[WAPT]

7.1 Социальная инженерия

Оглавление
Kill chain ..................................................................................................................................... 2
Фишинг ...................................................................................................................................... 5
Этапы атаки на конкретного человека .................................................................................... 13
Практический пример ............................................................................................................. 15
Анализ страницы администратора веб ресурса в социальной сети ...................................... 16
Поиск подхода для проведения атаки .................................................................................... 23
Основные типы атак ................................................................................................................ 24

Социальная инженерия - один из самых главных инструментов как

пентестера, так и злоумышленника. В основе социальной инженерии
лежит психологическое воздействие на определенного человека, а
иногда и на группу людей. В рамках нашего курса нас интересуют люди,
у которых имеются привилегии на целевом ресурсе, например
администраторы.

Социальная инженерия — это целое искусство, которым не так кто

просто овладеть. В этом деле нужно уделять все время
непосредственно практике. Теории по социальной инженерии (СИ)
существует не так много, как хотелось бы.

Если говорить о защищенности конкретного человека от СИ, то тут все

упирается в его грамотность, внимательность и подозрительность. Но
если говорить о защищенности компании, то тут есть только один
способ — систематические тренировки сотрудников. Тем не менее,
практика показывает, что тренировки действуют лишь короткий
промежуток времени. И не важно, какого размера компания. Статистика
показывает, что небольшие компании значительно чаще подвергаются
атакам СИ. Как говорится, цепь крепка настолько, насколько крепко
самое слабое звено. Достаточно пары сотрудников, которые оставляют
минимум информации в сети. У этих сотрудников есть коллеги, которые

1
добавлены к ним в друзья в социальных сетях, и которые не заботятся
об анонимности.

А много ли нужно знать злоумышленнику для нанесения вреда целой

компании? Скорее всего, каждый из вас слышал либо сталкивался с
шифровальщиками-вымогателями и представляет потенциальный
ущерб компании от их действий. Многие сотрудники компаний, помимо
корпоративной почты, пользуются на рабочих местах и личной.
Подсунуть вредоносную ссылку или вложение в письмо не составляет
никакого труда, а статистика неумолима. По усредненной статистике,
без обучения персонала минимальной «гигиене» ИБ, каждый седьмой
человек компании переходит по вредоносной ссылке или запускает
вредоносный файл. При этом их логика такова: «если письмо не попало
в спам, да еще и пришло лично мне, то чего я буду опасаться каких-то
вложений». И это еще опуская момент с вариантом, когда сотрудник
вступает со злоумышленником в открытый диалог и выдает учетные
данные. Если взять все вышесказанное и тот факт, что почту создают по
шаблонам, то опасность СИ является одной из основных методик
пентестера или злоумышленника для проникновения в сеть.

Kill chain
Если говорить о направленности курса, то важно знать не то, как
защититься от СИ и подготовить сотрудников, а то как реализовать СИ.

Одна из методик проведения правильной атаки методом СИ называет

Kill chain и схематично изображена на рисунке ниже.

2
Разберем по этапам:

1. Разведка.
Вряд ли у кого-то из вас возникнет много вопросов связанных с этим
этапом. Разведка - это основа основ. На этом этапе проводится сбор
информации как о компании (название, род деятельности, партнеры,
рынок и т. д.), так и о сотрудниках (почта, социальные сети, увлечения,
статус внутри компании и т. д.). Тут стоит придерживаться правила —
информации много не бывает. Чем больше найдешь, тем лучше
подготовишься.

3
2. Вооружение.
Другими словами, выбор полезной нагрузки (Office документа, PDF
файла, картинки, фишингового сайта и т. д.). Данный этап, очевидно,
проводится на основе первого, а не случайно.

3. Доставка.
Название говорит само за себя. Как описывалось ранее, чаще всего это
почта. Другими вариантами могут быть веб-сайт (если у компании
имеется) или USB, если есть возможность проникнуть внутрь здания
компании, либо возможность «разбросать» флешки с полезной
нагрузкой, например, на парковке или возле КПП объекта (вспоминаем
Stuxnet и завод по обогащению урана в Иране).

4. Заражение.
Этот этап короткий в реализации, но к его осуществлению необходимо
подойти особенно тщательно. На данном этапе происходит запуск
вредоносного кода на внутреннем периметре исследуемого объекта.
Как правило, на стороне жертвы не так-то просто бывает запустить
вредоносный код. Этому могут препятствовать как простые
предупреждения, так и активные действия систем защиты. Снова
возвращаемся к первому этапу, в результате которого эксплуатируются
уязвимости системы исследуемого объекта.

