목표는 간단했습니다. 조직이 외부의 관점에서 얼마나 취약한 지 확인하고 전사적으로 관리되는 보안 제어의 효과를 테스트하십시오. 그와 같이 회사 명을 제외하고 "제로" 외부를 수행하는 정보 블랙 박스 침투 테스트.

이 블랙 박스 외부 침투 테스트는 (핵) 

오신트 101

우리는 오픈 소스 인텔리전스 (OSINT) 101 :)로 시작했습니다. 검색 엔진 및 쇼 단과 같은 다른 공개 소스에서 이메일, 하위 도메인, 호스트, 직원 이름 등을 수집하는 데 도움이되는 수많은 오픈 소스 인텔리전스 도구가 있습니다. 있다 여기에 멋진 도구의 전체 목록 .

상당히 많은 오픈 소스 인텔리전스 도구를 사용하여 블랙 박스 침투 테스트 방법을 사용하여 조직과 관련된 공개 문서를 얻었습니다.

Google dork을 사용하여 몇 가지 기본 검색 문자열을 실행했습니다. “site : *. hackme.com ext : xls 또는 ext : docx 또는 ext : pptx” .

또한 읽기 :  네트워크 침투 테스트 점검표

물론, 우리의 목표는 지칠 줄 모르고 문서를 검색하는 것이 아닙니다. 그보다는 우리의 목표는 문서의 "속성 섹션"(특히 Microsoft Word, PowerPoint 및 Excel)에있는 문서의 메타 데이터를 검사하여 조직의 명명 스키마를 이해하는 것이 었습니다. 하나도 사용할 수 있습니다 포카 이합니다.

이로부터 직원 이메일이 특정 명명 규칙을 준수한다는 것을 알았습니다. 이름 + 성 @ domain.com 즉 [이메일 보호].

이 지식으로 무장 한 우리는 링크드 인에서 현재의 모든 직원 목록을 포크했습니다. 핵 다음 Google dork 구문을 사용하십시오.

site : linkedin.com -inurl : dir“at Hackme”“현재”. 아래는 Google Inc를 참조 회사로 사용하는 전형적인 예입니다.

프로세스를 자동화하기 위해 스크립트를 해킹하여 현재 직원의 이름, 성 및 역할을 복사했습니다. 핵.

피곤한 접근 방식은 이러한 이름과 역할을 검색하기 위해 Google 페이지를 수동으로 크롤링하는 것입니다. GoogleScraper :

GoogleScraper -m http –keyword“site : linkedin.com -inurl : dir 'at Hackme' '현재'”–num-pages-for-keyword 3 –output-filename output.json

결과 :  블랙 박스 침투 테스트

다시 한 번, 나는 당신의 상상력에 가능성을 남겼습니다. 그러나 이것을 쉽게로 변환 할 수 있습니다.csv 파일 사용하여 파일을 https://json-csv.com/ 또는 당신을 위해 일하는 다른 변환기.

그런 다음 좋아하는 워드 프로세서 (단어 병합, 메모장 ++ 등) 또는 훌륭한 스크립트 기술을 사용하여 이름 + 성 – 귀하의 이메일 목록을 작성합니다.

대상 목록에 페이로드 공급

우리는 시뮬레이션하고 있기 때문에 블랙 박스 침투 테스트악의적 인 페이로드를 사용하여 코드를 실행하기로 결정했습니다 (공격자가하는 것과 마찬가지로). 따라서 우리는 페이로드를 생성하고 이메일을 통해 핵.

또한 일부 파일 형식 / 확장명이 조직의 전자 메일 필터에 의해 차단되어 위험 노출을 제한하는 것이 일반적이라는 것을 알고 있습니다.

이것은 우리를 사용하게합니다 Koadic C3 COM 명령 및 제어, Meterpreter 또는 Empire와 같은 매우 적절한 프레임 워크입니다.

아름다운 인터페이스를 제외하고는 실제로 해시 덤프, 파일 다운로드 / 업로드, 명령 실행, UAC 우회, 로컬 네트워크에서 열린 SMB 검색, 다른 컴퓨터로 피벗, mimikatz 등을로드 할 수 있다는 점이 두드러졌습니다.

Koadic을 실행하고 필요한 변수를 설정했습니다. “stager / js / mshta“ 모듈 (MSHTA.exe HTML 응용 프로그램을 사용하여 메모리에 페이로드 제공).

