RansomCloud O365: Paga por tus mensajes de e-mail @elevenpaths #Ransomware #Office365 #sappo
Para la pasada RootedCON 2016, entre Ioseba Palop, Pablo González y yo preparamos una charla sobre Sappo: Spear Apps to Steal your OAuth-Tokens, en la que mostrábamos cómo es posible, con un solo clic que autorice a una app maliciosa el acceso a tu Identity Provider, acceder a todos tus mensajes de Office 365, archivos de OneDrive o mensajes de Gmail. Aquella charla aún no ha sido publicada, pero escribimos el artículo que podéis leer en el blog. Sin embargo, estábamos trabajando en una idea que iba un paso más allá, lo que recibió el nombre de RansomCloud.
Para los que no pudisteis venir a la charla de presentación de Sappo, la idea se resume en hacer un ataque dirigido vía e-mail para robar un OAuth Token. Para ello se crea una aplicación maliciosa en al plataforma Office365 de Microsoft o en la plataforma de Google, y con un poco de ingeniería social se consigue que el usuario conceda los permisos a esa app para acceder a partes de la plataforma.
Figura 2: Robo de OAuth Token en cuenta de Office 365 con Sappo
En el artículo de Sappo tenéis todo el proceso detallado, pero en estos dos vídeo tenéis como funciona el proceso con una cuenta de Outlook Online en Office 365 y con una cuenta de Outlook.com. A la izquierda la máquina del atacante, a la derecha la máquina de la víctima.
Figura 3: Robo de OAuth Token en cuenta de Outlook.com con Sappo
Con este OAuth Token, como se ha visto en los vídeos, un atacante podría estar accediendo al contenido de los mensajes y a la información. Para que los datos no queden comprometidos, se puede utilizar una solución de cifrado de nube pública, como Vaultive, que solo deja ver el contenido descifrado si se pasa a través del gateway de seguridad. En este vídeo tenéis como sería la experiencia del atacante.
Figura 4: Acceso a cuenta de Office 365 protegida con Sappo. El contenido no es visible
Pero, esto puede ser peor, y convertirse en un Ransomware en toda regla para los servicios en la Cloud. La idea del RansomCloud es secuestrar los contenidos que una persona tiene en sus servicios en la nube por medio del robo de un OAuth Token, ya que con los permisos adecuados es fácil acceder al contenido, cifrarlo, eliminar el contenido descifrado y dejar solo el contenido cifrado. Esto es lo que hicimos con RansomCloud, tal y como se puede ver en este vídeo.
Figura 5: RansomCloud O365. Secuestro de contenido del buzón de Office 365
Para explicar el proceso completo, hemos escrito unos papers que puedes ver en inglés y en español con absolutamente todos los pasos que podrían hacer que la nueva generación de Ransomware empiece a afectarte en tus servicios en la nube, en lugar de el ransomware de tu equipo local o el ransomware de tus sistemas en hospitales.
Saludos Malignos!
1 comentario:
El código sappo esta a la venta o es gratuita y donde se puede encontrar deberían hacer cursos gratuitos para a prender sobre la seguridad por que hay personas que no tienen recursos como estudia a si como yo que me gustan muchos esto temas y no se como estudiarla por recursos económicos
Publicar un comentario