5. Установка.
Этап подразумевает получение доступа для обновления вредоносного
кода с целью углубить его в систему и скрыть. Ведь все усилия будут
напрасны, если наш «вредонос» обнаружат. Это повысит бдительность
специалистов компании и заставит искать новые способы
проникновения.

6. Получение управления — получения контроля над компьютером

сотрудника. Самый приятный этап.

4
7. Выполнение действий — заключительный этап. Дальнейшее
заражение сети компании, кража данных, слежка, вымогательство и т. д.

Этих шагов стоит придерживаться при проведении атаки методом СИ на

компании, но и это не панацея. Некоторые шаги могут пропускаться, а
некоторые, наоборот - добавляться. Многое зависит от ситуации и от
этапа разведки.

В зависимости от цели, грамотности сотрудников, установленных систем

защиты и бдительности сотрудников безопасности - сроки проведения
атаки могут значительно варьироваться. Но можно сказать уверенно,
что в большинстве случаев это происходит не быстрее двух, трех
недель, не говоря уже о проектах, требующих годы изучения цели и ее
инфраструктуры. Естественно, такие большие сроки не рассматриваются
при официальном проведении пентеста, но активно используются
злоумышленниками или государствами для достижения своих целей.

Фишинг
Ранее был описан такой метод доставки вредоносного кода, как
рассылка писем. При этом данный метод является, чуть ли не лучшим
при атаке на компанию. Настало время рассмотреть, каким образом он
осуществляется.

В этом деле помогает фреймворк Gophish. Он создан для проведения

проверки компании на фишинговые атаки и позволяет рассылать
письма с заранее созданными шаблонами на адреса, заданные
списком. Так же инструмент позволяет отследить результаты и собрать
статистику (прочитали или нет письмо, запустили или нет файл, перешли
или нет по ссылке в письме и т. д.).

Чтобы начать работать с фреймворком, достаточно просто скачать с

официального сайта [Link] бинарный файл и запустить
его. Более никакой настройки не требуется.

Для запуска нужны только настройки в файле [Link], где для

ознакомления ничего менять не нужно. Просто запускаем с правами

5
администратора и переходим на веб- панель по адресу localhost
[Link]

В итоге мы попадаем на страницу авторизации, где для входа

необходимо ввести данные admin:gophish

Далее мы наблюдаем рабочую область, где кнопки вверху панели и

слева практически дублируются. Опишем каждую из них.
1. Dashboard — вкладка статистики. На ней будет отображаться
основная информация о работе приложения. То, сколько писем
было прочитано, в каких случаях отработал пейлоад и так далее.

6
 2. Campaings — вкладка, отвечающая за настройку отправителя
фишинговых писем. Данный параметр определяется на этапе
разведки, например, с домена, очень сильно похожего на
почтовый домен компании-партнера нашей цели. Шанс открытия
таких писем будет гораздо выше, нежели от «ноунейма».
3. Users and Groups — отвечает за настройку списка получателей
нашего фишинга.
4. Email Templates — на этой вкладке производится редактирование
внешнего вида письма для рассылки.
5. Landing Pages — производит редактирование фишинговой
страницы какого-либо сайта.
6. Sending Profiles — и наконец, вкладка, где производится настройка
отправки писем (хост, заголовки письма и т. д.)

Для начала настроим профиль отправки сообщения.

Перейдем на вкладку Sending Profile и нажмем кнопку New Profile. В

качестве хоста можно использовать [Link]. Создайте тестовый ящик,
а затем заполните поля в gophish в соответствии со скриншотом:

7
Внизу нажмем кнопку «Send Test Email» и проверим работоспособность
настроек, отправив письмо на свою почту:

8
Если результат аналогичен картинке выше, то на почте, куда было
отправлено тестовое сообщение, будет следующее:

Сохраняем рабочий профиль и переходим к спискам рассылки. Другими

словами, потенциальным жертвам.

В поле Name задаем имя тестируемой компании. Это на случай, если

будет несколько компаний одновременно и их необходимо различать.
Так же добавляем адреса потенциальных сотрудников компании,
аналогично как в тестовом примере выше. Для демонстрации добавим
тот же адрес, на который было отправлено тестовое письмо.

9
Сохраняем и переходим в раздел редактирования Email шаблона.

10
Тут стоит обратить внимание на наличие галочки «Add Tracking Image».
Благодаря этому в письмо будет добавлена картинка 1 на 1 пиксель для
отслеживания письма.

