Реальные проекты
Кейсы NetWatch
Истории расследований, пентестов и внедрений — от угроз до полной защиты. Каждый проект — это опыт и результат.
Расследование инцидента и тестирование на проникновение оператора онлайн-касс
Клиент — оператор услуг по обслуживанию и аренде онлайн-касс. На корпоративную почту поступило несколько сообщений с угрозами.
Задачи
- Задача 1. Расследование инцидента — установить, была ли скомпрометирована корпоративная сеть. Проверить узлы на наличие вредоносного ПО, скрытых каналов связи, средств закрепления, следов горизонтального перемещения.
- Задача 2. Тестирование на проникновение критичных сервисов — провести внешнее и внутреннее тестирование платформы управления онлайн-кассами: API, личный кабинет, подсистема ОФД, внутренняя инфраструктура.
Контекст
- Автор угроз утверждал, что располагает доступом к внутренней инфраструктуре компании. Прямых доказательств взлома не предоставил, однако содержание писем указывало на осведомлённость о внутренних процессах.
- Руководство приняло решение провести полную проверку.
Ход работ
1Этап 1. Расследование — развёрнуты средства обнаружения угроз на серверах и рабочих станциях. Подняты и проанализированы журналы событий МЭ, прокси-сервера, DNS-сервера и почтовой системы за 90 дней. Проведён анализ заголовков писем с угрозами, маршрутов их доставки и временных меток. Проверены: сетевые соединения, запущенные процессы, учётные записи, скрытые задачи в планировщике. Результат: признаков взлома не обнаружено. Наиболее вероятный источник осведомлённости — открытые сведения о сотрудниках и процессах компании.
2Этап 2. Внешнее тестирование на проникновение — проведён анализ внешнего периметра. В программном интерфейсе личного кабинета клиентов выявлена уязвимость класса «прямые ссылки на объекты без проверки прав» (IDOR) — недостаточная проверка полномочий при запросе данных. Эксплуатация уязвимости позволила получить доступ к сведениям о кассах и транзакциях сторонних клиентов сервиса.
3Этап 3. Внутреннее тестирование на проникновение — способ атаки: подключение к гостевой беспроводной сети офиса → сканирование внутренней сети. Обнаружен сервер резервного копирования, размещённый в общем сетевом сегменте. Стандартные учётные данные. Сервер захвачен. Получены резервные копии конфигураций касс, реквизиты клиентов и данные для доступа к личным кабинетам. Путь до критичного актива: 3 шага от гостевой беспроводной сети.
Результаты
- По задаче 1 (Расследование инцидента): время обработки инцидента — 48 часов. Признаков взлома не обнаружено. Зафиксирован вероятный источник сведений автора писем — открытые данные о компании. Рекомендации по сокращению публичного цифрового следа переданы службе безопасности.
- По задаче 2 (Тестирование на проникновение): обнаружено уязвимостей — 2 критические, 4 высокие. Подтверждена возможность несанкционированного доступа к данным клиентов сервиса из внешнего и внутреннего периметра. Потенциальные последствия до устранения — захват управления клиентскими кассами, утечка персональных данных.
- Передано клиенту: краткий отчёт для руководства; технический отчёт с оценкой опасности уязвимостей по шкале CVSS и скриптами воспроизведения; схема пути атаки; рекомендации по устранению уязвимостей с приоритезацией; рекомендации по снижению публичного цифрового следа.
- Повторное тестирование проведено через 2 недели. Критические уязвимости устранены.
IDOR
CVSS
OWASP Top 10
Гостевая Wi-Fi
Стандартные учётные
Резервное копирование
OSSTMM
PTES
Следите за обновлениями
Обсудить ваш проект
Нужен пентест или расследование?
Оставьте заявку — мы свяжемся и расскажем, как решаем сложные задачи.