Взлом корпоративных сетей с помощью web-приложений


HacksИз доклада Global State of Information Security Survey 2016 компании PwC: "В 2015 году ИБ-исследователи выявили на 38% больше кибератак, чем в 2014 году".

Отчет компании Risk Based Security под названием Q3 2015 Data Breach показывает, что в 2015 году инциденты, которые приводили к утечке более одного миллиона данных, участились на 40% по сравнению с 2014 годом. Эксперты сообщают, в связи с тем, что компании и их сотрудники начали более серьезно относиться к безопасности данных, в современных АРТ-атаках злоумышленникам уже недостаточно использовать только фишинг-письма. Теперь хакеры сначала компрометируют корпоративный сайт, даже не смотря на то, что он не содержит важной информации и хранится далеко не на серверах компаний.

Теперь киберпреступники стали посылать ссылки на собственные сайты компаний. Напомним, что ранее ссылки на вредоносный ресурс отправлялись непосредственно на e-mail сотрудников компаний. Данная методика хоть и осталась действительной, однако подобный вредоносный сайт, скорее всего, будет блокирован шлюзом безопасности. Теперь хакеры, прежде всего, компрометируют корпоративную сеть или одно из web-приложений. Связано это с тем, что большинство компаний не особо хотят тратиться на защиту безопасности web-сайтов, на компрометацию такого ресурса у злоумышленников может уйти всего несколько часов.

После того, как сайт окажется под контролем хакеров, на нем будет создана легитимная страница, выполненная в едином стиле с ресурсом. Чаще всего в такую страницу злоумышленники внедрят пакет эксплоитов, который на черном рынке стоит несколько тысяч долларов.

Как указывается в отчете Verizon, у хакеров нет необходимости эксплуатировать только уязвимости нулевого дня. Например, 99,9% всех уязвимостей, проэксплуатированных злоумышленниками в 2014 году, были выявлены еще за год до их применения хакерами.

После создания легитимной страницы на веб-ресурсе компании, злоумышленники рассылают почту сотрудникам под видом корпоративной рассылки. Письмо, ссылающееся на ресурс компании, не вызовет подозрений у сотрудника. А после нажатия на ссылку, злоумышленники смогут удаленно выполнить код и получить полный контроль над компьютером пользователя. Таким образом, у хакеров появится возможность начать контролировать и другие устройства в корпоративной сети.

Несколько причин успешного осуществления подобных инцидентов:

  • недооценка угроз, связанных с web-приложениями;
  • отсутствие непрерывного мониторинга;
  • экономия на системах безопасности;
  • игнорирование сторонних рисков.

Обновлено (25.11.2015 21:53)