Prípadová štúdia

Informácie
Spoločnosť:

Dôverné (Finančná inštitúcia)

Trvanie:

4 týždne

Služba:

Audit internej infraštruktúry

Tím:

Dvaja auditori

Neexistuje všeobecne uznávený spôsob na vykonávanie auditov. Niekedy idú veci ťažšie, no niekedy to ide tak ako to plánujete. V roku 2018 spoločnosť požiadala o vykonanie auditu svojej internej infraštruktúry. Investovali do informačnej bezpečnosti a chceli vedieť, či sú informácie "nedotknuteľné". Napriek tomu, že IT oddelenie bolo presvedčené o svojich nových investíciách, manažment sa stále obával celkovej bezpečnosti.

Zvyčajne, interní IT administrátori príliš nemyslia na bezpečnosť. Sú zodpovední za plynulý chod všetkých počítačových systémov a digitálneho prostredie, v ktorom sa môžu uskutočňovať obchodné činnosti. To nie je ľahká úloha. Bezpečnosť preto nie je ich prioritou.

Táto prípadová štúdia predstavuje dokonalý príklad prostredia, v ktorom sa zavádzajú moderné technológie a systémy. Hoci sú systémy zavedené, je zodpovednosťou ľudí ich správne nakonfigurovať. Poďme sa pozrieť ako ďaleko sme sa dostali...

Runner Start Illustration

Rýchly štart

Jedným z prvých zistení bolo, že spoločnosť má doménu Active Directory (AD). Pretože väčšina ich aktív používa OS Windows, AD sa stala našim primárnym cieľom v tomto audite.

Začali sme zachytávaním sieťovej premávky (pomocou Responder), and rýchlo dostali naše prvé NTLM hashe. Politika hesiel zvyčajne komplikuje prelomenie doménových hashov. Tentokrát sme mali štastie. Heslo obsahovalo 6 znakov čo naznačovalo slabú politiku hesiel v doméne.

Po otestovaní hesla v doméne sme zistili, že účet má oprávnenia lokálneho administrátora na jednom zo systémov. Bingo! Okamžite sme začali sken systému, vytiahli hashe pomocou mimikatz, a dostali... nič.

Lateral Movement Illustration

Pohyb po sieti

Ukázalo sa, že v cache neboli žiadne heslá. Museli sme vymyslieť iné riešenie. Vyskúšali sme techniku zvanú Kerberoasting, ktorá používa Kerberos TGS na získanie hesiel. Rovnako ako v predošlom prípade, mal aj tento účet krátke heslo, ktoré sme úspešne prelomili. Ďalšie platné heslo v našich rukách.

Prihlásenie do iného systému (kde bol tento užívateľ opäť lokálny administrátor) nám umožnilo vytiahnuť heslá z LSA. Tentokrát sme mali štastie, získali sme Domain Administratora!

Hacker Illustration

Prístup ku kritickým dátam

S účtom doménového administrátora sme chceli demonštrovať čo najhorší scenár pre firmu. Po niekoľkodňovom skenovaní internej siete sme mali celkom dobrý prehľad o službách bežiacich na rozličných systémoch.

Mali sme prístup k všetkým finančným záznamom, osobných údajoch o zákazníkoch a veľa ďalšie. Našli sme dokonca aj plány firmy do budúcna. Ak by sa k týmto dátam dostali reálny útočníci, dopad pre firmu by mohol byť obrovský. Toto však nebol koniec.

Server Down Illustration

Závažné problémy

Aj keď sme úspešne kompromitovali službu Active Directory, nebol to náš jediný cieľ. Na intranete bolo nájdených mnoho služieb, ktoré neboli zahrnuté do AD. Mnohé z nich mali predvolenú konfiguráciu, ktorá často predstavuje bezpečnostné riziko. Nasleduje zoznam zariadení, ku ktorým sme mali prístup:

  • Router a switche
  • Tlačiarne
  • Diskové stanice NAS (Network-attached Storage)
All the Data Illustration

Odporúčania

Cieľom auditu nie len iba získať prístup ku kritickým dátam a zariadeniam, ale aj vysvetliť skutočný dopad rizika pre firmu. Po technickej časti sme začali pracovať na reporte. Môže sa zdať, že písanie reportu je tá jednoduchšia časť, no dokončenie kvalitného reportu trvá zvyčajne aj niekoľko dní.

Popísali sme metódu auditu, zistenia ako aj rozšírené odporúčania pre zákazníka. Podložené reálnymi dátami, vysvetlenie dopadu pre firmu bolo celkom jednoduché. Stav ich kybernetickej bezpečnosti bol nedostačujúci. Bolo nutné riešiť zmeny okamžite.

Celebration Illustration

Happy End

Spoločnosť spracovala naše odporúčania a začala pracovať na ich náprave. Významne tak redukovali riziko straty a úniku ich kritických dát.

So spoločnosť pokračujeme v dlhodobej spolupráci. Audity sa konajú pravidelne každý rok, taktiež im poskytujeme mesačný monitoring.

Pripravený na audit vašej spoločnosti?