Stary nowy sposób zdalnego ataku na pracowników Twojej firmy

14 października, 2019

W przeszłości wielu firmom przydarzały się przypadki utraty poufnych danych. Problem bezpiecznego przechowywania informacji dotyczy każdego i żadna organizacja nie jest zwolniona z obowiązku zagwarantowania sobie jak najlepszej ochrony. Zaawansowana kampania phishingowa lub przejęcie kontroli nad często odwiedzanym zasobem w sieci (taktyka wodopoju) to najskuteczniejsze sposoby wtargnięcia do wewnątrz atakowanej firmy. A gdyby tak w cyberataku wykorzystać pewną zależność budowy protokołu RDP i obsługi szkodliwych_plików.rdp?  

Pracownicy VDA Labs połączyli mało znane fakty i pokazali do czego można wykorzystać format plików .RDP. W zasadzie szablon RDP służy do zapisywania ustawień połączenia z usługą RDP (Remote Desktop Protocol) i pozwala uzyskać zdalny dostęp do komputerów z systemem Windows. Po zbadaniu jawnych informacji zapisywanych w pliku .RDP zwrócono się w kierunku ustawienia „RemoteApplicationIcon”.

Część ogólnego schematu pliku .RDP.

W linii nr 4 widać dodaną złośliwą ścieżkę prowadzącą do IP serwera z usługą SMB. Dostarczając zmodyfikowany szablon pliku .RDP z konkretnymi ustawieniami, złośliwemu aktorowi udało się wymusić na użytkowniku „przekazanie” poświadczeń do logowania.

Plik .RDP trzeba w jakiś sposób dostarczyć na urządzenia pracowników. W doświadczeniu wykorzystano dokument Worda, gdzie po kliknięciu w ikonę ofiara pozwalała napastnikowi przechwycić dane logowania do komputera:

Tak mogłaby wyglądać wiadomość przygotowana przez przestępców.Zrzut ekranu pokazuje przechwytywane poświadczenia na zdalnym serwerze za pomocą zestawu narzędzi Impacket SMBServer.

W dalszej części doświadczenia wykorzystano ten sam fakt obsługi plików RDP z niedawno pokazaną luką w Internet Explorer 11, którą też dało się użyć do przechwytywania poświadczeń po otworzeniu pliku MHTML.

Eksperci jednomyślnie sugerują, że aby zachować wysoki poziom ochrony, należy blokować wychodzące poza organizację połączenia SMB dla portów TCP/139/445. W ten sposób nawet hakerzy, którzy zdołają przekazać ofierze plik i zachęcić ją do uruchomienia, nie będą w stanie obejść zabezpieczenia zapory sieciowej. Czy wasze firmy są gotowe na tego typu atak? Czy pracownicy zostali odpowiednio przeszkoleni w obsługiwaniu klienta poczty, rozpoznawaniu uruchamianych plików i podstawowych metod socjotechnicznych?

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Zapisz się na newsletter

Informacje o cyberbezpieczeństwie prosto na skrzynkę pocztową!

Dodatkowo otrzymasz poradnik „Jak bezpiecznie funkcjonować w cyfrowym świecie”

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]