Un vector de ataque para realizar un
APT (Advanced Persistent Threat) a los miembros de una organización, suele ser utilizar técnicas de
Spear Phishing apoyándose en el correo electrónico corporativo de la organización. A veces se aprovechan de la ingenuidad de las víctimas, propensas como ya hemos visto muchas veces, a confiar ciegamente en los mensajes que vienen por el correo electrónico.
|
Figura 1: WeTransfer como herramienta de Spear Phishing para realizar APTs |
Si además las protecciones del correo electrónico no están bien configuradas, ya sea porque el filtro
SPF (Sender Policy Framework) presenta una configuración laxa tipo
Softfail (~all) no clasificando de manera correcta los correos que son enviados desde servidores no autorizados, o porque el cliente no soporta la verificación
DKIM y no se discriminan positivamente los mensajes enviados desde los servidores legítimos, las probabilidades de que el
APT sobre la organización sea exitoso aumentan.
|
Figura 2: Configuración "Softfail" del filtro SPF para prevenir el spoofing |
En este artículo se realizará una pequeña prueba de concepto para demostrar lo fácil que sigue siendo hoy en día distribuir malware a través del correo corporativo de una organización empleando técnicas de
Spear Phishing, en este caso usando un servicio muy popular para la transferencia de ficheros que está abierto en casi todas las organizaciones para que sus empleados reciban ficheros enviados desde personal externo de la organización.
Obtención de las cuentas de correo electrónico de la organización
Hoy en día, obtener cuentas de correo corporativas de una organización es una tarea muy sencilla. Basta utilizar herramientas como theharvester o realizar un poco de “
Hacking con buscadores” para obtenerlas.
|
Figura 3: Obtención de cuentas de e-mail mediante "The Harvester" |
Otra fuente para obtener las cuentas de correo corporativas son los servidores de claves públicas PGP para cifrar el correo electrónico (theharvester por defecto también busca en estos repositorios).
|
Figura 4: Cuentas de e-mail presentes en servidores de claves públicas PGP |
Obtención del malware
Una vez que tenemos las cuentas de correo electrónico de la organización, el siguiente paso es obtener el
malware a distribuir entre los miembros de la organización.
En esta prueba se ha utilizado
Metasploit para crea un fichero
PDF malicioso. El objetivo de la prueba no es crear un
ransomware sofisticado, sino demostrar cómo herramientas actuales de almacenamiento en la nube, no analizan el fichero adjunto antes de enviarlo y almacenarlo, y cómo tampoco verifican la identidad de una cuenta de correo electrónico antes de mandar al destinatario el mensaje con el fichero adjunto infectado. Un cóctel perfecto para realizar un ataque de
Spear Phishing.
|
Figura 5: Carga del módulo Adobe PDF Embedded EXE de Metasploit |
Construimos nuestro fichero
PDF malicioso haciendo uso del módulo “
Adobe PDF Embedded EXE”.
|
FIgura 6: Configuración y generación del archivo PDF malicioso con Metasploit |
Analizando el archivo
PDF generado con el servicio
VirusTotal, podemos ver cómo
36 de sus
54 motores de detección de
malware, clasifican este fichero
PDF como malicioso.
|
Figura 7: Análisis y clasificación del fichero PDF con VirusTotal |
Distribución del fichero PDF malicioso sobre las cuentas de e-mail de la organización
El último paso será la distribución del fichero
PDF sobre los miembros de la organización empleando para ello sus cuentas de correo. Parece claro que necesitamos una herramienta para realizar la suplantación o
"spoofing" de las cuentas de correo electrónico, aunque éste cuente con las protecciones de tipo
SPF o
DKIM comentadas al principio del artículo.
Realizaremos la prueba sobre una dirección de correo electrónico corporativo que cuenta con protección
SPF, para ver lo sencillo que resulta saltar este tipo de protección a la hora de realizar un ataque de
Spear Phishing.
|
Figura 8: Filtro SPF con "hardfail" activo para evitar suplantación de sus direcciones de e-mail |
La herramienta utilizada para realizar la distribución del
PDF malicioso, utilizar las cuentas de correo electrónico de la organización y evitar pasar por los filtros
SPF y
DKIM del servidor de correo electrónico será
WeTransfer, en su versión gratuita.
|
Figura 9: WeTransfer utilizada como herramienta de Spear Phishing |
Consultando la bandeja de entrada del correo electrónico, puede comprobarse cómo no ha sido clasificado como
spam y el mensaje se ha colado en la bandeja de entrada a pesar de que tenemos activo el filtro
SPF para evitar que lleguen correos electrónico con la dirección del
centrodonbosco.es sin que vengan desde uno de los servidores autorizados para ello en el registro
SPF.
|
Figura 10: El mensaje entra en el servidor de correo de Office 365 que hospeda nuestro dominio |
Esto es así porque como se puede ver, el mensaje no está enviado por ningún dominio de
centrodonbosco.es, sino desde
noreply@wetransfer.com. Nada extraño que la tecnología
SPF no diga nada, pues todo está en regla. Eso sí, si el usuario no se fija bien en el mensaje puede llegar a pensar que la dirección utilizada para enviar este mensaje es del
centrodonbosco.es y dependiendo del cliente de e-mail será más o menos fácil hacerle creer eso.
