В конце 2023 года Angara Security реализовала проект по анализу защищенности IT-инфраструктуры для российской промышленной компании, которая управляет несколькими производственными площадками в ряде регионов России.
На старте заказчик обозначил для пентеста (проверка защищенности компьютерной системы, при которой моделируется реальная атака злоумышленника. – Прим.ред.) перечень недопустимых событий и критических рисков, которые релевантны для большинства компаний похожего профиля. В первую очередь, это компрометация сегмента сети с АСУ ТП (автоматизированная система управления технологическим процессом. – Прим.ред.) и сегментов, связанных с финансовой отчетностью и операциями, риски для внутренней сети и компрометация АРМ-администраторов (программно-технический комплекс специалиста, главными функциями которого являются диспетчерская работа, связь с внешними сетями и системами, содержание общих баз данных в актуальном состоянии и выполнение некоторых других общесистемных задач. – Прим.ред.).
Поэтому на старте проекта было важно проверить, возможно ли с внешней стороны получить доступ к контролю одного из сегментов АСУ ТП. Если в непроизводственных компаниях достаточно завладеть администратором домена и таким образом получить максимальные привилегии, то в производственных – важен факт реализации недопустимого события.
В ходе анализа защищенности мы выделяем несколько этапов. В первую очередь, поиск целевых сегментов АСУ ТП, далее важно найти точки соприкосновения корпоративной сети с сетью АСУ ТП, а затем повысить уровень привилегированного доступа, чтобы взять под контроль нужный сегмент. Сразу отметим, что у большинства производственных компаний корпоративная сеть недостаточно защищена. Уязвимости в них позволяют очень быстро повысить привилегии в рамках пользовательского сегмента и двигаться дальше.
С чего все началось
В первую очередь, мы от заказчика получили привилегированную учетную запись низкого уровня в корпоративном домене, которая позволяла подключиться через VPN и собирать базовую информацию о домене. Далее через типовые уязвимости Microsoft AD мы смогли быстро повысить привилегии до администратора домена.
Обычно существует определенная сегментация сети, по которой можно определить текущее положение, увидеть конкретные подсети, хосты, но при этом сложно понять, как перейти в другой сектор.
Поэтому перед злоумышленником, или в нашем случае пентестерами, возникает вопрос, как перейти в целевой сегмент. Обычно в сети содержится большое число файловых хранилищ и так называемая «корзина» документов, как бесполезных, так и довольно ценных, которые позволяют разобраться в структуре сети компании.
Поэтому точно не стоит хранить какие-либо чувствительные данные на общих файловых хранилищах, более того, без разграничения доступа к таким файлам. Определенно, не стоит выкладывать карту сети или срез по IT-активам в общий доступ для всех сотрудников. Более того, иногда администраторы оставляют в этом хранилище результаты сканирования сети на уязвимости или отчеты антивирусного ПО. Если в сеть войдет злоумышленник, а не пентестер, то все эти данные сыграют ему на руку и без лишних усилий помогут разобраться и скоординироваться в незнакомой сети.
После того как разобрались в организации сети, проще найти адреса целевых систем и построить путь к ним. В качестве таких опорных точек используются интересные пользователи, сервера. И когда мы собрали эту информацию о потенциальных привилегиях для этих систем, то начинаем анализировать их. В нашем случае мы нашли веб-сервер, который собирает информацию со всех сегментов АСУ ТП и представляет в виде графиков. Но на этом сервере ничего изменить нельзя, как-то подменить файлы или повлиять на процесс производства. Скорее, это мониторинг процессов для корпоративных пользователей, который агрегирует данные со SCADA-систем.
Тем не менее этот дашборд дал много полезной информации. Он содержал схемы предприятий и производственных процессов и параметры для инженеров, которые собирают и анализируют эти данные. Соответственно, получив доступ к схеме, в конфигурациях можно посмотреть подключения, посмотреть журнал соединений и таким образом обнаружить потенциальный ряд шлюзов.
