Kuruluşa Kara Kutu Sızma Testi, harici bir bakış açısıyla yapılır ve harici bir ağı sıfır bilgi ile test eder.
Amaç basitti – kuruluşun dışarıdan bir bakış açısından ne kadar hassas olduğunu görün ve kuruluş genelinde yönetilen güvenlik kontrollerinin etkinliğini test edin.
Bu nedenle, şirket adının yanı sıra, bize verildi. “SIFIR” harici gerçekleştirmek için bilgi kara kutu penetrasyon testi.
Bu kara kutu harici penetrasyon Testi adlı bir müşteri tarafından gerçekleştiriliyor (Hackme)
OSINT 101
Açık Kaynak İstihbaratı (OSINT) 101 🙂 ile başladık.
Oldukça fazla sayıda var açık kaynaklı istihbarat araçları – arama motorları ve Shodan gibi farklı genel kaynaklardan e-postaların, alt alanların, ana bilgisayarların, çalışan adlarının vb. toplanmasına yardımcı olmak için. bir var Bu harika araçların kapsamlı listesi burada.
Pek çok açık kaynaklı istihbarat aracı kullanarak, kurumla ilgili kamuya açık belgeleri Black-box Penetration Testing yöntemleriyle elde ettik.
Google Dork’un imdadına yetişerek bazı temel arama dizelerini çalıştırdık: “site:*.hackme.com ext:xls VEYA ext:docx VEYA ext:pptx”.
Ayrıca Oku: Ağ Sızma Testi Kontrol Listesi
Tabii ki amacımız bıkıp usanmadan belge aramak değildi.
Daha ziyade amacımız, belgenin “özellikler” bölümünde bulunan belgelerin (özellikle Microsoft Word, PowerPoint ve Excel) meta verilerini inceleyerek kuruluşun adlandırma şemasını anlamaktı. Biri de kullanabilir FOK bunun için.
Bundan, çalışanların e-postalarının belirli bir adlandırma kuralını izlediğini fark ettim – ilk harf ad + soyad @ alan.com yani [email protected].
Bu bilgiyle donanmış olarak, LinkedIn’in tüm mevcut çalışanlarının listesini LinkedIn’den çıkardık. Hackme aşağıdaki google dork sözdizimini kullanarak:
site:linkedin.com -inurl:dir “Hackme’de” “Güncel”. Google Inc’in referans şirket olarak kullanıldığı tipik bir örnek aşağıda gösterilmiştir.
Süreci otomatikleştirmek için bir komut dosyasını hackleyerek, şirketin mevcut çalışanlarının adlarını, soyadlarını ve rollerini kopyaladık. Hackme.
Yorucu bir yaklaşım, bu adları ve rolleri aramak için Google sayfalarını manuel olarak taramaktır; GoogleScraper:
GoogleScraper -m http –keyword “site:linkedin.com -inurl:dir ‘at Hackme’ ‘Current’” –anahtar kelime için sayfa sayısı 3 –output-filename output.json
Sonuç: Kara Kutu Sızma Testi
Yine, olasılıkları hayal gücünüze bırakıyorum – ancak bunu kolayca .csv kullanarak dosya https://json-csv.com/ veya sizin için çalışan başka bir dönüştürücü.
sonra en sevdiğiniz kelime işlemcinizi (kelime birleştirme, notepad++, vb.) ad + soyad – e-posta listenizi oluşturmak için.
Hedef listemizi bir Yükle besleyin
Kara Kutu Sızma Testini simüle ettiğimiz için (tıpkı bir saldırganın yapacağı gibi) kötü amaçlı yükler kullanarak kod yürütmeyi sağlamaya karar verdik.
Bu nedenle bir payload oluşturup e-posta ile şirket çalışanlarına göndermeyi düşündük. Hackme.
Riske maruz kalmayı sınırlamak için bazı dosya türlerinin/uzantılarının kuruluşun e-posta filtreleri tarafından engellenmesinin yaygın bir uygulama olduğunu da biliyoruz.
Bu daha sonra bizi kullanmaya getiriyor Koadic C3 COM Komuta ve Kontroltıpkı Meterpreter veya Empire gibi çok iyi bir çerçeve.
Güzel arayüzün yanı sıra onu gerçekten öne çıkaran şey, hash’leri boşaltmaya, dosyaları indirmeye/yüklemeye, komutları yürütmeye, UAC’yi atlamaya, yerel ağı açık SMB için taramaya, başka bir makineye döndürmeye, mimikatz yüklemeye ve daha pek çok şeye izin vermesidir. Daha.
