Это продолжение истории про обход банковской безопасности. В первой части рассказали, как пентестер проник в банк, не взломав ни одной двери, и получил доступ к 53 машинам с одинаковым паролем админа. А в этой части он проникнет в здание ночью.  

Этап 1: ночное проникновение во второй операционный центр

Это была та часть нашего задания, в которой мы имитировали действия реального злоумышленника, который пытается проникнуть в здание, когда вокруг никого нет. Клиент хотел знать, выдержат ли системы безопасности натиск мотивированного, подготовленного и терпеливого злоумышленника, который решит действовать в нерабочее время. Указания были просты: постарайтесь войти, ничего не ломайте и будьте изобретательны.

Их особенно интересовало именно это здание — второй операционный центр, — так как его совсем недавно инспектировала другая охранная фирма. Там стояли новые системы доступа, другая архитектура и более жёсткие правила по сравнению с первым объектом. Если бы он выстоял под реальным натиском, они распространили ли бы его модель защиты на остальные филиалы.

Правила игры позволяли действовать под покровом ночи, проникать тайно. Единственное условие для всей операции — приправить всё это классической социальной инженерией, с чем мы уже благополучно разобрались. Это развязывало мне руки, и я мог действовать как простой взломщик. Никаких легенд. Никакого забалтывания охраны у входа. Только я, офис, и набор инструментов.

Но сначала, как обычно, я заехал в местный полицейский участок.

Вручил помощнику шерифа копию нашей «охранной грамоты» — письма с подробностями задания, контакты нашего человека в банке и мой личный номер. Если сработает сигнализация или кто-то заметит подозрительную активность у здания, полиция сможет сначала позвонить и всё выяснить, прежде чем ситуация выйдет из-под контроля. Они бы в любом случае приехали, но, надеюсь, без автоматов наперевес и без слишком ретивой служебной овчарки, летящей на меня во весь дух.

Помощник шерифа пробежался по бумагам, кивнул и протянул что-то типа: «Да уж, работа у вас что надо». Я улыбнулся в ответ. Мне не нужно, чтобы меня любили. Мне нужно, чтобы в меня не стреляли.

Ну всё, теперь можно было начинать.

Несколько ночей я провёл в засаде, выжидая подходящего момента, со снаряжением наготове.

Мой набор инструментов
Мой набор инструментов

Идея была в том, чтобы действовать одновременно с уборщиками — в этом случае сигнализацию отключат. После нескольких скучных ночей в засаде я, наконец, дождался: на парковку заехал фургон и припарковался сбоку от здания. Через пару минут двое вышли с пылесосами и прочим скарбом и зашли через служебную дверь.

Это был знак. Пора начинать.

Я пошёл к главному входу. Выглядел совершенно обычно. Без перчаток и капюшона. Просто шёл уверенным шагом в той же повседневной деловой одежде, что и днём. Подойдя к стеклянной двери, разглядел систему доступа.

Справа от двери — стандартный считыватель пропусков. Бесполезный для меня. А вот над дверью со внутренней стороны висел пассивный инфракрасный датчик выхода, направленный вниз. Именно его я и ожидал увидеть. Такие датчики засекают не движение, а резкое изменение температуры воздуха — его внезапное нагревание или охлаждение. Мне оставалось лишь вызвать этот перепад.

Я вытащил из сумки баллончик со сжатым воздухом, перевернул его и коротко «пшикнул» ледяным газом в сторону датчика. Холодный поток резко остудил воздух, и датчик решил, что к двери изнутри подошёл человек.

Щелк.

Магнитный замок открылся, и дверь поддалась.

Я вошёл внутрь.

Атака на сенсор
Атака на сенсор

Здание погрузилось в тишину, но мне было не до нее. Я скользил по коридору, чеканя ровный шаг. Обходил стороной двери с доступом по картам. Свет не зажигал. Где-то в недрах здания возились уборщики. Сталкиваться с ними я точно не собирался.

В конце коридора свернул на лестницу и пошел наверх. Мне на второй. Там — сеть. Там — серверы. И там же — следующий рубеж обороны.

Наверху меня ждало первое препятствие.

Дверь была заперта на замок со считывателем карт. Но правее в стене виднелся большой проем — около метра в высоту и трех в ширину. Слишком велик, чтобы возникнуть случайно, слишком открыт, чтобы быть ловушкой. Я заприметил эту брешь еще в начале недели, когда осматривал здание снаружи.

