Гид по киберучениям изнутри: какие атаки, инструменты и этапы прописал Росреестр в задании к белым хакерам

Летом 2025 года Федеральная служба государственной регистрации, кадастра и картографии (Росреестр) разместила на сайте госзакупок электронный аукцион. Он касался «оказания услуг по контролю процессов информационной безопасности» Росреестра. Первоначальной ценой аукциона были 222 млн рублей, но в конкурсе победил исполнитель, согласившийся выполнить работы за 69 млн рублей. Победителем аукциона оказалась московская компания «Юстас» — интегратор, ранее работавший с «Газпромнефтью», «Альфа-Банком», «МегаФоном», РЖД.

Закупка, на первый взгляд, малопримечательная. Но в техническом задании подробно описываются требования по проведению киберучений. SecPost разобрал документ, чтобы узнать, какие требования выдвигал Росреестр для их проведения.

Отметим, что Росреестр не заказывал киберучения отдельно, они шли в комплексе с целым рядом других услуг. Исполнителю предстояло провести адаптацию процессов ИБ для ВЦУИИБ (ведомственного центра управления инцидентами ИБ), оказать услуги по контролю IT-активов и выявлению в них уязвимостей, помочь с контролем их безопасной конфигурации и заняться сопровождением подсистем ВЦУИИБ. И это не всё: исполнителю нужно было найти следы успешной компрометации информационной инфраструктуры и провести расследование уже произошедших инцидентов.

Проведение киберучений лишь завершало весь комплекс услуг, которые заказывал Росреестр.

Подготовительный этап

Киберучения в Росреестре предназначались для оценки возможностей реализации недопустимых событий в инфраструктуре ведомства. Под недопустимыми событиями подразумеваются отдельные инциденты, их цепочки или их сочетания, в результате которых наступают негативные последствия, а именно — наносится неприемлемый по своему уровню ущерб для инфраструктуры.

Помимо этого киберучения должны были позволить оценить полноту мониторинга ВЦУИИБ, определить эффективность применяемых процессов ИБ, оценить защищенность инфраструктуры заказчика. Также киберучения помогут определить, насколько эффективна подсистема автоматического реагирования на атаки (ПАРА).

До начала киберучений стороны должны были согласовать и подписать план их проведения. Он должен содержать этапность, сроки и зоны ответственности.

Этап №1: сбор информации

Первым этапом киберучений, согласно техническому заданию Росреестра, должен стать сбор исходной информации. На этом этапе исполнитель ищет любые ранее скомпрометированные данные — полученная информация затем используется при планировании атаки на инфраструктуру Росреестра.

«Красная команда» должна искать информацию как активно, так и пассивно.

Под активным сбором информации подразумевается отправка целевому узлу (службе) запросов и их последующая обработка. Можно использовать автоматическое сканирование или ручное тестирование с помощью таких инструментов, как Metasploit, netcat, nmap, ping, traceroute и других. В качестве примера приводится запрос к DNS-серверу на перенос обслуживаемой им зоны.

Пассивный поиск подразумевает наблюдение за сетевым трафиком, использование публичных веб-сервисов и поисковых систем. Это службы WHOIS, DNS, методы OSINT (в терминологии технического задания — «неактивное исследование публичного сайта, запросы в поисковых системах, обращение к публичным веб-службам и базам данных»).

В качестве инструментов для пассивного сбора информации приводятся:

• Webshark;
• веб-приложения (robtex, whois);
• база данных RIPE;
• базы данных WHOIS (tcinet.ru/whois, whoishistory);
• штатные средства операционной системы (nslookup, dig);
• поисковые системы Яндекс.

По итогам сбора данных исполнитель работ должен проанализировать полученную информацию и спланировать атаку на инфраструктуру. «Красной команде» также нужно разработать «сценарии социотехнических атак» и составить списки атакуемых сотрудников, уязвимых служб и приложений.

