Jesteś w środku, jesteś swój.

https://xpil.eu/fspgH

Dawnymi czasy pracowałem dla pewnej firmy konsultingowej. Klientem była duża, znana firma finansowa ze srogimi firewallami i innymi zabezpieczeniami. Żeby się legalnie wbić do systemu, trzeba było być podłączonym do lokalnej sieci po kabelku, a więc najpierw dostać się fizycznie do budynku. Ochroniarze pieczołowicie sprawdzali każdego wchodzącego. Potem trzeba było jeszcze podać login, hasło i kod jednorazowy z tokena sprzętowego. Miało to wszystko ręce i nogi.

Oprócz tych fikołków dodatkową, dość upierdliwą kwestią było uzyskanie zgody na zainstalowanie nowego oprogramowania, którego nie było na Oficjalnej Liście. Trzeba było w tym celu uzyskać podpisy wszystkich świętych, którzy zawsze kręcili nosem albo byli niedostępni, a najczęściej jedno i drugie.

Pamiętam, potrzebowałem wtedy (ok, może nie całkiem potrzebowałem, bardziej kaprys, ale usilny) zainstalować sobie Total Commandera, którego oczywiście nie było na Oficjalnej Liście. Zamiast więc iść ścieżką formalną, postanowiłem spróbować obejść systemowe firewalle. Na domowej maszynie ściągnąłem sobie instalkę TC w formacie exe i napisałem króciutki skrypt w excelowym VBA konwertujący każdy bajt tego exe do postaci szesnastkowej, a następnie zapisujący ów bajt do kolejnej komórki skoroszytu. Potem wysłałem to sobie pocztą jako standardowy załącznik (firewall przepuszczał pliki XLS bez mrugnięcia), a jak już dotarł na skrzynkę wewnętrzną, ściągnąłem go na lokalny dysk i uruchomiłem skrypt odwracający tę operację, czyli odczytujący każdą wartość szesnastkową i zapisujący je do pliku binarnego.

Poszło bez pudła i już za chwilę udało mi się uruchomić instalatora Total Commander.

Wniosek stąd, że firma pokłada zbyt duże zaufanie w systemach skanujących dane wchodzące do sieci i cokolwiek zostanie przepuszczone, jest już dalej traktowane po przyjacielsku.

Jako osobnik nad wyraz uczciwy (żeby nie powiedzieć: naiwny), wrzuciłem ekipie od cybersec zgłoszenie, że znalazłem sposób na obejście blokady pobierania "nielegalnych" binarek z Sieci. Wraz ze szczegłówym opisem krok po kroku co i jak.

Zgłoszenie owo siedziało sobie, z niskim priorytetem, przez ponad sześć tygodni. W końcu dostałem na lokalnym czacie (to było jeszcze przed Teamsami, nie pamiętam już teraz co to był za czat, może Skype? No nie pamiętam) wiadomość od jakiegoś nieznanego mi gościa, żebym jeszcze raz objaśnił o co chodzi z tym pobieraniem binarek. O tyle dziwne, że przecież wszystko udokumentowałem szczegółowo w zgłoszeniu, no ale nie będę się kłócił, opisałem jeszcze raz cały proces krok po kroku, podkreślając, że gdyby na moim miejscu znalazł się jakiś złośliwy typ, mógłby w ten sposób przemycić do systemu wirusa czy inne paskudztwo.

Pięć minut później dostałem z automatu powiadomienie, że moje zgłoszenie zostało zamknięte bez żadnej akcji korekcyjnej. Zapytałem tego kolesia, dlaczego tak, a on na to, że oni nie widzą tu żadnego zagrożenia, więc spoko.

Po drodze okazało się jeszcze, że ten mój ticket obszedł całkiem skomplikowaną ścieżkę, ponoć różni ludzie z działu cybersec (i satelitarnych) przerzucali go między sobą niczym gorącego ziemniaka. Nikt nie wiedział co z tym począć.

