Если вы когда-нибудь проводили внутренний анализ устойчивости сети к фишингу, то, скорее всего, вы использовали Jigsaw — инструмент с открытым исходным кодом для проверки сети на уязвимости с помощью реальной попытки ее взлома. Jigsaw позволяет отделу безопасности автоматически генерировать комбинации электронных адресов, используя минимальное количество открытой информации.

Киберпреступники нередко используют в своих вредоносных целях инструменты с открытым исходным кодом, предназначенные для формирования безопасной информационной среды, такие как Metasploit, Nessus и Nmap. Именно это произошло с Jigsaw, который был замечен исследователями из отдела информационной безопасности компании RSA FraudAction в составе ПО, используемого злоумышленниками для организации активных атак.

Jigsaw является инструментом, созданным на основе скрипта Ruby и предназначенным для подсчета электронных адресов при обращении к бизнес-справочникам. Он генерирует электронные адреса согласно одному из четырех наиболее известных способов, используя при этом информацию из имеющейся базы данных. Каталог Jigsaw является облачной базой данных, существующей в режиме реального времени и являющейся в основном результатом краудсорсинга. В каталог, который ведет более 1 млн пользователей, входят более 27 млн деловых контактов и 4 млн профилей компаний. Это богатые «охотничьи угодья» для киберпреступников и важный инструмент для пентестеров и отделов информационной безопасности предприятий, который позволяет оценивать степень осведомленности сотрудников об опасности спама, приходящего на электронную почту, и корпоративного фишинга.

Один из ведущих экспертов RSA в области вредоносного ПО Кристофер Элисан (Christopher Elisan) сообщил, что, по данным исследователей из его команды по информационной безопасности, хакеры стали использовать при атаках Jigsaw. По словам Элисана, новые возможности инструмента, добавленные в ноябре прошлого года, повысили уровень детализации данных по бизнес-контактам, получаемых на выходе. В частности, речь идет о логине пользователя, а также о добавлении поддержки HTTPS при обращении к базе данных.

Jigsaw является интуитивным инструментом. Пользователь просто вводит аргумент для поиска, такой как имя искомой компании, и программа выдает в ответ все организации с данным названием плюс количество сотрудников, указанных в каталоге Jigsaw, а также ID компании. Зная ID, злоумышленник может получить более детальный список и найти, например, данные сотрудников по отделам, основываясь на информации из каталога. После этого хакер может добавить доменное имя компании, и Jigsaw будет генерировать список всех возможных адресов электронной почты.

«Единственное, чего нет в каталоге, — это адрес электронной почты сотрудника, — объясняет Элисан. — Jigsaw генерирует его для вас. Он применяет четыре самых популярных метода формирования логинов, которые используются для входа в корпоративную сеть, и добавляет к ним доменное имя».

Поскольку злоумышленники не могут точно знать правила формирования адресов, Jigsaw генерирует список e-mail, используя один из следующих вариантов: первая буква имени и фамилия, имя и фамилия через точку, имя и первая буква фамилии, фамилия и первая буква имени, после чего добавляет к получившемуся логину доменное имя.

«Полученная информация сохраняется злоумышленником в CSV-файле, содержащем имя сотрудника, отдел и адрес его электронной почты, созданный на основе указанного выше формата с добавленным доменным именем, — объясняет Элисан. — Далее CSV-файл отправляется в автоматизированную систему. Список может также сопровождаться конфигурационным файлом для передачи его в ботнет».

Ройс Дэвис (Royce Davis), один из разработчиков Jigsaw, заявил, что компаниям следует подумать о том, какой информацией они открыто делятся в Интернете и, в частности, на форумах.

«В случае базы данных Jigsaw я не думаю, что компании распространяют информацию намеренно. Я предполагаю, что ее собирают из визиток, которые раздаются словно конфетки на различных конференциях и общественных мероприятиях, — объяснил Дэвис в своей переписке с Threatpost. — То, что я продемонстрировал при помощи своей разработки, говорит лишь о том, что злоумышленнику нет необходимости иметь точный электронный адрес пользователя. Достаточно получить его имя и фамилию, чтобы сформировать правильный e-mail. Поэтому я рекомендую компаниям более творчески подойти к созданию логинов для персонала. Например, инициалы сотрудника могут комбинироваться с уникальным идентификатором, что будет выглядеть как rd89421@company.com. Такой электронный адрес гораздо труднее подобрать, чем более традиционный имя.фамилия@company.com (firstname.lastname@company.com).

По словам Дэвиса, Jigsaw уже давно используется для внутрикорпоративного фишинга. «Как правило, я получаю положительные отзывы от других пентестеров. Я думаю, это связано с тем, что Jigsaw облегчает сбор адресов электронной почты, используемых для легальной фишинг-рассылки, — считает Дэвис. — Кроме того, это помогает клиентам ощутить, сколько информации о его компании находится в Интернете».

Дэвис добавил, что он ничего не знает о тех, кто использует его код для создания вредоносных электронных писем.

«Я написал Jigsaw как инструмент с открытым кодом для пентестинга. Первоначальная идея о его создании пришла от коллеги, который уже был знаком с базой данных Jigsaw.com и просто хотел получить инструмент для автоматизации и ускорения утомительного этапа сбора информации, — уточнил Дэвис. — Молоток и гвозди используются для строительства домов и сохранения тепла в доме. Но молоток может стать и смертельным оружием. Как и в случае с молотком, я рад, что большинство людей используют мой инструмент для получения положительных результатов».

Категории: Другие темы