결과는 위 스크린 샷에서 알 수 있듯이 HTA 페이로드 URL이 생성되었습니다. 그러나 페이로드를 다음과 같이 실행하려면 대상이 필요합니다. "mshta 페이로드_url".

최근 몇 년 동안 HTA 페이로드는 웹 공격 경로로 사용되어 피해자 PC에 악성 코드가 유출되었습니다. 이제이 페이로드를 피해자의 수많은 방어를 통과해야합니다.

여기 까다로운 부분이 있습니다 – 우리는 피해자를 도망 칠 수있는 방법이 필요했습니다 "mshta 페이로드_url" 페이로드가 자식 프로세스로 생성되지 않은 경우 ofmshta.exe –이 조직의 블루 팀이이 플래그를 지정할 수 있습니다.

고맙게도, 우리는 Matt Nelson의 왼쪽 팁을 보았고 흥미롭게도 NCC 그룹의 팀은 이것을 구현했습니다. 데미 구이 세.

최종 페이로드는 .hta 파일.

다음 단계는 일반적으로 .hta 페이로드를 포함 된 OLE 개체로 보내는 것입니다.

의도 된 공격 시나리오는 다음과 같습니다.

1. OLE 객체로 포함 된 .hta 페이로드가 포함 된 Microsoft Word 문서를 보냅니다.
2. 사용자에게 단어 문서와 포함 된 OLE 개체를 열도록합니다.
3. 이것은 새로운 프로세스를 생성하고 피해자의 P에 대한 쉘 액세스를 얻습니다.C.

이제 흥미로운 부분에 도달했습니다. 피해자는 Microsoft Word 문서와 페이로드를 열어야합니다.

이를 위해서는 사용자가 똑똑해지기 때문에 매우 매력적인 이야기가 필요합니다. 그래서 우리는 더 많은 정찰을하기 위해 다시 향했다.

… 그리고 더 많은 정찰

우리는 더 알아야 할 핵 – 특히 문화 및 직원 행동. 우리가 계속 묻던 질문은 "직원들에게 어떤 관심이 있습니까?”

이 정보를 얻을 수있는 다른 곳 글래스 도어 , 회사와 함께 일하는 직원의 급여, 혜택, 장단점에 대한 직원 리뷰를 제공하는 플랫폼을 제공합니다.

에 대한 리뷰를 통해 구멍을 뚫은 후 핵 Glassdoor에서 몇 가지 일반적인 테마를 찾았습니다.

… 그리고 더 많은 정찰

대상 조직의 환경, 특히 직원에 대해 더 알아야합니다. 우리가 계속해서 묻는 질문 – 직원들에게 어떤 관심이 있습니까?

직원에게 회사의 급여, 혜택, 장단점에 대한 리뷰를 제공하는 회사를 소개하는 플랫폼 인 Glassdoor보다이 정보를 얻을 수있는 곳.

Glassdoor의 대상 조직에 대한 리뷰를 살펴본 후 몇 가지 공통 주제를 발견했습니다.

1. 일부 직원들은 사무실이 주거 지역과 거리가 멀기 때문에 이동성이 문제라고 생각했습니다.
2. 직원들은 무료 점심을 먹기 때문에 조직을 좋아합니다.

하지만 기다려!

오래된 말처럼 사람의 마음으로가는 가장 빠른 방법은 배를 통하는 것입니다. 그렇다면 직원들이 페이로드 임베디드 단어 문서를 열 수있는 더 좋은 방법은 무엇입니까?

그들에게 이메일을 보내십시오 – 내일부터 무료 점심 메뉴에 변화가 있음을 알리십시오.

쉽게 알아볼 수있는 임의의 피싱 전자 메일을 직원에게 보내지 않고 겉보기에 확실한 전자 메일이 핵 조직 이메일 문화를 관찰하면서 이메일 서명.

이제 우리는 어떻게 이메일을 더 믿을 수있게 만들까요? 서비스 요청과 함께 고객 서비스 / 헬프 데스크로 이메일을 보내고 응답에서 이메일 서명을 관찰합니다.

… 다시 정찰 ???

우리는 Linkedin으로 돌아가서 HR Manager, Logistic Manager 또는 Admin Manager 중 적절한 이름을 찾습니다. 핵. 선택한 이름으로 이메일 서명을 신중하게 작성했습니다.