Bu yüzden Koadic’i çalıştırdık ve gerekli değişkenleri ayarladık – kullanarak “stager/js/mshta” modülü (MSHTA.exe HTML Uygulamalarını kullanarak bellekteki yüklere hizmet eder).
Sonuç, yukarıdaki ekran görüntüsünde gösterildiği gibi, HTA yük URL’mizin bir örneğiydi.
Ancak, yükümüzü şu şekilde yürütmek için hedeflerimize ihtiyacımız var: “mshta payload_url“.
Son yıllarda, HTA yükleri bir web saldırısı vektörü olarak ve ayrıca kurbanın bilgisayarına kötü amaçlı yazılım bırakmak için kullanıldı.
Şimdi bu yükü kurbanımızın sayısız savunmasını geçmeliyiz.
İşte zor kısım geliyor – kurbanın kaçmasını sağlamanın bir yoluna ihtiyacımız vardı “mshta payload_url” yükümüz bir alt süreç olarak ortaya çıkmadanfmshta.exe – bu organizasyonun mavi ekibinin bunu işaretleyebileceğinden şüphelendiğimiz için.
Neyse ki Matt Nelson’ın soldaki ipucunu gördük ve ilginç bir şekilde NCC grubundaki ekip bunu Demiguise.
İşte son yükümüz olarak kaydedilen .hta dosyası.
Bir sonraki adım genellikle .hta yükümüzü katıştırılmış bir OLE nesnesi olarak göndermektir.
Amaçlanan saldırı senaryosu şuydu:
- OLE nesnesi olarak katıştırılmış .hta yükümüzle bir Microsoft Word belgesi gönderin.
- Kullanıcının Word belgesini ve katıştırılmış OLE nesnesini açmasını sağlayın.
- Bu yeni bir süreç doğurur ve biz kabuk erişimi kurbanımızın P’siC.
Şimdi ilginç kısma geldik, kurbanımızın Microsoft Word belgesini ve yükümüzü açmasına ihtiyacımız var.
Bunu yapmak için çok ilgi çekici bir hikayeye ihtiyacımız var – çünkü kullanıcılar daha akıllı hale geliyor. Bu yüzden daha fazla keşif yapmak için geri döndük.
…ve daha fazla keşif
hakkında daha fazla şey bilmemiz gerekiyor Hackme – özellikle kültür ve çalışanların davranışları.
Kendimize sormaya devam ettiğimiz soru şuydu: “çalışanları ne ilgilendirir?”
Bu bilgileri, şirketle çalışmanın maaşları, faydaları ve artıları ve eksileri hakkında çalışan incelemeleriyle size şirketler hakkında içeriden bilgi veren bir platform olan Glassdoor’dan başka nereden edinebilirsiniz?
incelemeleri inceledikten sonra Hackme Glassdoor’da bazı ortak temalar bulduk:
…ve daha fazla keşif
Hedef kuruluşun ortamı, özellikle de çalışanlar hakkında daha fazla bilgiye ihtiyacımız var.
Kendimize sürekli sorduğumuz soru şuydu: Çalışanları ne ilgilendirirdi?
Bu bilgileri, şirketle çalışmanın maaşları, faydaları ve artıları ve eksileri hakkında çalışan incelemeleriyle size şirketler hakkında içeriden bilgi veren bir platform olan Glassdoor’dan başka nereden edinebilirsiniz?
Glassdoor’da hedef kuruluşla ilgili incelemeleri inceledikten sonra bazı ortak temalar bulduk:
- Bazı çalışanlar, ofis yerleşim yerlerinden oldukça uzak olduğu için hareketliliğin bir zorluk olduğunu düşündü.
- Çalışanlar, ücretsiz öğle yemeği aldıkları için organizasyonu seviyorlar.
Fakat bekle!
Eskilerin dediği gibi, bir erkeğin kalbine giden en hızlı yol midesinden geçer.
Öyleyse, çalışanların yük gömülü Word belgemizi açmasını sağlamanın daha iyi bir yolu var mı?
Onlara, yarından itibaren ÜCRETSİZ ÖĞLE YEMEĞİ menüsünde bir değişiklik olduğunu bildiren bir e-posta gönderin.
