Популярное
Свежее
Моя лента
Сообщения
Рейтинг
Курсы
Темы
Маркетинг
Сервисы
AI
Личный опыт
Деньги
Инвестиции
Право
Карьера
Путешествия
Крипто
Показать все
vc.ru
О проекте
Правила
Реклама
Приложения
Максофт-системный интегратор
Личный опыт

Как мы нашли уязвимость в инфраструктуре банка и смогли обойти антивирусное ПО

Это настоящий кейс от настоящих пентестеров — с техномясом и терминами.

99.9% статей про кибербез начинаются со страшилок. Что ж, и у нас такое есть: «Российские банки с января по июнь 2025 г. смогли отразить 82,5 млн попыток атак мошенников. Общая сумма сохраненных средств составила 8 трлн руб.». Это на XXII Международном банковском форуме директор департамента информационной безопасности Банка России Вадим Уваров.

Кажется, больше не нужно иллюстрировать тот факт, что пентест банкам просто жизненно необходим?
Одна из таких финансовых организаций заказала пентест у команды Максоф. Перед командой стояла задача провести тестирование внутреннего периметра без пользовательских привилегий. Заказчик предоставил доступ только к внутренней сети, после чего необходимо было попытаться реализовать атаки на критические системы или контроллеру домена — ключевому элементу любой внутренней инфраструктуры. Кроме того, требовалось обойти установленное антивирусное программное обеспечение на хосте, доступ к которому был предоставлен. Такой подход подразумевал использование методов Red Team, что означает не просто проведение пентеста, а активную работу с уже существующими средствами защиты внутри организации.

Что делали и что обнаружили — по шагам

1. Неправильная настройка антивируса открыла доступ к вредоносным программам

Команда обнаружила недостатки в конфигурации антивирусного программного обеспечения. Многие организации настраивают свои антивирусы так, что они допускают запуск вредоносных программ из определенных папок операционной системы. Это создает потенциальные риски для безопасности.

Одним из распространенных приемов является создание списков исключений — путей, по которым антивирус не будет проверять файлы на наличие угроз. Эти исключения позволяют запускать необходимые утилиты для работы без блокировки со стороны защитного ПО.

Команда изучила конфигурацию антивируса и определила каталоги с исключениями. Это дало возможность разместить там эксплойты и другие инструменты для дальнейшей работы.

2. Устаревшая операционная система стала причиной серьезной уязвимости в безопасности банка.

После обхода антивирусной защиты следующим шагом стало повышение локальных привилегий на узле ноутбука заказчика. Команда обнаружила устаревшую сборку операционной системы Windows и использовала публичный эксплойт для получения прав локального администратора.

С этим уровнем доступа стало возможным проводить дальнейшие атаки внутри домена банка. Получив максимальные привилегии на одном из узлов сети, команда подготовила среду для реализации более сложных атак.

3. Техника Relay Attack открыла доступ к критически важным системам банка

Одной из примененных техник стала Relay Attack — метод атаки "человек посередине", который позволяет перенаправлять запросы между клиентом и сервером. С помощью этой техники, а также другого вида атак «Делегирование в Kerberos» команде удалось получить TGT-билет администратора домена на службу SMB (Server Message Block).

Данный вектор позволил получить доступ к нескольким критически важным узлам внутри сети банка, включая компьютеры руководителей отдела информационной безопасности и финансовых департаментов.

4. Выявление конфиденциальной информации

На компьютере руководителя информационной безопасности была найдена значительная часть конфиденциальной информации компании. Однако наиболее ценным оказалось то, что на рабочем столе одного из руководителей высшего звена финансового сектора находились ярлыки для удаленного подключения к критически важным системам компании — таким как 1С-сервер, финансовые системы, а также общедоступный сетевой диск.

Кроме того, команда разработала собственное программное обеспечение для извлечения паролей пользователей из процесса LSASS (Local Security Authority Subsystem Service) в обход работы антивирусных средств. Это обеспечило получение пароля от учетной записи руководителя финансового сектора.

5. Случайные ярлыки привели к компрометации ключевых систем

Получив учетную запись руководителя финансового сектора, пентестеры смогли получить доступ непосредственно на хост внутренней сети, на котором был развернута общая сетевая папка. Отличительной чертой данного хоста было то, что с него был доступен критический узел с развернутым сервером антивирусного ПО. В Компании были уже внедрены правила межсетевого экранирования и разграничения, поэтому на предыдущих этапах получить доступ к такому узлу не удавалось.

Команда перед реализацией атаки на критический узел с развернутым сервером антивирусного ПО, создала туннель от захваченного ранее ноутбука с привилегиями локального администратора до хоста с развернутой общей сетевой папкой. После чего успешно реализовали атаку, связанную с уязвимостями конфигурации ACL критического узла с развернутым сервером антивирусного ПО. В результате команда смогла получить на данном критическом узле привилегированный доступ, что позволило захватить учетные данные администраторов домена.

6. Захват контроллера домена привел к получения файла с данными всех пользователей

Получив на предыдущем шаге учетные данные администратора домена, команда реализовала атаку «DCSync» на контроллер домена. Результатом данной атаки стал полученный командой файл ntds.dit, который хранил учетные данных всех пользователей домена. Кроме этого, получив доступ к такому файлу, специалисты провели на своих мощностях атаку «brute force», которая выявила, что многие пользователи внутренней сети используют слабые пароли от своих учетных записей.

А что дальше?

Надо сказать, что уязвимости можно найти в любой системе — на какие-то требуется больше знаний, на какие-то больше времени. И некоторые из них могут представлять явную угрозу для организации.
В этом конкретном случае проблемы серьезные: под угрозой конфиденциальная информация.
Первое. Уязвимости в настройках антивирусного ПО могут привести к развитию атак во всей сети с последующей компрометации всего домена. Второе — неправильная и уязвимая конфигурация список контроля доступа (ACL) также может стать причиной получение максимальных привилегий во внутренней сети.

Главный совет из разряда «чистить зубы по утрам» — регулярно обновлять системы, настроить центр управления инцидентами и 24/7 эти инциденты мониторить.

По итогам проведенного тестирования, клиент получил экспертный отчет, состоящий из двух частей: технического отчета и дорожной карты по развитию системы информационной безопасности. Эти документы не только содержат детальный анализ выявленных уязвимостей, но и предлагают конкретные рекомендации по их устранению и улучшению общей безопасности системы.

Что такое дорожная карта ИБ?

Вы скажете, что прекрасно знаете такие отчеты. Они тоже начинаются со страшилок: список непонятных уязвимостей, а внизу пугающая цифра. Такой документ — еще один индикатор хорошего подрядчика. Перед заключением договора на услуги спросите, как будет выглядеть отчет. В идеале дорожная карта — это пошаговый план, где четко прописано какая уязвимость критическая, какие последствия несет, как ее устранить. То есть безопасники не будут требовать устранить все и сразу, а расскажут, с чего начать, сколько это будет стоить на первом-втором этапе.

Проверьте, легко ли вас взломать? Оставьте заявку на консультацию с экспертом https://pentest.maksoft.ru/#forma
Это ни к чему не обязывает)

Начать дискуссию