ПРОМЫШЛЕННЫЕ КОМПАНИИ. ВЕКТОРЫ АТАК. Топ-10 уязвимостей корпоративной ЛВС промышленных организаций (доля компаний)

1. Получение и повышение привилегий в ОС на узлах КИС.

В случае отсутствия привилегий в КИС (например, если атакующий — не сотрудник и не подрядчик организации) нарушителю необходимо получить доступ к корпоративной сети. Для этого он может использовать доступные сетевые розетки, гостевой Wi-Fi или осуществить атаку через интернет.

После получения доступа к КИС основной задачей нарушителя является получение и повышение локальных привилегий на серверах и рабочих станциях сотрудников, а также сбор информации о сетевой топологии, используемых устройствах и ПО.

2. Развитие атаки и закрепление в КИС

После получения максимальных локальных привилегий на одном или множестве узлов КИС нарушителю необходимо развить атаку на другие доступные ресурсы с целью закрепления в КИС и выявления тех устройств, с которых возможно осуществить доступ к ТС. Развитие атаки в корпоративной сети осуществляется с использованием уязвимостей ПО, ОС и веб-приложений, недостатков сегментации сетей и аутентификации пользователей. Кроме того, может использоваться информация, полученная с общедоступных файловых хранилищ (например, учетные данные или конфигурационные файлы оборудования). Целью нарушителя являются получение максимальных привилегий в домене и выявление точек проникновения в ТС, сбор информации.

3. Получение доступа к критически важным системам и развитие атаки в ТС

Как правило, результатом второго этапа является получение привилегий администратора домена и множества учетных записей привилегированных сотрудников организации. Нарушитель обладает дополнительными знаниями о процессах в компании и используемых системах, параметрах оборудования и другой информацией, которая может быть использована для проникновения в ТС. Полученные привилегии и сведения злоумышленник может использовать для выявления существующих каналов подключения к ТС. Кроме того, нарушитель может применить полученные привилегии для изменения конфигурации сетевых устройств с целью построения собственного канала в ТС.

Топ-10 уязвимостей корпоративной ЛВС промышленных организаций (доля компаний):

· Задание паролей привилегированных пользователей в групповых политиках

· Избыточные привилегии пользователей и ПО

· Сохраненные параметры аутентификации для доступа к критически важным системам

· Использование одинаковых учетных данных для доступа к различным ресурсам

· Отсутствие защиты от атак на протоколы NBNS и LLMNR

· Использование открытых протоколов передачи данных

· Хранение важной информации в открытом виде

· Недостатки сегментации сетей и фильтрации трафика

· Уязвимые версии ПО и ОС

· Словарные пароли

 Такие недостатки, как использование словарных паролей и уязвимых версий ПО, встречаются в рамках тестов на каждом из перечисленных этапов и играют ключевую роль в успешности атаки. Недостатки сегментации сети в совокупности с доступностью интерфейсов управления и подключения к СУБД для любого пользователя КИС характерны для большинства промышленных компаний, и в некоторых случаях эти недостатки обусловлены намеренными действиями администраторов, а не ошибкой конфигурации. Более подробно такие ошибки разграничения доступа будут рассмотрены при описании третьего этапа атаки.

Типовая схема атаки

Типовую атаку, которая позволяет внутреннему нарушителю, действующему из корпоративного сегмента ЛВС, проникнуть в технологическую сеть предприятия и скомпрометировать технологический процесс, можно разделить на три основных этапа:

1. Получение и повышение привилегий в ОС на узлах КИС.

2. Развитие атаки и закрепление в КИС.

3. Получение доступа к критически важным системам и развитие атаки в ТС.

Каждый этап может быть реализован различными методами, однако нарушителю необходимо действовать, с одной стороны, максимально эффективно, с другой — максимально незаметно. Поэтому в рамках работ по тестированию на проникновение наши эксперты проверяют возможность реализации максимально возможного количества сценариев атаки и оценивают сложность и вероятность их реализации.

Начальный этап атаки зависит от возможности нарушителя получить доступ к ресурсам ЛВС и уровня привилегий на таких ресурсах. Как правило, в случае атак со стороны нарушителя, не обладающего привилегиями в корпоративных системах компании, сложность атаки довольно высока, так как для подключения к сети ему необходимо получить доступ к сетевой розетке, которые располагаются во внутренних помещениях здания, доступ к которым ограничен для посетителей, не являющихся сотрудниками. Но некоторые ошибки конфигурации сетей могут упростить вектор проникновения. В рамках аудитов безопасности наши специалисты в одной из компаний выявили возможность организации атак на КИС через гостевой Wi-Fi и еще в двух организациях — возможность атак с использованием сетевой розетки информационного терминала, расположенного на проходной.

