Кейс "Проведение Пентеста"

14.03.2022

Пентест – метод, позволяющий получить оценку текущего уровня защищённости информационных активов компании от возможных внешних и внутренних угроз


Заказчик: Сфера бизнеса. Оказывает услуги клиентам через личный кабинет. Сотрудники организации также работают через личный кабинет.

Проект: Проведение тестирования на проникновение в публичные информационные ресурсы Заказчика

Цель проекта: Получение объективной и независимой оценки текущего уровня защищенности ИС Заказчика средствами моделирования атаки злоумышленника

Описание:

В процессе исполнения данного проекта осуществлялось выявление уязвимостей методами и средствами моделирования атак потенциальных нарушителей на публичные информационные ресурсы заказчика.

Этап 1. Разведка

На первичном этапе была произведена киберразведка, которая позволяет предварительно оценить уровень защищенности и обнаружить слабые места во внешнем периметре. В результате киберразведки удалось собрать:

- более 100 корпоративных почтовых адресов сотрудников, которые можно использовать для фишинговой рассылки;

- информацию об имеющихся поддоменах и IP-адресах, открытых портах и технологиях, используемых заказчиком.

Также на данном этапе была обнаружена уязвимость раскрытия файловой структуры, которая позволяет расширит вектор потенциальной атаки.

Этап 2. Внешний нарушитель

На следующем этапе проводилось тестирование методом черного и белого ящиков.

В результате была обнаружена уязвимость, позволяющая определить перечень пользователей, существующих на ресурсах организации. Далее развивая эту уязвимость, удалось получить доступы к ряду личных кабинетов пользователей. Некоторые пользователи, доступ к ЛК которых был получен, имели доступ к странице администрирования. В результате появилась возможность просматривать информацию о реальных данных клиентов, содержащих ПДн. Общее количество записей превышает сотни тысяч.

Также развивая уязвимость раскрытия файловой структуры, удалось определить версию используемой ОС, расположение корневой директории Web-сервера и применяемые программные компоненты.

Проведенное исследование парольной политики привело к выявлению возможности получения доступа к ЛК клиента компании и изменение текущего пароля пользователя.

В результате идентификации почтового ресурса и развития данной уязвимости был получен доступ к почтовому ящику. Из доступных сообщений была извлечена информация, необходимая для аутентификации на различных публичных и внутренних ресурсах, используемых заказчиком. Также с использованием данного почтового адреса удалось зайти в систему под администратором с наивысшими привилегиями.

Также удалось загрузить на сайт плагин, содержащий PHP-скрипт с функционалом удаленного администрирования. В результате был получен полный доступ к серверу с возможностью удаленного выполнения команд. Далее, изучая содержимое файлового сервера, удалось найти учетные данные для подключения к СУБД, подключиться к ней и извлечь логины, хеш-значения паролей и почтовые адреса пользователей системы.

Этап 3. Социальная инженерия

Завершающий этап – социальная инженерия. Была существенна имитация фишинговой атаки на обнаруженные ранее почтовые адреса, а результате которой более 50% пользователей перешли на фишинговый ресурс и открыли вредоносное вложение, а также более 15% пользователей авторизовались на фишинговом ресурсе.

Заключение

По итогам оказания данной услуги Заказчик получил полный отчет о проделанной работе и внушительный список рекомендаций по устранения выявленных уязвимостей и повышения уровня защищенности своих ресурсов.

Компания "СофтМолл" проводит комплексные и профессиональные Пентесты. Эксперты компании утверждают, что при проведении каждого Пентеста находятся уязвимости в системе заказчика. При этом заказчик со своей со стороны считает, что система защиты организованна надежно.

Эксперты рекомендуют проводить анализ уязвимостей минимум раз в год. Компания "СофтМолл" до конца месяца предоставляет скидку 40% на услуги по проведению Пентеста.