Социотехническое тестирование: цели, методы, инструменты

Transcript

1. Социотехническое тестирование: цели, методы, инструменты Ярослав Бабин

2. Обо мне • @yarbabin • Web Sec Warrior @ PT

   • Positive Hack Days • JBFC

3. О чем речь • О e-mail рассылках • Деталях, которые

   помогают повысить успешность на каждом из этапов социотехнического тестирования • Понимание цели • Разведка • Аспектах при оформлении писем • Визуальных, технических, психологических • Проблемах, решениях, связанных с рассылками • Не о том, как развить атаку и закрепиться в инфраструктуре • Не о техниках социальной инженерии

4. Актуальность • Carbanak • Buhtrap • BlackOasis • GHOUL и

   т. д. https://habrahabr.ru/company/eset/blog/338422/ https://ru.wikipedia.org/wiki/Carbanak https://securelist.com/blackoasis-apt-and-new-targeted-attacks-leveraging-zero- day-exploit/82732/ https://www.kaspersky.ru/about/press-releases/2016_operation-ghoul-targeted- attacks-on-industrial-and-engineering-organizations https://www.cyberscoop.com/kaspersky-whitebear-turla-russia/

5. Цели заказчика • Центр реагирования на инциденты (CERT, SOC) •

   Оценка осведомленности сотрудников • Конфигурация спам-фильтров, песочниц, антивирусов

6. Целевая атака (spear) «Точечная» (whaling) Выбор цели

7. • Заражение ПК пользователя • Получение конфиденциальной информации и др.

   • Узнать процент осведомленности • Статистика, информация • Версии браузеров, плагинов • Количество переходов, открытий вложений Цели

8. • Заражение ПК пользователя • Получение конфиденциальной информации и др.

   • Узнать процент осведомленности • Статистика, информация • Версии браузеров, плагинов • Количество переходов, открытий вложений Цели • Обход политик безопасности

9. Модель нарушителя Внутренний нарушитель Внешний нарушитель • Информация от заказчика

   (инсайд) • Разведка

10. Разведка (пассивный сбор) • Автоматизация • SimplyEmail • ePochta Extractor

    • FOCA • Тысячи их: • SpiderFoot, Intrigue core, Datasploit, Maltego, theharvester • Whois, анализ поддоменов • Whois Histrory (whoishistory.ru) • pentest-tools.com, dnsdumpster.com • dnsmap, knock.py, sublister, sublazerwlst • osintframework.com

11. • Социальные сети (VK, Facebook, OK, LinkedIn) • Поиск в

    официальных группах, встречах • linkedin_profiles.py • corpint • https://github.com/alephdata • Фотографии по местоположению (Instagram, VK) • Отметки «Нравится» в FB Пассивный сбор

12. Пассивный сбор • Утечки со взломанных ресурсов • databases.today, mmnt.ru,

    ftplike.com, metabot.ru, rapid-search- engine.com, alluc.ee, и т. д. • leakedsource.ru • weleakinfo.com (> 5 млрд у. з.)

13. Активный сбор • Кроме адресов – ФИО, должности • site:customer.ru

    ext:pdf (txt, doc, xls, odt и т. д.) • Перебор директорий (dirb, dirsearch, fuzz.txt и т. д.) • Листинг директорий с документами • Метаданные в документах, ФИО и т. д.

14. Перебор доменных учетных записей • Топ женских фамилий != мужских

    (так же с отчествами и именами) • Для женских фамилий окончание на a не всегда верно • Перебор на SMTP (VRFY, EXPN, RCPT) • smtp-user-enum.pl [email protected] A D S N I P E K M A E M D Y O N T V

15. Перебор доменных учетных записей • Топ женских фамилий != мужских

    (так же с отчествами и именами) • Для женских фамилий окончание на a не всегда верно • Перебор на SMTP (VRFY, EXPN, RCPT) • smtp-user-enum.pl • Перебор на Lync (Skype for Business) • lyncsmash.py [email protected] A D S N I P E K M A E M D Y O N T V

16. Домен • urlcrazy, dnstwist, CATPHISH • IDN Homoglyth Attack •

    Outlook 2013/2015/2016, The Bat! • IBM Notes, Thunderbird, Mail (Win, Mac), Web Outlook (punycode: xn--)

17. domain.com • Sender Policy Framework • example.org. IN TXT "v=spf1

    +a +mx -all" • DomainKeys Identified Mail • DNS запись с публичным ключом 127.0.0.1 • DomainKeys Identified Mail • Приватный ключ • PTR запись Конфигурация домена и хоста mail-tester.com

18. Предварительная рассылка • Корпоративная подпись • Имя в поле From

    • Язык написания • Транслитерация букв (ю → yu/ju и т. д.) • ФИО или ФИ • Внутренние номера • Скриншоты рабочих столов • Версии ПО по иконкам • Версия ОС • Сбор информации из браузера

19. Заголовки писем • Почтовый клиент • Внутренние адреса • Антивирусное/антиспам

    ПО

20. Содержимое письма • Письма от начальства • Зарплаты, увольнения, премии

    • Недоставленные сообщения • Привязка ко времени • Переписка коллег • Внутренние рассылки (опросы, страхование) • Обыденные письма • Приказы, документы на подпись, справки

21. Оформление • Корпоративная подпись • Обращение по имени • CC

    • From: Fake Mail <[email protected]> <[email protected]> • Картинки в теле письма

22. Оформление • Формат переписки • Шрифты, цвет и т. д.

    • Внутренние домены (подмена через HTML) • From письма (ФИ или ФИО) • Open Redirect

23. Пейлоад • CSV • CVE-2017-0199 (RTF) • OLE • Загрузка

    с внешнего ресурса (MS Office) • Макросы • JS, MHT, HTA • Упаковка • DDE

24. Пейлоад в 2018 • CSV (много предупреждений) • CVE-2017-0199 (RTF)

    • OLE • Загрузка с внешнего ресурса (MS Office) • Макросы • JS, MHT, HTA • Упаковка • DDE

25. Проблемы • Время рассылки • Блокирует антивирус/спам-фильтр или др. •

    Получение результата • Отсутствие выхода в сеть (HTTP/DNS)

26. Обход • Личные почты сотрудников • Детект песочницы (xakep.ru/2018/02/27/detect-sandbox/) •

    Доступ к Outlook через Component Object Model • Восстановление битого документа $Outlook = New-Object -ComObject Outlook.Application $Mail = $Outlook.CreateItem(0) $Mail.To = "[email protected]" $Mail.Subject = "Subj" $Mail.Body = "Message" $Mail.Send()

27. Фишинг • Basic-авторизация на «внутренние» ресурсы • Внутренние сервисы (Confluence,

    Jira и т. д.) • favicon.ico • Сбор информации о плагинах, браузере, IP • Responder

28. Выводы • Мониторинг аномалий почтового трафика • Конфигурация песочниц, спам-фильтров

    и других средств защиты • Постоянное обучение сотрудников • Проведение социотехнического тестирования и молитв

29. Спасибо Twitter/Telegram: @yarbabin Thx: @a66at @jerh17 @mylittlepapers @_3pty @web_junkie