Социотехническое тестирование: цели, методы, инструменты

Социотехническое тестирование: цели, методы, инструменты

F419a2dddb5b8d5e0e658cc50c85ef7f?s=128

Yar Babin

April 05, 2018
Tweet

Transcript

  1. Социотехническое тестирование: цели, методы, инструменты Ярослав Бабин

  2. Обо мне • @yarbabin • Web Sec Warrior @ PT

    • Positive Hack Days • JBFC
  3. О чем речь • О e-mail рассылках • Деталях, которые

    помогают повысить успешность на каждом из этапов социотехнического тестирования • Понимание цели • Разведка • Аспектах при оформлении писем • Визуальных, технических, психологических • Проблемах, решениях, связанных с рассылками • Не о том, как развить атаку и закрепиться в инфраструктуре • Не о техниках социальной инженерии
  4. Актуальность • Carbanak • Buhtrap • BlackOasis • GHOUL и

    т. д. https://habrahabr.ru/company/eset/blog/338422/ https://ru.wikipedia.org/wiki/Carbanak https://securelist.com/blackoasis-apt-and-new-targeted-attacks-leveraging-zero- day-exploit/82732/ https://www.kaspersky.ru/about/press-releases/2016_operation-ghoul-targeted- attacks-on-industrial-and-engineering-organizations https://www.cyberscoop.com/kaspersky-whitebear-turla-russia/
  5. Цели заказчика • Центр реагирования на инциденты (CERT, SOC) •

    Оценка осведомленности сотрудников • Конфигурация спам-фильтров, песочниц, антивирусов
  6. Целевая атака (spear) «Точечная» (whaling) Выбор цели

  7. • Заражение ПК пользователя • Получение конфиденциальной информации и др.

    • Узнать процент осведомленности • Статистика, информация • Версии браузеров, плагинов • Количество переходов, открытий вложений Цели
  8. • Заражение ПК пользователя • Получение конфиденциальной информации и др.

    • Узнать процент осведомленности • Статистика, информация • Версии браузеров, плагинов • Количество переходов, открытий вложений Цели • Обход политик безопасности
  9. Модель нарушителя Внутренний нарушитель Внешний нарушитель • Информация от заказчика

    (инсайд) • Разведка
  10. Разведка (пассивный сбор) • Автоматизация • SimplyEmail • ePochta Extractor

    • FOCA • Тысячи их: • SpiderFoot, Intrigue core, Datasploit, Maltego, theharvester • Whois, анализ поддоменов • Whois Histrory (whoishistory.ru) • pentest-tools.com, dnsdumpster.com • dnsmap, knock.py, sublister, sublazerwlst • osintframework.com
  11. • Социальные сети (VK, Facebook, OK, LinkedIn) • Поиск в

    официальных группах, встречах • linkedin_profiles.py • corpint • https://github.com/alephdata • Фотографии по местоположению (Instagram, VK) • Отметки «Нравится» в FB Пассивный сбор
  12. Пассивный сбор • Утечки со взломанных ресурсов • databases.today, mmnt.ru,

    ftplike.com, metabot.ru, rapid-search- engine.com, alluc.ee, и т. д. • leakedsource.ru • weleakinfo.com (> 5 млрд у. з.)
  13. Активный сбор • Кроме адресов – ФИО, должности • site:customer.ru

    ext:pdf (txt, doc, xls, odt и т. д.) • Перебор директорий (dirb, dirsearch, fuzz.txt и т. д.) • Листинг директорий с документами • Метаданные в документах, ФИО и т. д.
  14. Перебор доменных учетных записей • Топ женских фамилий != мужских

    (так же с отчествами и именами) • Для женских фамилий окончание на a не всегда верно • Перебор на SMTP (VRFY, EXPN, RCPT) • smtp-user-enum.pl ybabin@pt.com A D S N I P E K M A E M D Y O N T V
  15. Перебор доменных учетных записей • Топ женских фамилий != мужских

    (так же с отчествами и именами) • Для женских фамилий окончание на a не всегда верно • Перебор на SMTP (VRFY, EXPN, RCPT) • smtp-user-enum.pl • Перебор на Lync (Skype for Business) • lyncsmash.py ybabin@pt.com A D S N I P E K M A E M D Y O N T V
  16. Домен • urlcrazy, dnstwist, CATPHISH • IDN Homoglyth Attack •

    Outlook 2013/2015/2016, The Bat! • IBM Notes, Thunderbird, Mail (Win, Mac), Web Outlook (punycode: xn--)
  17. domain.com • Sender Policy Framework • example.org. IN TXT "v=spf1

    +a +mx -all" • DomainKeys Identified Mail • DNS запись с публичным ключом 127.0.0.1 • DomainKeys Identified Mail • Приватный ключ • PTR запись Конфигурация домена и хоста mail-tester.com
  18. Предварительная рассылка • Корпоративная подпись • Имя в поле From

    • Язык написания • Транслитерация букв (ю → yu/ju и т. д.) • ФИО или ФИ • Внутренние номера • Скриншоты рабочих столов • Версии ПО по иконкам • Версия ОС • Сбор информации из браузера
  19. Заголовки писем • Почтовый клиент • Внутренние адреса • Антивирусное/антиспам

    ПО
  20. Содержимое письма • Письма от начальства • Зарплаты, увольнения, премии

    • Недоставленные сообщения • Привязка ко времени • Переписка коллег • Внутренние рассылки (опросы, страхование) • Обыденные письма • Приказы, документы на подпись, справки
  21. Оформление • Корпоративная подпись • Обращение по имени • CC

    • From: Fake Mail <fake@mail.ru> <realemail@mail.ltd> • Картинки в теле письма
  22. Оформление • Формат переписки • Шрифты, цвет и т. д.

    • Внутренние домены (подмена через HTML) • From письма (ФИ или ФИО) • Open Redirect
  23. Пейлоад • CSV • CVE-2017-0199 (RTF) • OLE • Загрузка

    с внешнего ресурса (MS Office) • Макросы • JS, MHT, HTA • Упаковка • DDE
  24. Пейлоад в 2018 • CSV (много предупреждений) • CVE-2017-0199 (RTF)

    • OLE • Загрузка с внешнего ресурса (MS Office) • Макросы • JS, MHT, HTA • Упаковка • DDE
  25. Проблемы • Время рассылки • Блокирует антивирус/спам-фильтр или др. •

    Получение результата • Отсутствие выхода в сеть (HTTP/DNS)
  26. Обход • Личные почты сотрудников • Детект песочницы (xakep.ru/2018/02/27/detect-sandbox/) •

    Доступ к Outlook через Component Object Model • Восстановление битого документа $Outlook = New-Object -ComObject Outlook.Application $Mail = $Outlook.CreateItem(0) $Mail.To = "ybabin@ptsecurity.com" $Mail.Subject = "Subj" $Mail.Body = "Message" $Mail.Send()
  27. Фишинг • Basic-авторизация на «внутренние» ресурсы • Внутренние сервисы (Confluence,

    Jira и т. д.) • favicon.ico • Сбор информации о плагинах, браузере, IP • Responder
  28. Выводы • Мониторинг аномалий почтового трафика • Конфигурация песочниц, спам-фильтров

    и других средств защиты • Постоянное обучение сотрудников • Проведение социотехнического тестирования и молитв
  29. Спасибо Twitter/Telegram: @yarbabin Thx: @a66at @jerh17 @mylittlepapers @_3pty @web_junkie