Затем мы нашли компьютер системного администратора, на котором была схема подключения каждого цеха к корпоративной сети. Так мы еще раз подтвердили свою гипотезу по поводу подключения цехов, обнаружили шлюз, firewall и как через него происходит коннект с корпоративной сетью.
Следующий этап – это попытка получения контроля над шлюзовыми станциями, потому что они чаще всего не доменные. Учетные данные администратора домена туда не подойдут. Это стационарный компьютер, который маршрутизирует трафик между системами.
Необходимо было найти учетные данные для входа на этот сервер, потому что дальнейшее продвижение без этого было невозможно. И, используя дамп DPAPI (интерфейс ОС для шифрования паролей и криптографических ключей. – Прим.ред.) с различных компьютеров администраторов, нашли потенциальные локальные учетные записи, которые далее попробовали применить на целевых системах. Оказалось, что во многих системах используется один и тот же логин и пароль, который был сохранен в браузере и принадлежал локальному администратору. Таким образом, контроль над шлюзами был получен.
Не стоит выкладывать карту сети или срез по IT-активам в общий доступ для всех сотрудников. Более того, иногда администраторы оставляют в этом хранилище результаты сканирования сети на уязвимости или отчеты антивирусного ПО. Если в сеть войдет злоумышленник, а не пентестер, то все эти данные сыграют ему на руку и без лишних усилий помогут разобраться и скоординироваться в незнакомой сети.
Но до этих шлюзов с нашей рабочей станции прямого сетевого доступа не было. Важным элементом продвижения является так называемый pivoting, т.е. горизонтальное перемещение по сети до нужных систем. В этот процесс также входит проксирование и построение туннеля до них. В итоге, нам нужно было совершить три-четыре «прыжка» через промежуточные хосты до SCADA-системы.
И вот мы попали в сеть одного из цехов.
Этот цех не представлял какого-то особого интереса, потому что внутренняя инфраструктура была не очень большой и не включала отдельный SCADA-сервер. Поэтому мы решили найти более крупный цех.
И мы его нашли − здесь реализуется сложный технологический процесс, нарушение которого может привести к опасным последствиям для окружающей среды. Мы предварительно получили доступ к камерам видео-наблюдения и могли посмотреть глазами обывателя, как устроен производственный процесс. Это одно из преимуществ работы пентестеров, так как можем виртуально оказаться в недосягаемых для обычного человека местах.
Таким образом, мы выбрали цель дойти до этого цеха и построили путь до нужного шлюза. И там все было гораздо интереснее: множество недоменных машин и серверов. Также мы нашли SCADA-сервер, но и здесь в несколько «прыжков» сначала обнаружили учетную запись локального администратора на обычных АРМах. В этом случае «дампился» сервис проверки подлинности локальной системы безопасности (LSASS), и мы получили учетную запись, принадлежащую администратору SCADA-сервера. Далее мы смогли войти на SCADA-сервер и там уже обнаружили ПО, которое использовалось для управления контроллерами АСУ ТП. Таким образом, мы выполнили свою задачу и завершили проект по согласованию с заказчиком.
Если бы на нашем месте оказался злоумышленник, то он мог бы серьезно вмешаться в технологический процесс. Стоит отметить, что в современных автоматизированных системах управления используется специальное ПО для контроля безопасности и мониторинга событий, чтобы исключить ошибки из-за ошибок операторов. Они выступают определенным «буфером», и злоумышленнику потребовалось бы какое-то время, чтобы определить эти средства защиты, как их обойти и отключить. Но в ходе согласованного пентеста мы уже зашли очень далеко, и этот путь может повторить подготовленный хакер.
Какие ошибки позволили нам зайти так далеко?
Основная ошибка – это использование одинаковых учетных записей и их паролей для разных систем. Изначально важно установить правило, что для каждого цеха должен быть создан свой пароль. Как показал наш опыт, мы завладели всего одной учетной записью и очень быстро смогли расширить привилегии.
Далее, в компании использовали слабые пароли, поэтому, когда мы нашли учетную запись, с помощью классического брутфорса быстро подобрали нужную комбинацию. Например, в этом случае в учетной записи и пароле использовались всего три символа.
