Como realizar um Penetration Testing no modo Blackbox ?

Como realizar um Penetration Testing no modo Blackbox ? Como realizar teste de penetração de caixa preta externa na organização com informações “ZERO”

Uma das demandas mais comuns nos dias de hoje, mas estrutura há algumas décadas, tem sido testar as fortalezas da empresa contra ataques hackers. Neste artigo reproduzimos um post publicado pelo site GBHackers sobre o Pen Test na metodologia Blackbox, ou seja, simulando um hacker, partindo de zero informações sobre o alvo.

J[a publicamos aqui no blog alguns artigos de referência para os profissionais testadores que nos acompanham, segue aqui o link para que pedeu…

Então… vamos ao relato do GBHackers!

O objetivo era simples – ver o quão suscetível é a organização de um ponto de vista externo e testar a eficácia dos controles de segurança que são gerenciados em toda a empresa. Como tal, além do nome da empresa, recebemos informações “ZERO” para realizar um Teste de Penetração de Caixa Preta (Pen Test Blackbox) externa .

Este teste de penetração externa Blackbox está sendo executado para um fictício cliente chamado (Hackme) 

OSINT 101

O teste começa com um pouco de Open Source Intelligence (OSINT) 101. Existem várias ferramentas de inteligência de código aberto – para auxiliar na coleta de e-mails, subdomínios, hosts, nomes de funcionários, etc. de diferentes fontes públicas, como mecanismos de pesquisa e shodan. Há uma lista exaustiva dessas ferramentas incríveis aqui .

Usando algumas ferramentas de inteligência de código aberto, obteve-se documentos disponíveis publicamente relacionados à organização usando métodos de teste de penetração de caixa preta.

Com a ajuda Google, executou-se algumas cadeias de caracteres de pesquisa básicas: “site: *. Hackme.com ext: xls OR ext: docx OR ext: pptx” .

Leia também:  Lista de verificação de teste de penetração de rede

Claro, o objetivo não era buscar incansavelmente por documentos. Em vez disso, o objetivo era entender o esquema de nomenclatura da organização examinando os metadados dos documentos que são encontrados na “seção de propriedades” do documento (mais especialmente Microsoft Word, PowerPoint e Excel). Também se pode usar FOCA para isso.

Como Atuar Externo

A partir disso, percebeu-se que os e-mails dos funcionários seguiram uma convenção de nomenclatura específica – a primeira letra do nome + sobrenome @ domain.com, ou seja, rakinyele@hackme.com .

Munidos desse conhecimento, obteve-se no LinkedIn a lista de todos os funcionários atuais da Hackme usando a seguinte sintaxe do Google Dork :

site: linkedin.com -inurl: dir “at Hackme” “Current” . Um exemplo típico é mostrado abaixo usando o Google Inc como empresa de referência.

Ao hackear um script para automatizar o processo, copiou-se os primeiros nomes, sobrenomes e as funções dos atuais funcionários do Hackme .

Uma abordagem cansativa é rastrear manualmente as páginas do Google em busca desses nomes e funções, mas você também pode usar o GoogleScraper:

GoogleScraper -m http –keyword “site: linkedin.com -inurl: dir ‘at Hackme’ ‘Current’” –num-pages-for-keyword 3 –output-filename output.json

Teste de penetração de caixa preta

Resultado:  Pen Test Blackbox

Mais uma vez, o autor deixa as possibilidades para sua imaginação – mas você pode facilmente converter isso em um arquivo csv usando https://json-csv.com/ ou qualquer outro conversor que funcione para você.

Teste de penetração de caixa preta

em seguida, usando seu processador de texto favorito (word merge, notepad ++, etc) ou algumas boas habilidades de script, mescle o nome + sobrenome – para formar sua lista de e-mail.

Alimente nossa lista de alvos com uma carga útil

Como estamos simulando um teste de penetração de caixa preta, assim como o que um invasor faria devemos obter a execução de código usando cargas maliciosas. Como tal, podemos uma carga útil e enviá-la por e-mail aos funcionários da Hackme .