Firma działa do dzisiaj i o ile mi wiadomo, nie mieli żadnego włamu.

Dziwny świat.

https://xpil.eu/fspgH

5 komentarzy

    1. Pytanie z gatunku filozoficznych. W każdym razie nie pochwalili się żadnym dużym włamem w mass-mediach. A co tam tak naprawdę dzieje się na zapleczu, to już sobie można tylko gdybać.

  1. Bardzo sprytny sposób. Ale nie wystarczyło zmienić rozszerzenia instalki z EXE na XLS? Ewentualnie zamaskować MIME pliku?

    Swoją drogą, nie musiałeś używać Excela. Mogłeś przecież zamienić całe EXE w zwykły kod binarny, wrzucić do pliku tekstowego (albo nawet wprost do maila), a potem skonwertować z powrotem. 🙂

    1. > …zmienić rozszerzenia instalki z EXE na XLS…

      Intuicyjnie przyjąłem, że jakikolwiek software anytywirusowy wykrywa sygnaturę EXE niezależnie od rozszerzenia. Zmiana typu pliku to najstarszy trick pod słońcem.

      > …Swoją drogą, nie musiałeś używać Excela…

      Wiem. Ale – znów intuicyjnie – przyjąłem, że Excel, z racji wewnętrznego kodowania, jest „trudniejszy” do przeskanowania przez automaty. Tak naprawdę plik w Excelu to archiwum zip z zaszyfrowaną treścią, więc nie da się go tak całkiem prosto ogarnąć automatem. Z innej beczki, mógłbym bezpośrednio osadzić w pliku xlsx binarkę instalatora, ale to by było zbyt bezczelne 🙂 Natomiast przeniesienie tego w postaci osobnych wartości, każda w osobnej komórce, wydało mi się jakoś „eleganckie”.

  2. Ponieważ pracowałem w podobnych okolicznościach, ale po drugiej stronie, to może nieco rozjaśnię czemu akurat tak to wyglądało. tl;dr są różne działy security.
    Człowiek z którym rozmawiałeś na końcu był zapewne z zespołu reagowania na incydenty. Z jego punktu widzenia akcję zrobiłeś celowo, świadomie, a oprogramowanie nie stanowiło zagrożenia. Znaczy „jest bezpiecznie, można zamknąć”. Patrzył wąsko, ale swoją robotę zrobił.
    Dział, który tworzy polityki bezpieczeństwa, czyli co wolno, czego nie, a być może i zarządza regułami na „pudełkach”, to pewnie inny dział (albo działy). Możliwe, że wyszli z założenia, że najważniejsze, czy to coś złośliwego. I czy wymyślone zabezpieczenia (blokada pobierania plików z sieci) działają.

    Jeśli to było dodatkowo dawno temu, to takie podejście ochrony na jednej warstwie trochę pokutowało (zresztą, nadal pokutuje). Zabezpieczenie się przed celowymi działaniami własnego użytkownika z uprawnieniami jest nietrywialne. Zawsze może dostarczyć kod z klawiatury, coś jak przepisywanie listingów z Bajtka.

    Obecnie raczej masz rozwiązania EDR/XDR na końcówkach, które mogą np. zablokować uruchomienie każdego programu spoza dopuszczonej listy (o ile komuś będzie się chciało tak to skonfigurować i utrzymywać – nietrywialne).

    Wszystko to wypadkowa na ile ma być bezpiecznie, a na ile ma się dać pracować. I ile firma jest gotowa zapłacić za bezpieczeństwo.

    To, że nie mieli głośnego włamu to żaden argument.

    A tak w ogóle to malware bywa dostarczany w podobny do opisanego sposób. Makra w dokumentach Office to zło.

Leave a Comment

Komentarze mile widziane.

Jeżeli chcesz do komentarza wstawić kod, użyj składni:
[code]
tutaj wstaw swój kod
[/code]

Jeżeli zrobisz literówkę lub zmienisz zdanie, możesz edytować komentarz po jego zatwierdzeniu.