Артём Синицын, Microsoft. Падение Олимпа: как защитить ваш домен Active Direc...
Ярослав Бабин (Россия), Positive Technologies. Основные аспекты при проведении социотехнического тестирования
1. ptsecurity.com
Основные аспекты при проведении
социотехнического тестирования
Ярослав Бабин
Старший специалист
Отдел исследования безопасности банковских систем
2. Обо мне
• Анализ защищенности веб-приложений, бизнес-приложений
• Пентест ATM
• Проведение социотехнического тестирования
• Positive Hack Days
6. Black Hat
• Заражение ПК пользователя
• Получение конфиденциальной
информации
White Hat
• Узнать процент
осведомленности
• Статистика, информация
• Версии браузеров, плагинов
• Количество переходов, открытий
вложений
Цели
Обход политик безопасности
9. Пассивный сбор
• Социальные сети (VK, Facebook, OK, LinkedIn)
• Поиск в официальных группах, встречах
• Фотографии по местоположению
10. Пассивный сбор
• Утечки со взломанных ресурсов
• databases.today, mmnt.ru, ftplike.com,
metabot.ru, btdb.in, rapid-search-engine.com,
alluc.ee, и т. д.
• leakedsource.ru
11. Активный сбор
• Кроме адресов – ФИО, должности
• site:customer.ru ext:pdf (txt, doc, xls, odt и т. д.)
• Перебор директорий
• Листинг директорий с документами
• Метаданные в документах, ФИО и т. д.
12. Перебор доменных учетных записей
• Топ женских фамилий != мужских (так же с отчествами и именами)
• Для женских фамилий окончание на a не всегда верно
• Перебор на SMTP (VRFY, EXPN, RCPT)
• smtp-user-enum.pl
y.babin@ptsecurity.com
A
D
S
N
I
P
E
K
M
A
E
M
D
Y
O
N
T
V
13. Перебор доменных учетных записей
• Топ женских фамилий != мужских (так же с отчествами и именами)
• Для женских фамилий окончание на a не всегда верно
• Перебор на SMTP (VRFY, EXPN, RCPT)
• smtp-user-enum.pl
• Перебор на Lync (Skype for Business)
• lyncsmash.py
y.babin@ptsecurity.com
A
D
S
N
I
P
E
K
M
A
E
M
D
Y
O
N
T
V
14. Домен
• urlcrazy
• IDN Homoglyth Attack (www.irongeek.com/homoglyph-attack-
generator.php)
• Outlook 2013/2015/2016
• Lotus, Thunderbird, Web Outlook (Punycode: xn--)
15. Домен
• Sender Policy Framework
• example.org. IN TXT "v=spf1 +a
+mx -all"
• DomainKeys Identified Mail
• DNS запись с публичным ключом
Хост
• DomainKeys Identified Mail
• Приватный ключ
• PTR запись
Конфигурация домена и хоста рассылки
mail-tester.com
16. Прерассылка
• Корпоративная подпись
• Имя в поле From
• Язык написания
• Транслитерация букв (ю -> yu/ju и т. д.)
• ФИО или ФИ
• Внутренние номера
• Скриншоты рабочих столов
• Версии ПО по иконкам
• Версия Windows
• Сбор информации из браузера
18. Содержимое письма
• Письма от начальства
• Зарплаты, увольнения, премии
• Недоставленные сообщения
• Привязка ко времени
• Переписка коллег
• Внутренние рассылки (опросы, страхование)
• Обыденные письма
• Приказы, документы на подпись, справки
19. Оформление
• Корпоративная подпись
• Обращение по имени
• Формат переписки
• Шрифты, цвет и т. д.
• Внутренние домены (подмена через HTML)
• From письма (ФИ или ФИО)
• Open Redirect (обход спам-фильтра)
• CC
• From: Fake Mail <fake@mail.ru> <realemail@mail.ltd>
(@mylittlepapers)
• Картинки в теле письма
25. Выводы
• Мониторинг аномалий почтового трафика
• Конфигурация песочниц, спам-фильтров
• Постоянное проведение обучения сотрудников
• Проведение социотехнического тестирования