Далее переходим во вкладку «Landing Page» и импортируем какой-

нибудь сайт. Для демонстрации больше в этой вкладке ничего делать не
будем. И заключительный этап — «Compaings». Переходим, жмем «New
Compaign» и добавляем все созданные компоненты ранее.

11
И после нажатия кнопки «Launch Compaing» запустится рассылка по
заданным адресам.

12
Можно смотреть результаты во вкладке «Dashboard». А жертвам придут
наши письма вида:

Этапы атаки на конкретного человека

Социальная инженерия — это все то же тестирование на
“проникновение”, только в данном уроке мы будем тестировать не
систему, а человека.

Человек куда уязвимее любой системы. Согласитесь, ведь, иной раз

попробовать как-либо воздействовать на администратора куда проще,
чем ждать, когда сработает чертов метод грубой силы (не
воспринимайте этот пример близко к сердцу).

Также, как и в проведении тестирования некой системы, в проведении

“атаки” социальной инженерии существуют свои этапы:
1. Сбор информации о целевом человеке;
2. Анализ собранной информации;
3. Применение проанализированной информации.

13
Думаю, что с первым пунктом должно быть все понятно. Если же речь
идет, как мы уже предположили ранее, об администраторе или
сотруднике какого-либо ресурса/компании, то нам необходим лишь
небольшой перечень информации, такой как:
▪ Деятельность компании / цели веб ресурса. В этом пункте, вам
необходимо выяснить, чем занимается исследуемая вами
компания, дабы потом подтянуть свои знания в направлении их
деятельности и не растеряться при общении с одним из его
сотрудников;
▪ Вторым наиболее важным пунктом является сбор информации о
самих сотрудниках компании. Сюда входят как e-mail адреса
работников, так и их аккаунты в социальных сетях. То есть нам
будут необходимы любые средства связи и источники
информации о целевом объекте.

Для выяснения всей этой информации существует множество способов

и их комбинаций. Всё зависит от ситуации и информации, которую
необходимо найти.

Основные ресурсы, которыми вы можете воспользоваться:

[Link] Позволяет найти человека по номеру

телефона и некоторым другим данным.

SearchFace, Позволяет найти аккаунт в социальной

FindFace сети по фото.

[Link] Позволяет получить некоторую

информацию о номере телефона.

Whois Исходя из данных Whois можно узнать

номер телефона, emil, ФИО
администратора.

Google Всевидящее око.

14
 Практический пример
Whois - зачастую самый хороший информатор. Нам очень часто нужно
искать способы коммуникации с администрацией сайта и другими
членами какой-либо кампании. Первым делом, конечно, необходимо
еще раз внимательно исследовать сам сайт, будто вы обычный
пользователь, которому что-то не понравилось, и он ищет форму связи с
администрацией. Представим, что в этом случае мы, увы, ничего не
нашли. Тогда к нам на помощь приходит ранее упомянутый Whois,
исходя из данных которого можно получить достаточное количество
информации.

Мне так повезло, что удалось найти и аккаунты в WhatsApp, ВК,

Telegram и, собственно, e-mail. Конечно, зная номер телефона, можно
найти не только аккаунты в социальных сетях, но и пойти гораздо
дальше. Развитие дальнейшей атаки уже зависит не от методичек и
старых заезженных “стратегий”, а от вас и вашей фантазии.

Для получения более хорошего результата необходимо структурировать

информацию, чтобы в дальнейшем ей можно было легко
воспользоваться.

Ф. И. О.

Дата рождения

Аккаунт в ВК

15
 Аккаунт в Facebook

...

Номер телефона

E-mail

Интересы

...

Вся информация может быть полезна. Возможно даже такое, что

администратор сайта засветит номер своей машины на фото в
ВКонтакте. В этом случае вы можете узнать нет ли у него каких-либо
штрафов (конечно, узнавая все больше информации) и в дальнейшем
воспользоваться этим.

Анализ страницы администратора веб ресурса в

социальной сети
Анализ страницы в социальной сети позволяет собрать массу
информации о цели. В нашем случае это администратор какого-либо
web-проекта. Многие приступающие к сбору информации и анализу
человека по его странице в социальной сети не понимают, какую
важную информацию можно из нее выжать. Этот этап необходим
потому, что нам нельзя тратить много времени непосредственно на
“переговоры” с администратором. Часто это связано с короткими
сроками, однако социальная инженерия действенное оружие, которое
требует времени.

Для анализа мы заранее подготовили небольшую фейковую страницу

ВКонтакте, чтобы вы могли практиковать все действия вместе с нами -
[Link]

В анализе фэйка нет ничего незаконного, так что не переживайте насчет

«товарища майора» у себя под дверью в пять утра.

