T1596.003: ЦИФРОВІ СЕРТИФІКАТИ
Зловмисники аналізують публічні дані цифрових сертифікатів (SSL/TLS) для збору інформації про інфраструктуру та організаційну структуру жертви. Сертифікати містять дані про зареєстровану організацію, її розташування, а головне — список альтернативних імен суб'єктів (SAN), що дозволяє миттєво виявити приховані піддомени та внутрішні сервіси, які використовують шифрування.
ТЕХНІЧНИЙ ОПИС
Зловмисники можуть шукати публічні дані цифрових сертифікатів для отримання інформації про жертв, яка може бути використана під час вибору цілі. Цифрові сертифікати видаються центрами сертифікації (CA) для криптографічної перевірки походження підписаного контенту. Ці сертифікати, такі як ті, що використовуються для зашифрованого вебтрафіку (HTTPS SSL/TLS), містять інформацію про зареєстровану організацію, наприклад, назву та місцезнаходження.
Зловмисники можуть шукати дані цифрових сертифікатів для збору дієвої інформації. Суб’єкти загроз можуть використовувати онлайн-ресурси та інструменти пошуку для збору інформації про сертифікати. Дані цифрових сертифікатів також можуть бути доступні з артефактів, підписаних організацією (наприклад, сертифікати, що використовуються для зашифрованого вебтрафіку, надаються разом із контентом). Інформація з цих джерел може виявити можливості для інших форм розвідки (наприклад, активне сканування або фішинг для отримання інформації), розгортання оперативних ресурсів (наприклад, розробка або отримання можливостей) та/або отримання початкового доступу (наприклад, зовнішні сервіси віддаленого доступу або довірені відносини).
Чому сертифікати — це «золота жила» для розвідки? Завдяки механізму Certificate Transparency (CT), кожен випущений публічний SSL-сертифікат фіксується у відкритих логах. Це робить розвідку через сертифікати надзвичайно ефективною:
- Subject Alternative Name (SAN): Це поле в сертифікаті часто містить цілий список піддоменів компанії (наприклад, vpn.company.com, mail.company.com, jira.internal.company.com). Хакеру не потрібно брутфорсити DNS — ви самі надали йому список цілей у сертифікаті.
- Визначення внутрішніх технологій: Сертифікати можуть видаватися для специфічного ПЗ (наприклад, для панелей керування серверами або внутрішніх баз даних). Це допомагає зловмиснику зрозуміти, яке саме програмне забезпечення ви використовуєте.
- Зв’язки між доменами: Якщо компанія володіє різними брендами, вони часто використовують один сертифікат для всіх своїх сайтів. Це дозволяє хакеру пов’язати здавалося б не пов’язані домени в одну атакувальну мапу.
Сценарії розвідки:
- «Полювання на нові сервіси»: Зловмисник налаштовує моніторинг (наприклад, через crt.sh) на ваш основний домен. Щойно ваш розробник випускає сертифікат для нової тестової платформи, хакер отримує сповіщення і починає атаку ще до того, як сервіс пройде аудит безпеки.
- «Атака на VPN/RDP»: Знайшовши в SAN-полях запис на кшталт global-protect.company.ua, хакер розуміє, що ви використовуєте рішення Palo Alto GlobalProtect, і може шукати специфічні CVE саме під це обладнання.
- «Підміна підпису ПЗ»: Аналіз сертифікатів підпису коду (Code Signing) дозволяє зловмиснику дізнатися, яким саме ключем організація підписує своє ПЗ, що може бути корисно для планування атак на ланцюжок поставок (Supply Chain Attack).
Як захиститися?
- Wildcard-сертифікати: Замість того, щоб перелічувати всі піддомени в SAN, використовуйте wildcard-сертифікати (*.company.com). Це приховує конкретні імена внутрішніх сервісів від публічних логів CT.
- Власний Центр Сертифікації (Internal CA): Для внутрішніх ресурсів, які не потребують довіри з боку зовнішніх користувачів, використовуйте внутрішній CA. Такі сертифікати не потрапляють у публічні логи.
- CT Monitoring: Використовуйте сервіси на кшталт Facebook CT Monitoring або Cloudflare, щоб отримувати сповіщення про кожен випущений сертифікат на ваше ім’я. Це дозволить виявити, якщо хакер сам випустив сертифікат на ваш домен (Shadow Certificates).