우리는 지금 페이로드를 보내는 중반입니다. 인내심을 가지고 계속 읽으십시오…

페이로드를 보낼 차례입니다

앞서 수행 한 메타 데이터 정찰을 통해 대상 조직의 문서 머리글과 바닥 글이 어떻게 생겼는지 알 수있었습니다.

그런 다음 아래 이미지와 같은 새 단어 문서를 만들었습니다. 핵 적절한 머리글 / 바닥 글이있는 문서 템플릿.

그런 다음 .hta를 OLE 개체로 포함 시켰습니다. Microsoft Word 문서 >> 삽입 >> 개체 >> 패키지. 아이콘을 Microsoft Word 아이콘으로 변경하고 메시지를 반영하도록 캡션을 변경했습니다.

아이콘을 Microsoft Word 아이콘으로 변경하고 캡션을 변경하여 메시지를 반영하십시오.

안티 바이러스를 잊지 마세요!

페이로드의 AV 탐지 속도를 확인하고 다음에 의해 악성으로 표시되는지 확인합니다. 핵 바이러스 백신 솔루션 (있는 경우)에서 빠른 AV 스캔을 수행했습니다. nodistribute.com. Nodistribute.com 그들에 따르면 페이로드 샘플을 AV 회사에 배포하지 않기 때문에 사용되었습니다. maldoc과 .hta 파일도 검사했습니다.

.hta 페이로드의 AV 스캔 (0 개의 탐지)

이메일을 보낼 시간입니다

대상 조직에 SPF, DKIM 및 DMARC가 구성되어 있지 않으면 HR 관리자, 물류 관리자 또는 관리자의 전자 메일 주소를 쉽게 스푸핑 할 수 있습니다.

이 경우 Logistic Manager의 이름과 성을 사용하여 Gmail 계정 (예, Gmail도 작동 함)을 만든 다음 이전에 얻은 서명으로 구성했습니다.

껍질을 넣어 보자

이메일을 보낸 직후, 약 3 분 안에 최소 30 개의 쉘 연결이있었습니다! W00t !!!

다음은?

그들이 자주 말하는 나머지는 역사입니다. 지금부터 mimikatz 모듈을 사용하여 권한을 에스컬레이션하고 해시를 덤프하고 로컬 네트워크를 스캔했습니다. 핵, 다른 PC로 피봇 팅하고 대상의 파일 시스템을 탐색했으며 도메인 관리자 등이되었습니다.

결론

대체로 이것은 매우 재미있는 참여였습니다. 인프라 수준의 허점을 통해 공격자가 조직에 침입하는 데 한 달에 2 개월 / XNUMX 년의 시간이 소요될 수 있습니다. 인적 요소를 이용하여 액세스하는 것이 매우 쉽습니다.

"목표 환경을 이해 한 후에는 환경에 액세스 할 수있는 창의적인 방법을 고안하는 것이 매우 쉬워졌습니다."

연습의 도덕은 : 정찰, 정찰 및 더 정찰 – 현명한 사람이 한 번 말했다

"나무를 자르기 위해 XNUMX 시간을 줘라. 그러면 네 번째 도끼를 갈아 입을 것이다.".

우리를 따라갈 수있어. 링크드 인, 트위터, 페이스북 매일 사이버 보안 업데이트를 위해 최선을 다할 수도 있습니다. 온라인 사이버 보안 코스 자체 업데이트 유지.

원본 출처 및 크레딧 : 

로티 미 아키 닐 – Rotimi는 숙련 된 사이버 보안, IT 거버넌스, 위험 및 규정 준수 (GRC) 전문가입니다. BDO UAE의 사이버 보안 보조 관리자입니다.

책임 부인

이 기사의 모든 내용은 원저자에게 귀속됩니다. "GBHackers On Security" 이 글은 교육 목적으로 만 사용되며,이 웹 사이트에 포함 된 자료와 관련된 모든 활동 및 활동은 전적으로 귀하의 책임입니다. 이 웹 사이트의 정보를 오용하면 문제의 사람에 대해 형사 고발을 당할 수 있습니다.

XNUMXD덴탈의 "저자" 과 “www.gbhackers.com” 법을 위반하기 위해이 웹 사이트의 정보를 악용하는 개인에 대한 형사 고발이 발생한 경우에는 책임을지지 않습니다. 허가없이이 콘텐츠를 재생하는 것은 엄격히 금지됩니다.

출처 : https://gbhackers.com/external-black-box-penetration-testing/