Проникаю внутрь через проём в стене
Проникаю внутрь через проём в стене

Сначала закинул сумку, потом залез на перила и перемахнул через проем. Получилось не особо грациозно, зато быстро. Промедление было смерти подобно: появись кто в коридоре, и конец игре.

Спрыгнул на пол, присел и прислушался.

Тишина.

Я внутри.

Схватил сумку и направился к ближайшему боксу. Нашел свободный сетевой порт. Подключил ноутбук и стал ждать.

IP-адрес не приходил. Светодиод подключения мигал, но сеть не выдавала никаких данных. Попробовал другой порт в соседнем боксе, к которому уже был подключен компьютер — тот же результат.

Всё стало ясно.

В этом оперцентре работал 802.1x.

В первом операционном центре IP-адрес прилетел сразу. Здесь всё было иначе: сеть требовала аутентификации устройства, прежде чем предоставить доступ. Порт не был «мертвым», он был защищён.

Безопасность на уровне. Для меня это означало одно: нужно найти устройство, которому эта сеть уже доверяет.

И за углом меня ждал принтер.

Этап 2: подмена MAC-адреса принтера и обход физических блокировок

Я пошёл к нему, стараясь ступать как можно тише. Обычный офисный принтер стоял в одном из открытых кабинетов. Похоже, его давно не включали — больше в кабинете ничего не было. Отлично!

Принтер в пустом офисе
Принтер в пустом офисе

Первым делом запустил пробную печать прямо с панели управления. У таких принтеров сетевые настройки почти всегда можно найти на экране или на тестовом отпечатке. Я пощёлкал по меню, нажал «Печать конфигурации» и дождался, пока он выплюнет страницу. То, что доктор прописал.

На листе было всё: IP-адрес, подсеть и MAC-адрес принтера.

Залез рукой за принтер и осторожно выдернул сетевой кабель из розетки, чтобы избежать конфликтов в сети, когда подключусь сам. Принтер остался работать, но уже офлайн. Этот трюк сэкономил мне кучу времени.

Вернулся за стол, сел за ноутбук и запустил VMware. Kali Linux у меня уже была в виртуалке. В настройках ВМ поменял MAC-адрес её сетевой карты на тот, что срисовал с принтера. Перепроверил, чтобы все было точно. Затем перевёл сетевой адаптер в режим моста — так ВМ сможет общаться с сетью напрямую через железо ноутбука. 

Как только всё было готово, запустил Kali и стратанул dhclient.

В этот раз сеть ответила.

Свитч увидел MAC-адрес принтера, решил, что всё в порядке, и выдал мне IP-адрес в правильном VLAN. Я в системе. Полностью подключен, аутентифицирован и нахожусь внутри доверенной сети. И при этом не тронул ни одного файрвола.

Я стал принтером.

Соединение было стабильным. Никаких ARP-конфликтов или ошибок. Отключение настоящего принтера сработало. Теперь можно было осмотреться.

В конце коридора была какая-то подсобка. Дверь с обычным врезным замком. Ни кардридера, ни сигналки, вообще ничего. Между дверью и косяком была щель. Достаточная, чтобы пролезла тонкая отмычка.

Врезной замок
Врезной замок

Как раз для таких случаев я ношу с собой тонкую пластину из нержавейки. Это не совсем отмычка, а скорее инструмент для обхода замка. Она проскальзывает между язычком и коробкой, и отжимает его. Просунул её в зазор, чуть наклонил вниз и решительно повернул.

Щёлк.

Дверь поддалась.

Внутри оказалась тесная, но до отказа забитая подсобка. Стопки документов, тележки с папками, картотечные шкафы и банковская документация многолетней давности. Я медленно передвигался, делая фотографии и стараясь ничего не сдвинуть с места.

Подсобка
Подсобка

Удивляло не столько количество важных бумаг, сколько то, как просто они были защищены. В глубине комнаты, на коробках, стоял бежевый металлический бокс с надписью маркером: «Главный платежный ключ?». Прямо рядом с ним — папка с названием «Журнал учёта кассовых чеков».

Бокс был заперт, но я не собирался его ломать. Мне нужен был ключ, и я был уверен, что найду его где-то здесь.

Журнал учета кассовых чеков
Журнал учета кассовых чеков

На стене висела высокая бежевая ключница, битком набитая ключами. Замок на ней был самым простым, который легко вскрывается «гребенкой». Вытащил отмычку-«гребенку» и натяжитель, слегка надавил и пару раз быстро провел инструментом.