Çalışanlara kolayca tespit edilebilecek rastgele bir kimlik avı e-postası göndermek yerine, gerçek gibi görünen bir e-postanın ideal olacağına karar verdik. Hackme kuruluşun e-posta kültürünü gözlemlerken e-posta imzası.
Şimdi, e-postamızı nasıl daha inandırıcı hale getirebiliriz? Müşteri Hizmetlerine/Yardım Masasına bir hizmet talebi içeren bir e-posta göndererek ve yanıttaki e-posta imzasını gözlemleyerek.
… tekrar keşif???
İK Yöneticisinin, Lojistik Yöneticisinin veya Yönetici Yöneticisinin (hangisi uygunsa) adını aramak için Linkedin’e geri döndük. Hackme. Seçtiğimiz adla dikkatlice bir e-posta imzası oluşturduk.
Şimdi yükümüzü göndermenin yarısına geldik. Biraz sabırlı olun ve okumaya devam edin…
Yükümüzü gönderme zamanı
Daha önce yapılan meta veri keşfinden, hedef kuruluşumuzun belge üstbilgilerinin ve altbilgilerinin nasıl göründüğünü anlayabildik.
Daha sonra, aşağıda gösterilene benzer bir bölme görüntüsü ile yeni bir kelime belgesi oluşturdum. Hackme uygun üstbilgiler/altbilgiler içeren belge şablonu.
Sonra .hta’mızı bir OLE nesnesi olarak gömdük. Microsoft Word Belgesi >> Ekle >> Nesne >> Paket.
Simgeyi bir Microsoft Word simgesi olarak değiştirdik ve ayrıca başlığı mesajımızı yansıtacak şekilde değiştirdik.
Simgeyi Microsoft Word’ün simgesi olarak değiştirin ve ayrıca başlığı mesajınızı yansıtacak şekilde değiştirin.
Antivirüsü Unutmayın!!!
Yükümüzün AV algılama oranını kontrol etmek ve kötü niyetli olarak işaretlenip işaretlenmeyeceğini görmek için Hackme antivirüs çözümü (varsa), üzerinde hızlı bir AV taraması yaptık. nodistribute.com. Nodistribute.com kullanıldı çünkü onlara göre yük örnekleri AV şirketlerine dağıtılmıyor. Hem maldoc hem de .hta dosyasını da taradık.
.hta yükümüzün AV Taraması (0 algılama)
E-postamızı Gönderme Zamanı
Hedef kuruluşta yapılandırılmış SPF, DKIM ve DMARC yoksa, İK Yöneticisi, Lojistik Yöneticisi veya Yönetici Yöneticisinin e-posta adresi kolayca taklit edilebilir.
Bu durumda, Lojistik Müdürünün adını ve soyadını kullanarak bir Gmail hesabı oluşturdum (evet, Gmail de çalışıyor) ve daha önce aldığı imzasıyla onu renklendirdim.
Kabukların içeri girmesine izin ver
E-postayı gönderdikten kısa bir süre sonra, yaklaşık 3 dakikalık bir süre içinde en az 30 kabuk bağlantımız oldu! 00t!!!
Sırada ne var?
Sık sık söyledikleri geri kalanı tarihtir. Bundan sonra mimikatz modüllerini kullanarak ayrıcalıkları artırdık, hash’leri boşalttık, Hackme’nin yerel ağını taradık, diğer PC’lere yönlendirdik, hedefin dosya sistemlerini taradık ve hatta etki alanı yöneticisi olduk, vs.
Sonuç olarak
Sonuç olarak, bu çok eğlenceli bir nişandı. Bir saldırganın altyapı düzeyindeki bir boşluktan bir kuruluşa girmesi bir ay/2 ay/yıl zaman alabilir.
İnsan faktörünü kullanarak erişim elde etmek oldukça kolay olabilir.
“Hedef ortamınızı bir kez anladığınızda, ortama erişim elde etmek için yaratıcı bir araç tasarlamak oldukça kolay hale gelir”.
Alıştırmadan çıkarılacak ders şudur: Keşif, keşif ve daha çok keşif – bir zamanlar bilge bir adam için demişti
“Bana bir ağacı kesmem için altı saat verin, ilk dördünü baltayı bilemekle geçireyim.“.
Kredi:
Rotimi Akinyele – Rotimi, deneyimli bir Siber Güvenlik, BT Yönetişimi, Risk ve Uyum (GRC) uzmanıdır. BDO BAE’de Siber Güvenlikten Sorumlu Müdür Yardımcısıdır.