Этап №2: проникновение в инфраструктуру

На этом этапе задачей исполнителя является обход защиты сетевого периметра. Цель — проникнуть в максимальное количество сегментов локальной вычислительной сети (ЛВС) структуры заказчика киберучений. При этом необходимо учитывать границы проведения работ в соответствии с исходной задачей. Важно, что помимо проникновения исполнителю также нужно установить резервные каналы доступа во внутреннюю сеть и подготовиться к развитию атаки внутри сети.

При необходимости исполнитель может запросить доступ к ресурсам ЛВС для моделирования атак, направленных на реализацию недопустимых событий, от лица внутреннего злоумышленника. В такой необходимости доступ выдается двумя способами — либо через удаленный доступ с использованием защищенного подключения на основе технологии VPN, либо физический доступ через подключение к Ethernet-розетке в сегменте ЛВС.

Техзадание предполагает несколько способов проникновения в ЛВС — можно использовать сразу несколько:

• атаки на ресурсы сетевого периметра (ресурсы, доступные из интернета);
• атаки на сотрудников заказчика киберучений с использованием методов социальной инженерии;
• взлом корпоративных беспроводных сетей за пределами контролируемой территории;
• подключение к Ethernet-розеткам, расположенным в помещениях со свободным доступом на территории Заказчика киберучений.

В техническом задании детально расписан каждый из методов.

Атаки на ресурсы сетевого периметра

Определив потенциально уязвимые службы и приложения, исполнитель может эксплуатировать уязвимости во внешних корпоративных веб-приложениях, в службах, доступных на сетевом периметре (в том числе с использованием публичных эксплойтов), и использовать найденные при поиске информации учетные данные для доступа к ресурсам периметра.

В качестве примеров инструментов, используемых для атаки на ресурсы сетевого периметра, Росреестр приводит следующие:

Burp Suite Professional	mitm6	RouterSploit
CrackMapExec	mitmproxy	rpcclient
dirsearch	nbtscan	Scapy
dnsutils	netcat	smbclient
hashcat	netdiscover	snmpwalk
ike-scan	nmap	socat
Impacket	Patator	sqlmap
LDAP3 Based Tools	ProxyChains	tcpdump
MASSCAN	redsocks	ysoserial
Metasploit	Responder	ПО собственной разработки

Атаки на сотрудников

В техническом задании ограничивают атаки с помощью методов социальной инженерии: разрешается использовать только рассылку фишинговых писем, а при взаимодействии с сотрудниками заказчика общаться с ними только по корпоративным адресам электронной почты. Собрать эти контактные данные исполнитель киберучений должен самостоятельно.

В фишинговом письме может содержаться ссылка на подконтрольный исполнителю киберучений веб-ресурс с поддельной формой для ввода доменных учетных данных. Или же — вложение, при открытии которого производится автоматическая попытка эксплуатации одной из распространенных уязвимостей в ПО. «Красной команде» разрешено вступать в переписку с пользователем для получения учетных данных или значимой информации.

Атаки на корпоративные беспроводные сети

Как отмечается в техзадании, этот способ проникновения в инфраструктуру нужен для выявления недостатков точек доступа и клиентских устройств Wi-Fi для диапазонов 2,4 и 5 ГГц. При этом способе предполагается использование технологий 802.11 (a, b, g, n, ac, ax). Также эта атака позволит выявить недостатки в архитектуре и организации беспроводного доступа.

Исполнитель киберучений обязуется использовать следующие методы:

• обнаружение и проведение атак на точки беспроводного доступа, несанкционированно подключенные к ЛВС заказчика;
• обнаружение и проведение атак на точки беспроводного доступа, не соответствующие стандартам ИБ (использование методов защиты, для которых есть документированные методы обхода, отсутствие механизмов защиты и так далее);
• обнаружение ошибок в конфигурации клиентских устройств беспроводных сетей, которые позволяют получить доступ к доменной инфраструктуре заказчика;
• проведение атак, основанных на недостаточной осведомленности сотрудников заказчика в вопросах ИБ при эксплуатации беспроводных сетей.

Отмечается, что атаки на ведомственные беспроводные сети проводятся без доступа к контролируемой заказчиком территории, без привилегий в корпоративных системах. Для атаки можно использовать как гостевые беспроводные сети, так и беспроводные сети для внутреннего доступа, если они доступны для подключения за пределами территории заказчика.

Эта атака позволит выявить недостатки в инфраструктуре заказчика, что даст возможность реализовать такие угрозы как:

• несанкционированное подключение к беспроводным сетям заказчика;
• проведение атак на ресурсы ЛВС и доменную инфраструктуру;
• перехват информации, передаваемой по беспроводным сетям заказчика;
• организация атак на клиентские беспроводные устройства заказчика киберучений с помощью навязывания подключения к точке беспроводного доступа, развернутой исполнителем за пределами контролируемой территории заказчика киберучений.

В качестве возможных инструментов, используемых при таком типе атаке, приводятся:

Airodump-ng	MANA Toolkit
Burp Suite	nmap
dhcpd	rdesktop
hashcat	Reaver
Kali Linux	Wash

Атака через подключение к ЛВС из территории заказчика

Последний способ основан на анализе помещений со свободным доступом на территории заказчика. Задача заключается в поиске Ethernet-розеток, с помощью которых можно подключиться к ресурсам ЛВС. Под помещениями подразумеваются любые места на территории заказчика, для доступа к которым исполнителю не нужно получать пропуск. Также запрещается нарушать границы контролируемой территории с помощью несогласованного физического проникновения.

В качестве примеров зон, в которых разрешено провести подобную атаку, приводятся гостевые зоны и зоны ожидания рядом с ресепшеном, проходные, КПП и другие служебные помещения, через которые может пройти исполнитель, а также зоны для обслуживания клиентов заказчика.

Этап №3: закрепление в инфраструктуре и развитие кибератаки

Проникнув в ЛВС заказчика и создав дополнительные каналы доступа, «красная команда» должна расширить зону контроля над инфраструктурой. Это необходимо для достижения «критериев реализации недопустимых событий», которые устанавливаются заранее.

На этом этапе атакующий должен:

• подобрать аутентификационные данные доменных учетных записей;
• провести атаки типа «человек посередине» на протоколы сетевого и канального уровней с целью перехвата сетевого трафика;
• получить доступ к памяти процессов;
• провести атаки на реализацию протокола Kerberos в операционной системе Microsoft Windows;
• провести атаки, направленные на эксплуатацию общеизвестных уязвимостей в прикладном ПО и ОС;
• получить доступ к информации в корпоративной базе данных и системах поддержки пользователей и ее анализ.

Для этой части разработчик техзадания тоже предусмотрел перечень примеров инструментов, которые можно использовать для развития кибератаки.

BloodHound	mitmproxy	rpcclient
Burp Suite Professional	netcat	smbclient
hashcat	nmap	snmpwalk
IDA Pro	Patator	socat
Impacket	ProxyChains	sqlmap
Metasploit	pypykatz	tcpdump
Microsoft Management Console	redsocks	Wireshark
mimikatz	Responder	ПО собственной разработки

Финальный этап: отчет

По результатам киберучений исполнитель должен предоставить отчет. В нем нужно описать формат оказанных услуг и указать перечень согласованных с заказчиком недопустимых событий и их вариантов. Необходимо предоставить детальное описание векторов атак и результатов эксплуатации уязвимостей, включая информацию о полученном уровне привилегий в системе заказчика. Каждый шаг вектора атаки нужно детально задокументировать и сопроводить снимками экрана, которые подтвердят эксплуатацию уязвимости, получение доступа к ресурсу или иную значимую информацию.

Команда нападения подробно описывает только успешные векторы атак. При этом им необходимо также проанализировать результаты работ, определить перечень успешно реализованных недопустимых событий и указать для каждого события приведшие к нему уязвимости и недостатки механизмов защиты.

В финальный отчет также включаются рекомендации по устранению выявленных уязвимостей, принятию дополнительных мер и средств защиты, а также по повышению общего уровня защищенности инфраструктуры.

Ранее SecPost детально разбирал ИБ-систему Росреестра. По открытым документам ведомства удалось собрать картину устройства систем защиты информации ведомства, а также выяснить, сколько стоит её обслуживание.