В целом, слабые пароли – это уязвимое место многих компаний. Если с точки зрения разработки можно использовать SSDLC или SAST, то с точки зрения администрирования выделенных процессов нет.
Стоит уделять внимание безопасности пользовательского сегмента, чтобы было сложнее взять под контроль домен. В первую очередь, необходимо регулярное обучение рядовых сотрудников основам информационной безопасности, например, инструменты Security Awareness или социотехнические исследования. Стоит также дополнительно повышать осведомленность администраторов производственных процессов о лучших практиках в ИБ. Например, хорошим вариантом может быть практика Security Champions в область администрирования, которая зарекомендовала себя в сфере разработки ПО.
Кроме того, стоит выделять функцию специалиста по информационной безопасности, потому что администратор ИТ и ИБ – это почти всегда проигрышный вариант.
Далее, есть такое понятие как «воздушный зазор», который вызывает бурную полемику в сообществе АСУ ТП. С одной стороны, он, безусловно, нужен, чтобы изолировать SCADA-сервер от корпоративной IT-инфраструктуры, с другой – в современных реалиях нужно соединять корпоративную сеть и сети АСУ ТП для мониторинга. Но в любом случае необходимо максимально ограничить возможность удаленного доступа к SCADA, использовать двухфакторную аутентификацию и, возможно, хранить пароли на бумажном носителе информации у оператора.
Важно также учитывать технологический уровень промышленных сетей. Например, в ряде систем используется устаревшее ПО и «железо», которое установили, например, для управления конкретными станками. Зачастую их нельзя обновить для работы с современным ПО, что требует больших инвестиций, поэтому компании предпочитают сохранить действующую инфраструктуру. Поэтому в этом случае обязательно нужны системы мониторинга, антивирусное ПО с обновленными сигнатурными базами.
Следующий этап – это формирование эшелонированной защиты: компания понимает свои «болевые» точки, но, чтобы добраться до них, злоумышленнику придется пройти СЗИ на внешнем периметре, а потом и на внутреннем, где он может «споткнуться» и как минимум нашуметь. А далее подключается своевременное реагирование на все оповещения конечных узлов и средств защиты информации, например, в рамках SOC-центра.
Кроме того, для повышения безопасности критических сегментов сети рекомендуем внедрять управление уязвимостями, мониторинг и реагирование в сегментах АСУ ТП, а также регулярный анализ защищенности со стороны доверенных подрядчиков.
Кроме того, важно уделить внимание всем аспектам защиты инфраструктуры, начиная с применения распространенных решений и инструментов. В первую очередь, необходима защита от несанкционированного доступа (НСД) и управления привилегированным доступом, использование антивирусного ПО для защиты рабочих мест и серверов, каналов доступа в интернет и сервисов электронной почты, межсетевое экранирование и средства криптографической защиты.
Второй блок – это более сложные, специализированные средства, которые могут значительно повысить эффективность ИБ-инфраструктуры. Например, IdM-системы, централизованно управляющие доступом к активам компании, с мультифактной аутентификацией и технологии «единого входа», SSO (Single Sign-On). Далее, специализированные межсетевые экраны с поддержкой анализа промышленных протоколов передачи данных, а также однонаправленной передачи данных для исключения возможности несанкционированного подключения извне к защищенным сегментам объектов КИИ. Еще один блок решений – это специализированные межсетевые экраны для защиты веб-приложений (Web Application Firewall) и средства защиты СУБД (Database Firewall ), а также средства защиты систем виртуализации и контейнеризации.
Финальный блок эшелонированной системы защиты – это инструменты противодействия целевым атакам, которые включают детектирование и защиту от атак на конечных точках сетевой инфраструктуры, АРМах и серверах, анализ сетевого трафика, поведенческий анализ в эмулируемой среде, ложные цели и ловушки (Decoy and Deception), DLP и DCAP-решения.
Михаил СУХОВ, руководитель отдела анализа защищенности компании Angara Security