16
Этапы проведения анализа страницы:
1. Внешний или «бессмысленный»
2. Мета-анализ
3. Внутренний

1. Внешний анализ страницы в социальной сети.

Под внешним анализом я подразумеваю сбор всей информации,
которую оставил о себе пользователь. Такой информацией может быть:
ФИО, возраст, город, семейное положение, братья, сестры...

Теперь перейдем к Ивану. Для начала взглянем на страничку:

Нам очень повезло, и администратор Иван оказался не жадным по

отношению к информации о себе. Мы видим имя и фамилию, которую
мы могли узнать еще из Whois. Бросается в глаза дата рождения, город
и семейное положение.

17
Эту информацию необходимо отдельно помечать. Если не ошибаюсь, то
существуют целые ПО для этого. В качестве примера могу привести
Maltego, функционал которого не сложен в использовании.

Нас не удовлетворяют первые три строчки информации. Спускаемся

ниже и удивляемся, как добродушен Иван:

18
Если вам удалось нарыть такую информацию, то смело записывайте ее.
Она является очень ценной. Всю ценность этой информации поймете во
время анализа в пункте 3.

Как описывалось ранее, на этом у большинства фантазия заканчивается,

и они даже не представляют, что на этом этапе можно еще узнать.
Бессмысленным этот этап и называется только потому, что мы не
вдаемся в подробности собираемой информации. Главное на этом
этапе – собрать как можно больше данных.

Наверняка каждый из вас обращал внимание на блок с сообществами. К

счастью, у нашего персонажа их не так много, всего 24. Можем выписать
для названия и ссылки на эти сообщества в отдельный файл. Поверьте,
вскоре они пригодятся.

2. Проведение мета-анализа.
Каждая фотография, видео, любой медиафайл хранят в себе exif данные.
Обычно это информация о камере и дата создания медиафайла и
иногда попадаются геотеги и версии устройств, с которых фотографии
были сделаны.

19
Если копнуть глубже и поискать такие EXIF данные, то мы наткнемся на
золотую жилу. Для начала посмотрите на фотографии Ивана и
сформируйте мнение о нем. Это пригодится. Этот этап основан не
только на поиске мета-данных медиа файлов, но и на анализе всех фото
и видео, которые могут иметь хоть какую-то информационную нагрузку.
Примером служит абсолютно любая фотография. Например, фото, в
котором засветился номер авто пользователя. Все зависит от того, как
вы воспользуетесь найденной информацией. Можете попробовать по
открытым базам ГИБДД пробить это авто и в дальнейшем
воздействовать на человека. На стене у администратора Ивана мы
можем найти интересную публикацию:

Не сложно догадаться, что это - его возможный адрес. Да, Иван не так
умен, но об этом мы еще поговорим.

20
Часто при просмотре фото и видео пользователя можно заметить
важную информацию.

Утилита для анализа exif - exiftool.

3. Проведение психоанализа.
Вот мы и дожили до самого интересного этапа проведения анализа.
Ранее мы собирали всю информацию, которая могла попасться, а сейчас
мы займемся анализом уже самого человека по его аккаунту.

Начнем с первого, что бросается в глаза - информация о семейном

положении и те люди, которые вдохновляют. Помните, что Иван указал
Адриано Челентано? А что Иван в активном поиске? Вероятно, что с
девушками у Ивана непросто и, просматривая фильмы с Челентано, он
пытается брать уроки “пикапа”. Можем предположить, что Иван не
такой и строптивый покоритель женских сердец, которым мог бы
представиться. Помимо этого мы предполагаем, что фейковым женским
аккаунтом с ним можно связаться, хоть он, вероятно, будет ломаться
некоторое время. Идем далее и натыкаемся на небольшую странность -
родной город у Ивана — Воронеж, а учебные заведения закончены им в
Петербурге. Основываясь на этом, можно сказать, что Иван еще в

21
дошкольном возрасте вместе с родителями переехал в Питер, где и
остался. Если бы мы хотели подобраться к Ивану через лучших друзей,
то более чем вероятно все они проживают в Питере, а в Воронеже у
него только родные.

Статус Ивана подтверждает наши догадки о том, что он пытается

представиться харизматичным и артистичным. Если загуглить данный
статус, можно наткнуться на уйму источников, которые имеют его у себя
в содержании.

Вы заметили, как часто администратор Иван на своих фото “парит”

везде, где только можно? Попробуйте предположить, о чем это говорит,
и как мы можем воспользоваться этой информацией.