Дверца поддалась. Внутри ровными рядами висели десятки ключей с бирками. Я пробежался по ним глазами, пока не нашёл нужный, с подписью как на боксе. На дне увидел сложенную бумажку, на которой было написано «Код от сейфа». Я огляделся — и точно, в углу стоял сейф. Тот самый, кассирский. И да, код сработал. После проверки я снова сосредоточился на ключе от бокса.

Подсобка с сейфом и чеками
Подсобка с сейфом и чеками

Снял ключ с крючка, сунул в бокс, повернул. Тот открылся как по маслу.

Внутри — пачка банковских чеков. Самых настоящих. Не какие-то там образцы или брак. Уже с номерами счетов, реквизитами, водяными знаками — полный фарш. Те самые чеки, которым все доверяют, потому что они банковские.

Стопка кассовых чеков в боксе
Стопка кассовых чеков в боксе

Я всё зафотал: чеки, журнал, бокс, надписи. Потом вернул всё на место. Ключ — в ключницу, ключницу — на замок, сейф — закрыл. Захлопнул дверь подсобки и ушёл, будто меня там и не было.

Уже уходя, заметил в коридоре несколько корзин для бумаг под шредер. На каждой висел маленький кодовый замок с тремя колесиками — обычно такие легко открыть, потому что людям лень нормально их закрывать. Попробовал провернуть все три колесика одновременно вниз на одну цифру и потянул защелку. Надеялся, что замок закрыли, но цифры почти не сбили. И мне повезло: с первой же попытки замок щелкнул и открылся.

Кодовый замок
Кодовый замок

Внутри были десятки документов и чеков. Часть уже порезана, но многие были целыми или просто надорванными. Там лежали чеки, инвойсы, клиентские выписки, служебные бланки. Ничто не было уничтожено полностью. Сфотографировал всё это для отчета и закрыл крышку.

А потом убедился, что на всех остальных корзинах на этаже тот же самый код. Открыл одну — открыл все.

Содержимое корзины шредера
Содержимое корзины шредера

Пржеде чем уйти, потратил пару минут, чтобы проверить, все ли на своих местах. Сделал скриншоты на ноутбуке, сфоткал всё на телефон, воткнул обратно кабель принтера и направился к выходу.

По пути никто не попался. Уборщики или работали на другом этаже, или уже закончили.

Спустился по лестнице, прошёл через главный вход и вышел наружу. Дверь открылась без всяких проблем. Никакой сигнализации, никаких оповещений, никаких вопросов. Никаких вопросов.

Через пять минут я уже сидел в машине.

В итоге получил доступ ко всему, не вскрывая дверей, не вызвав срабатывания датчиков и не сказав ни слова. Просто вошел, проверил все уровни физической и сетевой защиты и так же тихо вышел.

Подведем итоги

Эта проверка, по сути, имитировала реальную атаку. Мы хотели показать, на что способен мотивированный атакующий с помощью смеси социальной инженерии, физического взлома и проверенных на практике тактик. Клиент не хотел получить очередной аудит «для галочки» или оценку регламентов. Ему нужно было знать, что случится, если на него нацелится кто-то, у кого есть время, мотив и базовые инструменты.

И мы в полной мере это продемонстрировали.

Начали с «социального» подхода. Проникли внутрь вместе с аудиторской проверкой, смешались с толпой и получили доступ к внутренней сети — никто даже не задал вопросов. Дальше мы прыгали от системы к системе, завладев настоящими учетными данными. И все это — в разгар рабочего дня, на глазах у всех.

Ближе к концу недели мы разыграли целый спектакль в одном из филиалов банка. Подделали номер телефона менеджера, отправили с поддельного адреса письмо и вошли с парадного входа с липовой историей, но настоящим паспортом. Сотрудники действовали по инструкции. Но никто не догадался проверить, откуда на самом деле пришел звонок или email. Одна эта ошибка — и мы получили полный доступ к серверной.

В этой же части я рассказал про второй операционный центр. Он считался их самой защищенной крепостью: вход по картам, датчики движения на выход, сетевая защита 802.1x, комнаты для документов под замком. Но для каждого препятствия нашёлся обходной путь.

Внешнюю дверь мы обошли с помощью струи сжатого воздуха. Внутри увидели, что сеть защищена по стандарту 802.1x. Не проблема: нашли принтер, скопировали его MAC-адрес, выдернули кабель и получили «белый» IP-адрес на виртуальную машину с Kali.