Também sabemos que é uma prática comum que alguns tipos / extensões de arquivo sejam bloqueados pelos filtros de e-mail da organização – para limitar a exposição ao risco.

Isso nos leva a usar o Koadic C3 COM Command & Control , uma estrutura muito decente como o Meterpreter ou Empire.

O que o fez realmente se destacar além da bela interface é que ele permite despejar hashes, fazer download / upload de arquivos, executar comandos, ignorar o UAC, escanear a rede local para SMB aberto, pivotar para outra máquina, carregar mimikatz e muito mais.

Então, podemos rodar Koadic e definir as variáveis ​​necessárias – usando o módulo “stager / js / mshta“ (atende cargas na memória usando aplicativos HTML MSHTA.exe).

Teste de penetração de caixa preta

O resultado foi uma geração de nosso URL de carga útil HTA (HTML Application – HTML Programa do Microsoft Windows capaz de executar linguagens de script, como VBScript ou JScript), conforme evidenciado na captura de tela acima. No entanto, precisamos que os alvos executem nossa carga útil como “mshta payload_url “.

Nos últimos anos, as cargas úteis do HTA têm sido usadas como vetor de ataque na Web e também para lançar malware no PC da vítima. Agora precisamos fazer com que essa carga útil ultrapasse as inúmeras defesas de nossa vítima.

Aí vem a parte complicada – precisamos de uma maneira de fazer a vítima executar “mshta payload_url” sem que a carga fosse gerada como um processo filho de mshta.exe – pois o Blue Team desta organização pode detectar isso.

Teste de penetração de caixa preta

Felizmente, temos a dica deixada por Matt Nelson e, curiosamente, a equipe do grupo NCC implementou isso no Demiguise .

Portanto, aqui está a carga útil final salva como um arquivo .hta.

Teste de penetração de caixa preta

A próxima etapa normalmente é enviar nossa carga útil .hta como um objeto OLE incorporado.

O cenário de ataque pretendido era:

  1. Envie um documento do Microsoft Word com a carga útil .hta incorporada como um objeto OLE.
  2. Faça com que o usuário abra o documento do Word e o objeto OLE incorporado.
  3. Isso gera um novo processo e obtemos um acesso de shell ao P C. de nossa vítima

Agora chegamos à parte interessante, precisamos que a vítima abra o documento do Microsoft Word e a carga útil.

Para fazer isso, precisamos de uma história muito convincente – apenas porque os usuários estão ficando mais espertos. Então é preciso  fazer mais reconhecimento.

… e mais reconhecimento

Precisamos saber mais sobre Hackme – especificamente a cultura e o comportamento dos funcionários. A pergunta que sempre perguntamos é ” o que interessaria aos funcionários?”

Onde mais obter essas informações além do Glassdoor, uma plataforma que fornece informações privilegiadas sobre empresas com avaliações de funcionários sobre salários, benefícios, prós e contras de trabalhar com a empresa.

Depois de examinar as análises do Hackme no Glassdoor, podemos encontrar alguns temas comuns:

… e mais reconhecimento

Precisamos saber mais sobre o ambiente da organização-alvo – especificamente os funcionários. A pergunta que sempre nos perguntamos – o que interessaria aos funcionários?

Onde mais obter essas informações senão no Glassdoor, uma plataforma que fornece informações privilegiadas sobre empresas com avaliações de funcionários sobre salários, benefícios, prós e contras de trabalhar com a empresa.

Depois de examinar as análises da organização-alvo no Glassdoor, encontra-se alguns temas comuns:

  1. Alguns funcionários sentiram que a mobilidade era um desafio, pois o escritório fica muito longe de locais residenciais.
  2. Os funcionários amam a organização porque recebem almoço grátis.
Teste de penetração de caixa preta

Mas espere!

