Впечатления от вебинара \"Practical Client-Side Exploitation Kung Fu\"

В четверг я посетил вебинар "Practical Client-Side Exploitation Kung Fu" от PaulDotCom . Материалы вебинара новостью для меня не стали, а вот некоторые примеры, приведенные спикерами, очень понравились. Ими и хочу поделиться. Точность пересказа не гарантирую, но общий смысл попробую передать.

• В ходе пентеста на 100 email-адресов компании-заказчика было выслано письмо со следующим содержанием. Тема: "НЕ ОТКРЫВАЙТЕ ВЛОЖЕНИЕ!!" Тело письма: "Это письмо является частью теста на проникновение. Пожалуйста, не открывайте файл во вложении." Вложение: "Malicious.exe". Файл был открыт 35сотрудниками. Одним из них оказался шеф местного отдела ИТ-безопасности. На вопрос "Зачем??" он ответил "Я хотел его протестировать". "Тестирование" происходило во время интерактивного сеанса с правами доменного администратора.
• Сотрудникам HR-департамента одного крупного заказчика по электронной почте была выслана ссылка на специально подготовленный сервер, эксплуатирующий уязвимость в ПО браузера и захватывающий контроль над компьютером цели. Через несколько секунд этот специально подготовленный "вредоносный" серверподвергся DoS-атаке: под натиском клиентских обращений он самопроизвольно перезагрузился.
• Бухгалтер компании-заказчика, получив по электронной почте специально подготовленный пентестером PDF-файл, открывает в устаревшей версии Adobe Reader. Эксплойт, содержащийся в файле, успешно эксплуатирует уязвимость ПО, но установить backdoor-соединение к компьютеру пентестера ему не удается. Казалось бы, тест провален, получить контроль над компьютером цели пентестеру не удалось. Спустя несколько минут пентестер получает ответное письмо следующего содержания: "Мне не удалось открыть ваш файл, возможно он поврежден. Пожалуйста, пришлите его еще раз." Через несколько итераций переписки, пентестеру удается модифицировать PDF-файл таким образом, чтобы обратное соедиенение было установлено успешно.

Если вам интересны полные материалы вебинара, дайте мне знать, -- я перешлю вам их как только они будут опубликованы. И большая просьба: если информационная безопасность вашей компании зависит от вас лично, задумайтесь о программе повышения осведомленности персонала. Как блестяще заметили спикеры вебинара, злейший враг злоумышленника -- это не антивирус, не антиспам и не политика ИБ. Злейший враг злоумышленника -- это сознательный и образованный пользователь.