Como todo está en regla, también es posible la descarga del fichero
PDF malicioso que se envía como enlace en el correo electrónico, simplemente haciendo clic en el enlace, ya que
WeTransfer no se preocupa para nada en evaluar la seguridad o no del fichero transferido por su sistema. Puedes enviar
malware o
exploits por medio de este servicio.
|
Figura 11: Descarga del fichero malicioso por parte de la víctima |
Conclusiones
Tras realizar esta pequeña prueba de concepto, queda de manifiesto lo siguiente:
• WeTransfer parece no analizar los adjuntos antes de mandarlos al destinatario, lo que convierte a esta herramienta en ideal para la distribución de malware o esquemas de Spear Phishing.
• WeTransfer no hace una comprobación previa del remitente del correo para ver si éste es realmente quién dice ser. Con el envío de una simple confirmación al remitente del correo antes de que éste se envíe, sería suficiente. Una vez más, usabilidad en lugar de seguridad.
• Junto con lo anterior, WeTransfer “permite evadir” los sistemas de protección SPF y DKIM, ya que los clientes de correo, al comprobar la dirección del servidor desde el que ha salido el correo electrónico analizando la cabecera del correo, comprueban cómo realmente la dirección IP de la cabecera coincide con la del servidor de correo de WeTransfer. Además, la verificación de la firma digital para evitar la suplantación del servidor de correo electrónico también es correcta, lo que permite que el correo electrónico sea descartado o clasificado como Spam. Dependerá del cliente de e-mail y el conocimiento del destinatario de cómo funcionan estas tecnologías.
|
Figura 11: Cabecera del e-mail con verificación SPF de WeTransfer |
• Se comprueba cómo la configuración del filtro SPF del servidor de correo de WeTransfer presenta una configuración que permite suplantar las cuentas de correo bajo el nombre de dominio @wetransfer.com, lo que abre la puerta a los ataques de suplantación del propio WeTransfer. Para un atacante sería más sencillo suplantar el formato de los correos de WeTransfer.
|
Figura 12: Configuración "Softfail" para el dominio WeTransfer |
Autor: Amador Aparicio de la Fuente (@amadapa) escritor del libor "Hacking de tecnologías Web"
PD: las pruebas han sido realizadas con la “versión free”. Desconozco si los resultados hubieran sido los mismos en la “versión Plus”
Un ataque persistente no es tan simple con lleva una estructura de inteligencia , en esta etapa ya no existe el social Engi,, se podria decir Inteligencia y Contra inteligencia no se le pued e llamar apt a un ataque basico , las estructuras advanced son complejas y requieren el estudio a la compañia o organizacion , un apt no solamente ataca a lo que las empresas o compañias piensan unicamente atraves de email
ResponderEliminarPara defenderte se necesita una base mas solida como por ejemplo un sistema de dia cero .
un sistema de dia cero esta basado en un sistema con varios retornos de estructura
Las compañias por lo regular protegen solo los protocolos de comunicacion pero dejan al descubierto el nucleo del sistema ..
para una protecion aqui es donde es eficaz una detencion , Multipleosfinger , kernelstring hidden , y kernelfinger ,
Multipleosfinger , esta diseñado para mostrar varios sistemas falsos ala ves al atacante
Kernelhidden Ocultara la version del nucleo dando un numero falso a inexacto para la ubicacion correcta
Kernelfinger , en este proceso detendra los ataques realizados a una funcion vulnerable , confundira los sistemas de ataque y los protocolos .
Por decir en este caso al realizar un ataque live me mostraria esto,
[ WARNING ]
Error: Unknown OS found. No support available yet for this OS or platform...
Estaria genial si compartieras mas info en mecanismos de defenza , este es mi proyecto me seria de muy agrado si pudieras ir provando las estructuras comentadas y como funciona un sistema encontra de los ataques avanzados ,
https://sourceforge.net/projects/sistemas-operativos/
Tiene sun blog muy bueno , hasta luego
Concuerdo es un blog muy bueno.
ResponderEliminarXaxi, no creo en dios padre creador del castellano.
ResponderEliminarlo que recibas por wetransfer es peligroso
ResponderEliminar