзначаються гнучкістю: іноді для досягнення мети доводиться днями або навіть тижнями спостерігати за об’єктом, а іноді можна скористатися миттєвим вразливим моментом, який виникає несподівано.

На основі результатів GEOINT, отриманих під час попередньої підготовки, було визначено потенційні точки входу. Однак, як це часто трапляється, обставини змінилися: оточення об’єкта було змінено, і раніше визначені вектори доступу стали недоступними. Це вимагало перегляду попередніх планів та адаптації стратегії відповідно до нових умов.

Етап розвідки та активних дій, як правило, тісно пов’язаний із безпосередньою реалізацією атаки, тому часто проводиться паралельно з іншими етапами. Під час цього етапу команда обстежувала територію визначеного об’єкта, дотримуючись спокійної і непримітної поведінки.

Особливий інтерес викликали знімки, зроблені в процесі, наприклад, сплячі охоронці або відеостіна, яка яскраво підсвічувалася вночі. Проте, знімки через монокль не завжди виходили достатньо якісними для детальної ідентифікації зображення на екранах. Незважаючи на це, вдалося отримати цінну інформацію, наприклад, кількість камер, які одночасно доступні для перегляду в системі спостереження. Ці дані стали важливим елементом у подальшій роботі.

Для забезпечення ефективної комунікації команда використовувала рації з гарнітурою, що дозволяло підтримувати безперервний зв’язок навіть при роботі в розділених парах. Під час цього етапу ретельно фіксувалися маршрути переміщення, час зміни охорони, а також їхні звички та особливості поведінки.

Отримана інформація виявилася надзвичайно корисною для подальшого планування дій. Спостереження дозволили краще зрозуміти внутрішні процеси охорони та ідентифікувати потенційні слабкі місця, що стало ключовим фактором для успішного виконання завдання.

Етап активних дій розпочався з визначення оптимального вектора проникнення та часу, коли діяти було найбезпечніше. Вибраний вхід через двері з англійським профілем виявився непростим — китайський інструмент для відкриття замків не був достатньо ефективним через свої конструктивні обмеження. Використання більш професійного обладнання, наприклад Multipick, могло б суттєво спростити завдання. Попри труднощі, двері вдалося відкрити.

Пересування територією здійснювалося спокійно, щоб не привертати увагу. Біг або швидкі рухи могли викликати підозру, тому дотримувалися максимально природної поведінки. Команда працювала парами: одна частина залишалася за межами периметра, контролюючи обстановку та передаючи оновлення, щоб знизити ризик викриття.

Всі точки, захищені механічними замками, вдалося відкрити без значних труднощів — очевидно, через низьку якість замкових механізмів. Критичні вузли, які могли бути використані для подальшого впливу, були зафіксовані.

Під час огляду будівель усередині периметра вдалося знайти перепустку, що значно спростило пересування. Хоча зазвичай для складання планів приміщень використовується застосунок Magic Plan, у цьому випадку така необхідність відпала, оскільки плани будівель були розміщені на стінах, що додатково пришвидшило процес роботи.

На наступному етапі роботи команда розділилася для виконання окремих завдань. Один із фахівців вирушив для встановлення апаратного бекдора, що є ключовим елементом у подальшому отриманні доступу до внутрішньої мережі. Паралельно інші учасники продовжували роботу на об’єкті, виконуючи додаткові завдання, спрямовані на підготовку до реалізації наступних етапів атаки.

У цей час робота зосередилася на серверних кімнатах, які були однією з ключових цілей. На шляху зустрічалися як двері, захищені системами контролю управління доступом (СКУД), так і звичайні двері з перфо-профілем, які теж вели до необхідних об’єктів.

Перші двері потребували значного часу на відкриття, оскільки використовувалася техніка прочісування. Наступні двері виявилися менш складними: за умови використання техніки попинового протискання середній час розкриття складав приблизно 20 секунд.

Однак серед дверей трапився варіант із цікавим англійським профілем, який виявився несумісним із наявним інструментом. Через це такі двері довелося залишити закритими, оскільки подальші спроби могли бути надто ризикованими або забирати занадто багато часу.

Після завершення всіх запланованих дій команда організувала евакуацію до точки збору, де їх чекала основна група.

Наступним об’єктом стала штаб-квартира в тому ж місті, де основною метою було проникнення і встановлення апаратного бекдора для закріплення доступу. Цього разу вдалося обійтися без офіційної перепустки. Було реалізовано сценарій соціальної інженерії: через дзвінок до сусідньої організації бізнес-центру “А” представилися потенційними клієнтами, які бажають особисто обговорити умови співпраці. Завдяки цьому на ресепшені видали перепустки, що дозволило успішно подолати перший контур без зайвих питань.

На поверсі вже знаходився СКУД, однак система фактично не створювала значних перешкод. Використовуючи атаку tailgating, вдалося увійти до приміщення разом із іншими співробітниками. Потрапивши в хол, команда попрямувала на кухню, де можна було непомітно спостерігати за співробітниками, слухати їхні розмови та формувати подальший план дій на основі отриманої інформації.

Команда візуально оцінила приміщення, визначивши місця для підключення до мережі через розетки. Після цього було розпочато взаємодію зі співробітниками компанії. Під виглядом технічної підтримки вдалося підключитися до мережі, замінивши кабель принтера на апаратний бекдор. Переконавшись, що команда C2 отримала сигнал і підключення активне, команда перейшла до пошуку додаткових точок доступу.

Друге підключення було організовано за допомогою прихованого встановлення пристрою за панеллю стелі. Для спостереження встановили портативні камери, які забезпечували моніторинг активності в зоні підключення. Завдання в цьому контурі було завершено, після чого команда передала доступ іншим фахівцям, які почали проникнення в інфраструктуру.

Роботу завершено складанням чорнового варіанта звіту про виконані дії. Паралельно готували матеріали для відеодокументації, адже такі динамічні етапи проєкту завжди привертають увагу і добре ілюструють результати проведеного тестування.

У підсумку замовник був успішно протестований як зовні, так і зсередини. Проведений аудит безпеки виявив низку цікавих вразливостей. Зовнішній периметр виявився вразливим до певних загроз в Інтернеті, тоді як у внутрішній інфраструктурі були знайдені типові недоліки. Уся операція із тестування безпеки об’єкта, включно з фізичним і технічним проникненням, зайняла приблизно 7 годин. Повний аналіз і підготовка висновків завершилися через 10 днів. Після цього команда повторно відвідала об’єкт замовника для проведення детального аудиту фізичної безпеки в їхньому супроводі.

Сподіваємося, ця історія була корисною й цікавою.

Інші статті по темі
ОсвітаСамонавчання
Читати далі
№1. RedTeam-Tools. Поради червоної команди Поради охоплюють низку тактик, інструментів і методологій для покращення ваших здібностей червоної команди.
Поради охоплюють низку тактик, інструментів і методологій для покращення ваших здібностей червоної команди.
830
Знайшли помилку?
Якщо ви знайшли помилку, зробіть скріншот і надішліть його боту.