Cuando se plantea hacer un test de intrusión a una compañía, una de las pruebas habituales es probar la tolerancia que tiene la organización a ataques dirigidos en modo APT con alguna prueba de phishing. Algo similar a como decía yo que había que probar la seguridad de tu organización para saber si se necesita con urgencia un plan de concienciación interno para el personal y alguna solución de segundo factor. El objetivo es fácil: robar identidades internas para conseguir accesos privilegiados a la red.
Para ello se deben recopilar los posibles objetivos, para lo que hay que buscar las direcciones de correo de las posibles víctimas, que luego se podrán buscar por distintas redes sociales para interactuar con ellos y hacerles el ataque.
Localizar esos correos puede hacerse de muchas formas, desde usar The Harvester o Maltego para localizarlos en los buscadores, hasta hacer un spidering & crawling al sitio para localizar las direcciones de correo electrónico publicadas en la web, pasando por buscar en las bases de datos de identidades dumpeadas, revisando con la FOCA para extraerlos de los metadatos o en los lugares de configuración well-know, como los registros SOA del DNS, los datos en los Certificados Digitales o la información histórica de las entradas de Whois. Todo vale para localizar datos.
Figura 1: Correos electrónicos de fbi.gov localizados por Maltego |
Una de las cosas que se pueden utilizar también son los servidores de claves públicas PGP. Si una persona está utilizando PGP (Pretty Good Privacy) para firmar y/o cifrar sus correos es necesario que comparta su clave pública PGP para que alguien pueda cifrar el contenido del mensaje con ella y garantizar que sólo él puede ver el contenido.
Para que sea fácil la distribución de claves públicas PGP se crean servidores de claves públicas llamados KeyServers que pueden ser consultados con clientes para hacer búsquedas. Estos servidores se montan en las organizaciones normalmente en el puerto 11371, así que un sencillo escaneo de puertos nmap en la red por ese puerto debería dejarte localizarlos.
Lo bueno es que también hay servidores de claves PGP públicas que funcionan vía web, desde que se publicó OpenPGP HTTP Key Server en el MIT, que permiten hacer búsquedas usando comodines. Así, si la clave es pública, puedes buscar direcciones de correo de cualquier organización.
Figura 2: El servidor OpenPGP del MIT |
Algunas de esas claves son creadas y publicadas con cierto trolleo, porque al buscar las del FBI me han salido algunos resultados, que parecen cuanto menos sospechosos de haber sido inyectados como claves fake. Al final uno se crea el certificado digital que quiere y lo distribuye, incluso sin tener que ser suya la dirección de correo electrónico.
Figura 3: Resultados obtenidos al buscar fbi.gov |
Este servidor del MIT no es el único, en España hay un servidor de claves PGP públicas en RedIris que también puede usarse para buscar datos en los certificados públicos PGP de, especialmente, dominios de la universidad.
Figura 4: Servidor de claves PGP públicas en RedIris |
También tiene un servidor de claves públicas PGP el propio dominio de PGP.com donde aparecen otras bases de datos. Recordar que PGP es un software comercial también, y es quién ofrece este servidor.
Figura 5: Servidor de claves PGP públicas en PGP.com |
Buscando por Internet pueden aparecer más servicios de claves públicas PGP en la web, como este que está en Alemania. Al final, cualquier pieza de información puede ser útil en un ataque, y nosotros en nuestro sistema de pentestig persistente Faast - que también cuida de que no se caduquen los certificados digitales como el gran FAIL que le ha pasado a Apple - buscamos en todos ellos para poder el mayor número posible de información a la hora de lanzar los plugins de pentesting contra los servicios.
Saludos Malignos!
No hay comentarios:
Publicar un comentario