В случае же, если внутренним нарушителем является, например, сотрудник компании, подрядчик, партнер или даже уборщик, вероятность успешной компрометации критически важных ресурсов существенно повышается. Именно внутренний нарушитель, действующий из пользовательского сегмента КИС, является наиболее вероятным источником атак на объекты ТС, поэтому далее будет рассмотрена именно эта модель нарушителя.

В каждой исследованной промышленной организации были выявлены словарные пароли. Это были не только пароли доменных пользователей, которые зачастую недостаточно осведомлены в вопросах ИБ: на всех предприятиях встречались словарные пароли локальных администраторов, привилегированных пользователей СУБД, бизнес-систем и FTP-серверов. К словарным относятся также и установленные заводом-изготовителем значения, которые могут быть получены из документации на устройства и ПО. Именно подбор учетных записей является первым из векторов, который использует потенциальный внутренний нарушитель. Этот вектор атаки позволил получить привилегии локального администратора на узлах корпоративной ЛВС

Устаревшие версии ОС и ПО встречаются на промышленных объектах повсеместно. Это вызвано тем, что регулярно устанавливать обновления без нарушения технологического процесса зачастую просто невозможно, а в каких-то системах установка обновлений для определенных компонентов может повлиять на их совместимость с другими. Последнее может служить веским доводом при оценке рисков для технологического сегмента, который строго должен быть отделен от других внешних сетей, в том числе и с целью компенсации этих недостатков безопасности. Для корпоративной же сети, которая, ко всему прочему, имеет выход в интернет, использование устаревших версий ПО и ОС недопустимо.

Громкими примерами атак с использованием таких уязвимостей могут служить эпидемии шифровальщиков WannaCry и NotPetya, произошедшие в 2017 году и затронувшие множество организаций по всему миру, в том числе и из сферы промышленности. В рамках данных кампаний злоумышленники активно использовали уязвимость MS17-010 в ОС Windows. Соответствующий эксплойт EternalBlue был опубликован спустя месяц после выпуска патча, закрывающего уязвимость. Однако в рамках всех тестирований на проникновение, проведенных в промышленных компаниях уже после появления эксплойта, наши эксперты продемонстрировали его успешную работу.

В целом же в 45% промышленных объектов получить контроль над серверами и рабочими станциями удалось благодаря эксплуатации известных уязвимостей в различном ПО. Яркими примерами других таких уязвимостей могут служить CVE-2003-0727 в Oracle, CVE-2008-6508 в OpenFire, MS08-067 в ОС Windows. Еще одним распространенным недостатком в обеспечении ИБ предприятий является недостаток защиты от атак на служебные протоколы сетевого и канального уровней. В рамках тестирований на проникновение в 100% организаций выявляется отсутствие защиты от атак ARP Cache Poisoning и в 70% компаний — недостатки защиты от атак на протоколы NBNS и LLMNR. Атаки на эти протоколы позволяют злоумышленнику нарушать сетевое взаимодействие, перехватывать и модифицировать трафик (атаки типа «человек посередине»).

В частности, в результате атак на протоколы NBNS и LLMNR внутренний нарушитель способен получать из трафика идентификаторы и NTLM-хеш-суммы паролей доменных пользователей, а также в открытом виде пароли, которые передаются по протоколу HTTP. Сложность такой атаки довольно низкая, так как все действия можно осуществить с помощью общедоступной утилиты Responder. С ее помощью были получены учетные данные с привилегиями локального администратора и доступ к домену на 36% исследованных промышленных объектов.

Данная атака могла оказаться успешной в 73% компаний, однако в рамках некоторых тестирований ее проведение было запрещено из-за риска нарушения работы сети. Групповые политики домена могут использоваться администраторами для обновления пароля локального администратора одновременно на множестве машин. Однако данный способ изменения учетных данных небезопасен, так как в течение времени существования файла с такой политикой нарушитель, обладающий привилегиями пользователя домена, может прочитать его содержимое и восстановить заданные пароли.

Первый этап атаки завершается получением привилегий локального администратора на одном или нескольких узлах КИС, в некоторых случаях полученные учетные записи также позволяют получить доступ к доменам. Далее нарушитель осуществляет развитие атаки внутри корпоративной сети с целью обнаружения компьютера, с которого он может получить учетные данные администратора домена, а также с целью получения максимально возможного объема дополнительной информации о процессах в компании и используемых системах.

Привилегии локального администратора на компьютерах под управлением Windows (именно такие используются на всех исследованных нами объектах) позволяют нарушителю либо запустить специальную утилиту для получения учетных данных пользователей из памяти ОС (например, mimikatz), либо сделать копию процесса lsass.exe и уже на своем ноутбуке с помощью той же утилиты прочитать пароли или хеш-суммы паролей пользователей ОС. На всех тестированных предприятиях оказалось возможно осуществить атаку со 100% успешностью даже в случае наличия антивирусных средств на серверах и рабочих станциях. Это объясняется использованием

старых версий ОС, для которых не существует эффективного метода защиты.

⇐ Предыдущая123Следующая ⇒

Поделиться: