Преминете към съдържанието

МЕУ организира кампания за пентестове в държавната администрация

Целта на кампанията е да подобри киберсигурността в държавната администрация, като участието в нея е доброволно и не се обвързва с възнаграждение.
Прочети повече за програмата

Добре дошли в Хакинг.БГ! 

Всеки един от нас стои на раменете на гигантите, споделили знанията и опита си с нас.

Този форум е нашият начин да върнем жеста за бъдещите и текущите кадри в киберсигурността.

Стремим се да предоставим платформа, където членовете могат да развиват своите умения, като се дава приоритет на етиката, сигурността и поверителността!

Препоръчан пост


  • Група:  [Администратор]
  • Последователи:  15
  • Брой мнения:  137
  • Репутация:   87
  • Спечелени дни:  37
  • Регистриран на:  11.04.2023
  • Статус:  Оффлайн
  • Система/OS::  Windows

Здравейте, колеги и ентусиасти,

Реших, че ще е яко да споделим някакви интересни истории от пентестове, които сме правили - обменяме опит, докато нахъсваме ентусиастите!

Моля информацията за клиентите да е максимално анонимизирана, за да се предпази репутацията на организацията.

Разследване на Кибер Престъпление

Ще споделя най-пресния use-case, който не бих казал, че при перфектни обстоятелства щеше да е труден за разплитане. Работих в колаборация, както с частни организации, така и с лица.

Получавам съобщение от партньорска организация - техен клиент е загубил десетки хиляди долари. Никой не знае какво е станало като цяло. Единствената информация, която имам е, че техните пари са запорирани в доста сериозна западна банка. Установили са зловредния извършител в имейл, но не знаят нищо по въпроса.

Извлякох цялата имейл кореспонденция на фирмата с фирмата доставчик и започнах да анализирам "оригиналното съобщение" на имейлите. Установих, че извършителите са направили стандартна фишинг атака, като са се инжектирали в кореспонденцията между двете фирми и са заблудили фирмата-възложител, като са сменили една буква в името на имейла.

1. Не можеш да разбереш кои са извършителите от тази информация, защото използват gmail - нямаме юрисдикция да изискваме такава информация.

2. Дори да имаме юрисдикция - извършителите използват ВПН, а за да изискваш логовете ти трябват отново привилегии дадени от съда.

3. Ако ВПН-а не използва логове, тогава всичкия труд до този момент е буквално за нищо.

На базата на информацията в предните три точки реших да загърбя идеята да се процедира в тази посока.

  • Как извършителите знаят за кореспонденцията, че да се инжектират в най-правилния момент (когато се изпраща инвойс и адрес за плащане, като доставят и конкретна информация)?
    • Компрометирали са имейл сървърите на фирмата-възложител?
    • -/- на фирмата-доставчик/изпълнител?

 

  1. Компрометирали са имейл сървърите на фирмата-възложител?

Бях допуснат до системите и сървърите на фирмата-възложител и извърших тестове за откриване на потенциално компрометиране. Нямах физически достъп до системите, защото се намираха доста далече от локацията ми. Направих remote forensic memory imaging на системата. След това я достъпих през RDP, за да извърша локален анализ на състоянието на систематa, за да не правя поста още по-дълъг - давам кредит на един от пичовете, които следя за полезна информация (https://www.jaiminton.com/cheatsheet/DFIR/#).

Заключението е, че системите бяха чисти / некомпрометирани.

2. Компрометирали са имейл сървърите на фирмата-доставчик/изпълнител?

Не бях допуснат до техните системи, но след няколко срещи с възложителя, той натисна изпълнителя и подписа разрешение от същия да се направи дистанционен анализ на състоянието на цялата им онлайн собственост от перспективата на хакер без достъп (black-box pentest).

Някои от нещата, които открих включват следните уязвимости на уеб апликацията им (знам, че не дават много информация на пръв поглед (напр. "cookie misconfiguration), но за всяко едно от тези неща имаше още по няколко в същата категория и просто ги сложих в едно):

1-1.png.a1ae2f54e148d07977b9d5a0c1475d20.png

Ситуацията на сървърно ниво беше същото. Шодан откри около 50 непотвърдени уязвимости. Метасплойт откри над 60 експлойта с "excelent" рейт. Всичко беше толкова пробито и мисконфигурирано, че в мен имаше крещящо чувство, че тук има няколко варианта:

  1. Доставчика е поверил поддръжката на трета страна, която нарочно е конфигурирала неправилно всичко възможно, за да отвори вратата на хакерите, които вече да действат.
  2. Поддръжка не съществува, некомпетентни лица са инсталирали и конф. всичко. Хакерите са открили сайта случайно, експлоатирали са уязвимостите и са проникнали в сървъра, сетъпнали са имейл forwarding рулове, които им пращат всички имейли към техния gmail акаунт.
  3. Криминалните елементи изобщо не са компрометирали системите, но имат договорка с доставчика, за да източват клиента си, като го принуждават да прави двойно плащане - първо на скамърите, после на доставчика. Логиката идва от правилното и адекватно инжектиране в комуникацията.

Настъпи голям смут, като споделих потенциалните сценарии с клиента. Правиха се срещи, обсъждаха се файндингите с полицаи, международна полиция и финансови организации. Правиха се пътувания до страната на доставчика.

Направих Threat Intelligence OP и успях да открия в някакви забутани даркнет форуми креденциите на 6 акаунта от доставчика - собственика, администратора, HR и други. Всичките им акаунти използваха пароли, като например "109391820". - Скандално.

В крайна сметка не бях допуснат да направя вътрешен анализ на системите на доставчика, което доста ме шокира предвид откритията ми.

В последна версия подкрепих теза 2, като най-вероятна. Приложих, разбира се, препоръка за поправки в конфигурацията, които да митигират всички открити заплахи.

След време получих разрешение да колаборирам с определени организации и институции, за да бъдем "проактивни" и да се опитаме да деанонимизираме извършителите.

1. Изработих фишинг страница, която беше най-добрата и напълно функционална, която някога бях правил.

2. Легитимно изглеждаща, с валидни сертификати.

3. Зад WAF.

4. Инжектирах BeeF кука в сорс кода на всяка страница.

5. Създадох (не)реални профили на служителите в линкд-ин, (не)реален профил на бизнеса - с лого, активност, постове и всичко.

6. Направих перфектно изглеждащ подпис в имейла на сейлс профила.

7. Конфигурирах GoPhish, за да мога да имам по-голям контрол върху съобщението, което исках да изпратя на мишената, както и да имам метрики, които да следя, като например отворено съобщение, линк и прочие.

8. Направих супер добър имейл темплейт за сейлс поръчка от доставчика, бъдейки сигурен, че ще бъде видяно от извършителите. Всички страни бяха предупредени и бяха част от информационния поток.

Надявах се, че ще им грабна вниманието, ще отворят линка, ще им се инфектира браузъра и ако са непредпазливи - минимум ще открия ценна информация и следи за извършителите.

Не се стигна до деанонимизиране за съжаление - не разполагахме с делегиран ресурс, освен време и умения. Не получихме достъп до информация от Гугъл, нито от ВПН. Мисля, че полицията хвърли случая в кофата, защото не им се занимава и нямат капацитета да разследват.

Няма да ви отегчавам повече. Надявам се да прочета по-интересни истории от вас 🙂 Също ми е интересно вие как бихте процедирали в такъв случай?

Link to comment
Сподели другаде

Join the conversation

Можете да публикувате сега и да се регистрирате по-късно. If you have an account, sign in now to post with your account.

Гост
Отговори на тази тема

×   Поставено като форматиран текст.   Вместо това поставете като обикновен текст

  Разрешени са само 75 емотикони.

×   Вашата връзка е вградена автоматично.   Вместо това се показва като връзка

×   Вашето предишно съдържание е възстановено.   Изчистване на редактора

×   Не можете да качите директно снимка. Качете или добавете изображението от линк (URL)

  • Регистрирайте се

    Регистрирайте се за да използвате пълната функционалност на форума 🙂

HACKING.BG Партньори

Asset3.png.df693f7661f6e8a7a3ec208659eda80b.pngtransparent1.png.c15979e1dc997cdd3a9941e342368a9b.png2.png.3e2592eadc660ecc831f1fdd569e8eb4.png600_489534840.png.72981fb02b90f1986dd7ade4d561e6d0.pngcyberclub-logo-text.png.6e9d11752e2eade43d40337d83365e48.png

×
×
  • Създай ново...

Важна информация!

Политика за сигурност и условия на ползване Privacy Policy