Взлом офиса, часть 1.

Marat_1162

Стаж на ФС с 2014 г
ЖУРНАЛИСТ
Private Club
Старожил
Migalki Club
Меценат
Регистрация
25/3/16
Сообщения
4.625
Репутация
8.866
Реакции
22.633
RUB
0
Сделок через гаранта
4
Депозит
3 500 рублей
Найдено на просторах инета, кликабельные ссылки убрал.

Предисловие

Итак, друг мой, тебе вдруг понадобилось взломать офис, конечно же делать ты это будешь исключительно по согласованию с руководителем и в целях проверки уровня ИБ в компании, ага, ты ведь помнишь про 28 главу УК, нет, ты конечно можешь …, но мы тебя предупреждали, ага.

Итак, с чего же мы начнём. Ну, прежде всего надо провести разведку, чтобы понять, что за зверь перед нами.

Во-первых, посмотри на информацию о компании. Закажи выписку из ЕГРЮЛ, посмотри на бухгалтерскую отчётность, наличие/отсутствие долгов перед приставами, судебные решения ,если это ИП, попробуй узнать его адрес через сервис Госстата, посмотри на сайт, проверь его разными сервисами, найди сотрудников в соц. сетях, это даст тебе неплохой бэкграунд для атаки, про разведку тоже можно писать статьи, но сегодня у нас другая тема. Это даст тебе общее представление о компании и о том, как тебя будут искать, в случае чего. Если видишь в учредителях Госов, то хорошенько подумай, а надо ли оно тебе, потому что искать будут хорошо, а денег у них много не водится, но в тоже время там обычно всё грустно с ИБ (если это не ФСБ конечно) и много интересной информации. Если у организации большие долги, судебные тяжбы и банкротство, то ловить там тем более нечего. А вот если у неё хорошая прибыль и намечается большой госконтракт, то тут можно поиметь неплохой улов. Дальше посмотри на сайт, просканируй его, посмотри на открытые порты, проверь стандартные пароли от админки, это всё в дальнейшем может пригодится, как минимум ты можешь получить БД сайта, которая сама по себе стоит денег.

Во-вторых, определись с вектором атаки. Здесь есть два больших направления. Взлом и СИ. В случае со взломом, люди практически не участвуют, и ты эксплуатируешь уязвимости системы, в случае же с Соц. Инженерией всё с точностью наоборот, люди сами запускают твои вирусы и исполняют твои указания. Эти направления можно комбинировать. Эти темы будут глубже раскрыты позднее, а пока пройдёмся по самым азам. Я буду представлять по одному вектору из каждого направления, постепенно увеличивая сложность реализации.

Вектор 1. Письма счастья.

“Здравствуйте, Мария Викторовна, направляем в ваш адрес информацию о аресте счетов ООО «Ромашка» по решению Василеостровского районного суда города Санкт-Петербурга, исполнительный лист ВС 013246785, номер исполнительного производства 31228/22/78001-ИП от 25.03.2020, судебный пристав-исполнитель Михайлова А. В. +7 (981) 144 - 12 - 34, Василеостровский РОСП, 199155, Санкт-Петербург, пр. Кима, д. 5/34 лит. А. Документы и подробная информация находятся в приложении к письму

Проверено антивирусом Касперского”

Такое письмо получила в пятницу вечером, как на зло за час до конца рабочего дня, бухгалтер ООО «Ромашка» Мария Викторовна с адреса [email protected], надо сказать она не на шутку перепугалась и открыла ace архив, внутри был docx документ с судебным решением и pdf файл с постановлением о возбуждении исполнительного производства. “Ерунда какая-то, опять набрали по объявлению приставов! Денег должны в ООО «Букашка», а счета блокируют в ООО «Ромашка». Надо позвонить и разобраться!”. На другом конце провода трубку взяла женщина, судя по голосу её было лет 25. Далее между ней и Марией Викторовной состоялся диалог следующего содержания.

- Судебный пристав-исполнитель Михайлова, Василеостровский РОСП.
- Здравствуйте, тут произошла ошибка, мне на почту пришло письмо о блокировке счетов, но в документах значится совершенно другая компания
- Номер исполнительного производства
- 31228/22/78001-ИП
- Да, действительно, произошла ошибка, приносим извинения, сейчас я сниму блокировку со счёта, только мне нужно от вас заявление. К счастью, сейчас его возможно подать в электронном виде, я сама внесу его в базу, от вас нужен только код из СМС от Сбербанка, в качестве простой ЭЦП.
- Да, хорошо
- Сейчас он должен вам прийти.
- 364152
- Всё хорошо, блокировка будет снята в ближайшее время
- Спасибо, до свидания

Фух, пронесло, как раз рабочий день закончился, подумала Мария Викторовна и пошла домой со спокойной душой. В понедельник Мария Викторовна пришла в кабинет, зашла в Сбербанк Бизнес Онлайн и увидела исполненное платёжное поручение на 12 миллионов 545 тысяч рублей, получателем значился ООО «Лабеан».

Занавес.

Схема примитивна и элегантна одновременно. Первым шагом служит письмо от “приставов” в котором забрасывается наживка, но ведёт оно не на фишинговый сайт, нет, тут всё гораздо интереснее. Мария Викторовна скачивает архив, тут есть аж три способа доставки вируса. Первый, через уязвимость архиватора, второй через pdf файл, третий с использованием Word. Ну а дальше классическое телефонное разводилово “дайте код из СМСки”, тут всё зависит от умений оратора и опыта жертвы.
 
Сверху Снизу