Реальные проекты

Кейсы NetWatch

Истории расследований, пентестов и внедрений — от угроз до полной защиты. Каждый проект — это опыт и результат.

Срок работ: 10 рабочих дней Отрасль: обслуживание и аренда контрольно-кассовой техники (ККТ) Объект: платформа управления онлайн-кассами, корпоративная сеть (100+ узлов) Пентест + расследование

Расследование инцидента и тестирование на проникновение оператора онлайн-касс

Клиент — оператор услуг по обслуживанию и аренде онлайн-касс. На корпоративную почту поступило несколько сообщений с угрозами.

Задачи

  • Задача 1. Расследование инцидента — установить, была ли скомпрометирована корпоративная сеть. Проверить узлы на наличие вредоносного ПО, скрытых каналов связи, средств закрепления, следов горизонтального перемещения.
  • Задача 2. Тестирование на проникновение критичных сервисов — провести внешнее и внутреннее тестирование платформы управления онлайн-кассами: API, личный кабинет, подсистема ОФД, внутренняя инфраструктура.

Контекст

  • Автор угроз утверждал, что располагает доступом к внутренней инфраструктуре компании. Прямых доказательств взлома не предоставил, однако содержание писем указывало на осведомлённость о внутренних процессах.
  • Руководство приняло решение провести полную проверку.

Ход работ

1Этап 1. Расследование — развёрнуты средства обнаружения угроз на серверах и рабочих станциях. Подняты и проанализированы журналы событий МЭ, прокси-сервера, DNS-сервера и почтовой системы за 90 дней. Проведён анализ заголовков писем с угрозами, маршрутов их доставки и временных меток. Проверены: сетевые соединения, запущенные процессы, учётные записи, скрытые задачи в планировщике. Результат: признаков взлома не обнаружено. Наиболее вероятный источник осведомлённости — открытые сведения о сотрудниках и процессах компании.
2Этап 2. Внешнее тестирование на проникновение — проведён анализ внешнего периметра. В программном интерфейсе личного кабинета клиентов выявлена уязвимость класса «прямые ссылки на объекты без проверки прав» (IDOR) — недостаточная проверка полномочий при запросе данных. Эксплуатация уязвимости позволила получить доступ к сведениям о кассах и транзакциях сторонних клиентов сервиса.
3Этап 3. Внутреннее тестирование на проникновение — способ атаки: подключение к гостевой беспроводной сети офиса → сканирование внутренней сети. Обнаружен сервер резервного копирования, размещённый в общем сетевом сегменте. Стандартные учётные данные. Сервер захвачен. Получены резервные копии конфигураций касс, реквизиты клиентов и данные для доступа к личным кабинетам. Путь до критичного актива: 3 шага от гостевой беспроводной сети.

Результаты

  • По задаче 1 (Расследование инцидента): время обработки инцидента — 48 часов. Признаков взлома не обнаружено. Зафиксирован вероятный источник сведений автора писем — открытые данные о компании. Рекомендации по сокращению публичного цифрового следа переданы службе безопасности.
  • По задаче 2 (Тестирование на проникновение): обнаружено уязвимостей — 2 критические, 4 высокие. Подтверждена возможность несанкционированного доступа к данным клиентов сервиса из внешнего и внутреннего периметра. Потенциальные последствия до устранения — захват управления клиентскими кассами, утечка персональных данных.
  • Передано клиенту: краткий отчёт для руководства; технический отчёт с оценкой опасности уязвимостей по шкале CVSS и скриптами воспроизведения; схема пути атаки; рекомендации по устранению уязвимостей с приоритезацией; рекомендации по снижению публичного цифрового следа.
  • Повторное тестирование проведено через 2 недели. Критические уязвимости устранены.
IDOR CVSS OWASP Top 10 Гостевая Wi-Fi Стандартные учётные Резервное копирование OSSTMM PTES
Следите за обновлениями
Обсудить ваш проект

Нужен пентест или расследование?

Оставьте заявку — мы свяжемся и расскажем, как решаем сложные задачи.