Множество постов на странице персонажа дают интересную

информацию. Информация интересна из-за того, что в социальных сетях
человек часто ставит себя противоположного. В особенности правило
“все наоборот” может выдать каждого, когда вы постите что-то находясь
дома. Человек в домашней обстановке не чувствует себя скованно и
“раскрывается”, особенно вечером, когда информационный поток
уменьшается и человек чувствует усталость. Так вот, не будем отходить
от темы – обращайте внимание на время публикации поста (наш фейк -
исследовательское исключение). В основном у Ивана на странице
можно найти мотивационные цитаты. Из этого следует, что Иван, в
глубине души, хочет достичь успеха. По его фото мы также видим, что он
соответствует стилю более-менее успешных людей и одевается не как
администратор обычного сайта, а как человек, идущий на переговоры о
продаже нефтедобывающей вышки Японцам. Этим мы тоже сможем
воспользоваться.

Ранее вы также выписали сообщества, в которых Иван проводит время.

Чем они могут помочь? Определив тематики сообществ, стоит
попробовать подобраться к администратору Ивану через свое,
раскрученное сообщество со схожей тематикой.

Из всех сообществ у Ивана имеются несколько тематик - магазины,

цитаты, телевиденье, оружие и техника.

22
Из всего лично нас могут заинтересовать, конечно же, магазины.
Создать свой магазин для “улова” Ивана будет отличной идеей, так как
в магазинах мы можем привлечь его акциями, конкурсами и
множеством подставных отзывов. Сейчас люди довольно часто
распознают фейковые сообщества и связано это с
неквалифицированными пиарщиками. Запомните, к каждой мелочи в
социальной инженерии нужно придираться и вести себя так, как вы бы
вели себя в жизни. Не все люди глупые и на подсознательном уровне
чуют, что что-то не так. При анализе человека попробуйте сравнить его с
собой. Как бы это странно не было, все люди похожи. Если кто-то из вас
часто засиживается вконтакте, то наверняка вы выбираете сообщество
не всегда по интересам или же интерес к ним пропадает сразу. Обращая
внимание на количество сообществ администратора Ивана можно
сказать, что он хорошо следит за своим аккаунтом и очищает все
ненужное. Так что при попытке создать левое сообщество для его
привлечения будет необходимо представить себя на месте владельца
довольно чудесного сообщества с всегда актуальными товарами.

Анализ страницы Ивана можно проводить еще уйму времени, однако я

оставлю немного вам, на развитие нестандартного мышления. Как вы
поняли в СИ оно необходимо не меньше, чем внимательность.

В этом пункте особо внимательные, проанализировав урок, смогут

узнать немного и обо мне. Я буду удивлен, если найдутся такие ученики.
Почти любое действие в сети оставляет след.

Поиск подхода для проведения атаки

Поиск подхода к цели настолько же важен, как и сама атака, так как без
этой части может и не быть самой атаки. В прошлом пункте мы
обсуждали анализ одного из найденных средств связи с
администратором некоторого веб-ресурса. В конце того же пункта во
время исследования полученных данных мы накопали для себя немало
способов, благодаря которым можем подобраться к администратору.
Способы были выявлены в основном в результате психоанализа, что
еще раз подтверждает всю важность сбора информации. Таким
образом, мы можем определить несколько методов подхода:

23
 ▪ В результате психоанализа;
▪ В результате анализа интересов;
▪ В результате личных методик, выработанных на практике.

Основные типы атак

Перед тем, как вы станете опытными в этой сфере и сможете «налету»
находить оригинальный подход, необходимо все же ознакомится с
основными типами атак, в которых применяют социальную инженерию.

СИ является основной частью множества атак. Различные атаки можно

комбинировать с СИ, что повысит вероятность хорошего исхода до
максимума.

Основные векторы, которые без социальной инженерии не являлись бы

эффективными:
▪ Обход авторизации (в этом векторе выделим метод грубой силы,
в котором нам необходимо всячески выяснить более точное
значение исходного пароля);
▪ Комбинируя для эксплуатации клиентских атак (CSRF, XXS);
▪ Пост эксплуатация (доставка полезной нагрузки к цели).

Говоря общими словами, любая атака, в которой необходимо

взаимодействовать с клиентской частью, может считаться скрещенной с
социальной инженерией. В таких атаках необходимо проявить
максимум энтузиазма.

Служба Поддержки

8 800 707 5466

с 8:00 до 20:00 по мск

school@[Link]

24