Como diz o velho ditado, o caminho mais rápido para o coração de um homem é pelo estômago. Qual a melhor maneira de fazer com que os funcionários abram o documento do Word integrado de carga útil?

Envie-lhes um e-mail – informando que há uma mudança no menu ALMOÇO GRATUITO a partir de amanhã.

Em vez de enviar aos funcionários um e-mail de phishing aleatório que poderia ser detectado facilmente, o autor decidiu que um e-mail aparentemente genuíno seria ideal completo com a assinatura de e-mail Hackme , observando a cultura de e-mail da organização.

Agora, como tornar o e-mail mais confiável? Enviando um e-mail para o Atendimento ao Cliente / Help Desk com uma solicitação de serviço e observando a assinatura do e-mail na resposta.

… Reconheço ???

Volta-se então ao Linkedin para procurar o nome do gerente de RH, gerente de logística ou gerente administrativo (o que for apropriado) do Hackme  e elaborar cuidadosamente uma assinatura de e-mail com o nome que selecionado.

Teste de penetração de caixa preta

Estamos na metade do envio da carga útil agora. Tenha um pouco de paciência e continue lendo …

É hora de enviar nossa carga

A partir do reconhecimento de metadados feito anteriormente, poderíamos dizer como eram os cabeçalhos e rodapés dos documentos da organização de destino.

Em seguida, crie um novo documento do Word como o mostrado abaixo com uma imagem modelo de documento Hackme com cabeçalhos / rodapés apropriados.

Em seguida, incorpore o .hta como um objeto OLE. Documento Microsoft Word >> Inserir >> Objeto >> Pacote . Mude o ícone para o ícone do Microsoft Word e também a legenda para refletir a mensagem.

Teste de penetração de caixa preta

Mude o ícone para o ícone do Microsoft Word e também, altere a legenda para refletir sua mensagem.

Não se esqueça do antivírus !!!

Para verificar a taxa de detecção de AV da carga útil – e para ver se ela será sinalizada como maliciosa pela solução antivírus Hackme (se houver), o autor fez uma verificação rápida de AV em nodistribute.com . O Nodistribute.com foi usado porque, de acordo com eles, eles não distribuem amostras de carga útil para empresas de antivírus. Verificamos o arquivo maldoc e o arquivo .hta também.

Teste de penetração de caixa preta

Varredura AV da carga útil .hta (0 detecções)

É hora de enviar o e-mail

Se a organização de destino não tiver SPF, DKIM e DMARC configurados, pode-se facilmente falsificar o endereço de e-mail do gerente de RH, gerente de logística ou gerente administrativo.

Nesse caso, o autor criou uma conta do Gmail (sim, o Gmail também funciona) usando o nome e o sobrenome do Logistic Manager – e depois acrescentou sua assinatura, obtida anteriormente.

Teste de penetração de caixa preta

Pouco depois de enviar o e-mail, em um período de cerca de 3 minutos, o autor diz ter pelo menos 30 conexões de shell! W00t !!!

Teste de penetração de caixa preta

e agora?

O resto costumam dizer que é história. Daqui em diante, usando os módulos mimikatz, podemos escalar privilégios, despejar hashes, escanear a rede local de Hackme , rodar em outros PCs, navegar nos sistemas de arquivos do alvo e até se tornar administrador de domínio etc.

Para concluir

No geral, foi um relato de teste divertido. Embora possa levar um mês / 2 meses / um ano de dedicação para um invasor invadir uma organização – por meio de uma brecha no nível de infraestrutura, mas pode ser bastante fácil obter acesso explorando o fator humano.

Fonte: GBHackers

Veja também:

Sobre mindsecblog 2399 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

4 Trackbacks / Pingbacks

  1. O relógio da Segurança da Informação está correndo
  2. Como realizar um Penetration Testing no modo Blackbox ? – Neotel Segurança Digital
  3. O que é um ataque de watering hole
  4. Worm você sabe o que é? worm não é mesmo que WORM.

Deixe sua opinião!