Этот доступ открыл нам новые двери — в прямом смысле. Мы вскрыли замок, ведущий в хранилище. Там стоял ящик для ключей с простеньким замком. Взломали его за пару секунд и узнали комбинацию от сейфа с деньгами. А еще получили ключ от бокса с надписью «Главный платежный ключ». Внутри лежали настоящие, уже заполненные казначейские чеки, которым доверяет любой бизнес.

У самого выхода стояло несколько корзин для бумаг из шредера, каждая — с кодовым замком на три цифры. Мы открыли один, просто покрутив колесики вниз. Код на всех был одинаковый. Внутри — обрывки документов, чеки, клиентские данные, внутренние финансовые отчеты.

Мы ни разу не применили силу. У нас не было помощников внутри. Никаких постановок.

Использовали лишь подходящий момент, наблюдательность, правдоподобные легенды и простые техники обхода — всё то, что применил бы реальный противник. Сигнализация молчала. Полицию никто не вызывал. На бумаге защита выглядела монолитно. Но бумагой настоящие двери не запереть.

Мы не пытались что-то доказать. Мы лишь показали, к чему приводит уверенность, что твои дыры в безопасности никто не будет искать.

Они попросили. Мы сделали.

И двери распахнулись.

Что могло бы предотвратить проникновение

Этапы 1 и 2: ночной визит во второй оперцентр

Что случилось:

Пробрался внутрь ночью с помощью баллона со сжатым воздухом. Пролез через проем в стене. Обошел сетевую защиту 802.1x, подменив MAC-адрес на адрес принтера. Вскрыл подсобку тонкой пластиной, затем ключницу, добрался до чеков и открыл шредеры.

Как можно было предотвратить:

  • Поставить на двери защиту от вскрытия отмычками и пластинами.

  • Сменить простые замки на более надёжные.

  • Убрать ящики с ключами в комнаты, куда можно попасть только по карте.

  • Для входа в сеть требовать сертификаты, а не просто MAC-адреса.

  • Хранить важные бумаги вроде чеков в сейфах под замком и с ограниченным доступом.

  • Менять коды на шредерах случайным образом и не ставить один код для всех.

  • Проверять, кто и когда получал доступ к ключам, или поставить там датчики движения.

  • Регулярно устраивать проверки: пусть «свои» хакеры (red team) или «тайные покупатели» попробуют проникнуть в здание, чтобы проверить реакцию охраны и персонала.

  • Научить всех сотрудников, даже уборщиков, спрашивать у незнакомцев, кто они и что здесь делают.

  • Поставить камеры с датчиками движения в ключевых местах: у принтеров, в кладовках и в коридорах по пути в серверную.

  • Внедрить умные системы, которые будут замечать странности в сети и в том, как люди используют свои карты доступа.

Часто задаваемые вопросы

Какие инструменты вы использовали?

Обошлись простыми и малозаметными средствами. Стандартный дверной замок обошли с помощью простой металлической пластины. Замок на ключнице вскрыли отмычкой. Там же был ключ от бокса с чеками. Контейнеры для шредера открыли перебором комбинаций. Все инструменты были простыми, легальными и не оставляли следов. Датчики на выход обошли с помощью баллончика со сжатым углекислым газом.

Какие конфиденциальные данные были скомпрометированы?

Мы нашли и сфотографировали бланки банковских чеков. Они лежали в обычном боксе в комнате, которую мы открыли с помощью отмычки. Ключ от бокса висел в ключнице с примитивным замком. Кроме того, в контейнерах для шредеров нашли остатки чеков, клиентские данные и внутренние бланки. Всё зафиксировали и сразу же сообщили клиенту.

Что могло бы предотвратить эти атаки?

Многих проблем удалось бы избежать с помощью пары простых действий. Надёжные замки, безопасное хранение ключей, защита клавиатур от подглядывания, правильная настройка почты (SPF/DKIM/DMARC), проверка посетителей и регулярное обучение сотрудников — всё это кардинально изменило бы ситуацию. В своём отчёте мы дали полный список фиксов и выделили самые важные из них.

Вы что-нибудь повредили или сломали?

Нет. Мы действовали без разрушений и с целью оставить всё в точности так, как было. Двери, замки, сетевое оборудование и документы только осматривали и фотографировали. Не меняли настройки систем и не оставляли себе никаких лазеек на будущее.

Как долго длилась операция?

Вся работа заняла несколько дней. Сюда входило наблюдение на месте, проникновение днём и ночью, а также работа во внутренней сети. Ночная вылазка во второй оперцентр заняла менее часа. Каждая операция была чётко спланирована и ограничена по времени и задачам, чтобы не нарушать условия договора.

P. S.

Читайте также в нашем блоге: