Здравейте, колеги и ентусиасти,
Реших, че ще е яко да споделим някакви интересни истории от пентестове, които сме правили - обменяме опит, докато нахъсваме ентусиастите!
Моля информацията за клиентите да е максимално анонимизирана, за да се предпази репутацията на организацията.
Разследване на Кибер Престъпление
Ще споделя най-пресния use-case, който не бих казал, че при перфектни обстоятелства щеше да е труден за разплитане. Работих в колаборация, както с частни организации, така и с лица.
Получавам съобщение от партньорска организация - техен клиент е загубил десетки хиляди долари. Никой не знае какво е станало като цяло. Единствената информация, която имам е, че техните пари са запорирани в доста сериозна западна банка. Установили са зловредния извършител в имейл, но не знаят нищо по въпроса.
Извлякох цялата имейл кореспонденция на фирмата с фирмата доставчик и започнах да анализирам "оригиналното съобщение" на имейлите. Установих, че извършителите са направили стандартна фишинг атака, като са се инжектирали в кореспонденцията между двете фирми и са заблудили фирмата-възложител, като са сменили една буква в името на имейла.
1. Не можеш да разбереш кои са извършителите от тази информация, защото използват gmail - нямаме юрисдикция да изискваме такава информация.
2. Дори да имаме юрисдикция - извършителите използват ВПН, а за да изискваш логовете ти трябват отново привилегии дадени от съда.
3. Ако ВПН-а не използва логове, тогава всичкия труд до този момент е буквално за нищо.
На базата на информацията в предните три точки реших да загърбя идеята да се процедира в тази посока.
Как извършителите знаят за кореспонденцията, че да се инжектират в най-правилния момент (когато се изпраща инвойс и адрес за плащане, като доставят и конкретна информация)?
Компрометирали са имейл сървърите на фирмата-възложител?
-/- на фирмата-доставчик/изпълнител?
Компрометирали са имейл сървърите на фирмата-възложител?
Бях допуснат до системите и сървърите на фирмата-възложител и извърших тестове за откриване на потенциално компрометиране. Нямах физически достъп до системите, защото се намираха доста далече от локацията ми. Направих remote forensic memory imaging на системата. След това я достъпих през RDP, за да извърша локален анализ на състоянието на систематa, за да не правя поста още по-дълъг - давам кредит на един от пичовете, които следя за полезна информация (https://www.jaiminton.com/cheatsheet/DFIR/#).
Заключението е, че системите бяха чисти / некомпрометирани.
2. Компрометирали са имейл сървърите на фирмата-доставчик/изпълнител?
Не бях допуснат до техните системи, но след няколко срещи с възложителя, той натисна изпълнителя и подписа разрешение от същия да се направи дистанционен анализ на състоянието на цялата им онлайн собственост от перспективата на хакер без достъп (black-box pentest).
Някои от нещата, които открих включват следните уязвимости на уеб апликацията им (знам, че не дават много информация на пръв поглед (напр. "cookie misconfiguration), но за всяко едно от тези неща имаше още по няколко в същата категория и просто ги сложих в едно):
Ситуацията на сървърно ниво беше същото. Шодан откри около 50 непотвърдени уязвимости. Метасплойт откри над 60 експлойта с "excelent" рейт. Всичко беше толкова пробито и мисконфигурирано, че в мен имаше крещящо чувство, че тук има няколко варианта:
Доставчика е поверил поддръжката на трета страна, която нарочно е конфигурирала неправилно всичко възможно, за да отвори вратата на хакерите, които вече да действат.
Поддръжка не съществува, некомпетентни лица са инсталирали и конф. всичко. Хакерите са открили сайта случайно, експлоатирали са уязвимостите и са проникнали в сървъра, сетъпнали са имейл forwarding рулове, които им пращат всички имейли към техния gmail акаунт.
Криминалните елементи изобщо не са компрометирали системите, но имат договорка с доставчика, за да източват клиента си, като го принуждават да прави двойно плащане - първо на скамърите, после на доставчика. Логиката идва от правилното и адекватно инжектиране в комуникацията.
Настъпи голям смут, като споделих потенциалните сценарии с клиента. Правиха се срещи, обсъждаха се файндингите с полицаи, международна полиция и финансови организации. Правиха се пътувания до страната на доставчика.
Направих Threat Intelligence OP и успях да открия в някакви забутани даркнет форуми креденциите на 6 акаунта от доставчика - собственика, администратора, HR и други. Всичките им акаунти използваха пароли, като например "109391820". - Скандално.
В крайна сметка не бях допуснат да направя вътрешен анализ на системите на доставчика, което доста ме шокира предвид откритията ми.
В последна версия подкрепих теза 2, като най-вероятна. Приложих, разбира се, препоръка за поправки в конфигурацията, които да митигират всички открити заплахи.
След време получих разрешение да колаборирам с определени организации и институции, за да бъдем "проактивни" и да се опитаме да деанонимизираме извършителите.
1. Изработих фишинг страница, която беше най-добрата и напълно функционална, която някога бях правил.
2. Легитимно изглеждаща, с валидни сертификати.
3. Зад WAF.
4. Инжектирах BeeF кука в сорс кода на всяка страница.
5. Създадох (не)реални профили на служителите в линкд-ин, (не)реален профил на бизнеса - с лого, активност, постове и всичко.
6. Направих перфектно изглеждащ подпис в имейла на сейлс профила.
7. Конфигурирах GoPhish, за да мога да имам по-голям контрол върху съобщението, което исках да изпратя на мишената, както и да имам метрики, които да следя, като например отворено съобщение, линк и прочие.
8. Направих супер добър имейл темплейт за сейлс поръчка от доставчика, бъдейки сигурен, че ще бъде видяно от извършителите. Всички страни бяха предупредени и бяха част от информационния поток.
Надявах се, че ще им грабна вниманието, ще отворят линка, ще им се инфектира браузъра и ако са непредпазливи - минимум ще открия ценна информация и следи за извършителите.
Не се стигна до деанонимизиране за съжаление - не разполагахме с делегиран ресурс, освен време и умения. Не получихме достъп до информация от Гугъл, нито от ВПН. Мисля, че полицията хвърли случая в кофата, защото не им се занимава и нямат капацитета да разследват.
Няма да ви отегчавам повече. Надявам се да прочета по-интересни истории от вас 🙂 Също ми е интересно вие как бихте процедирали в такъв случай?
