Discussione A Natale siamo tutti più buoni: un'ipocrita festa che offre più possibilità di lateral movement che di bontà

Stato
Discussione chiusa ad ulteriori risposte.

Netcat

Helper
17 Gennaio 2022
526
145
383
716
Ultima modifica:
Questo thread ha lo scopo di idealizzare i possibili "pattern" che potrebero andare in voga di questo periodo per lanciare degli attacchi di phishing illegali di successo. Attraverso questa tecnica, intendo creare un contro-pattern di prevenzione, per mettere in guardia gli utenti ed impedire ai veri truffatori di farla franca. Queste sono le mie idee, qualora volessi lanciare un attacco:

- Il bonus tredicesima falso: Già pensato da altri attaccanti (e che io trovo molto efficace) con una scusa, si invia un'email dell'INPS ai pensionati, fingendo che l'INPS ha erogato il bonus con una settimana d'anticipo. In realtà si rimanda ad un portale con un login falso che chiede le credenziali o i dati della carta, allo scopo di rubarle;

- CVE-2021-34473 (Proxyshell, email database leaking, Microsoft Exchange) + Phishing: si segue la strategia indicata precedentemente, con un ulteriore livello di difficoltà al gioco. Dato che la tredicesima può essere inviata anche dal datore di lavoro, andiamo a cercare una compagnia che è vulnerabile a Proxyshell per ottenere tutti gli indirizzi e-mail dei dipendenti, compreso quello del datore. Con queste informazioni, si va ad impersonare il Datore che eroga una tredicesima falsa ai dipendenti. Nell'e-mail d'erogazione però, invece del login falso, invito gli utenti a scaricare ed eseguire malware tramite il social engineering; (inoltre intendo ricordare che l'effetto di leakare il database del server Outlook, è solamente la fase iniziale di Proxyshell. Con ulteriori sconfigurazioni, come execution policy troppo permissive, e l'assenza di un EDR, quest'attacco può spingersi oltre, arrivando ad eseguire codice nel contesto di NT AUTHORITY\SYSTEM, ottenendo il completo controllo su Windows.

- Regalo abbonamento Netflix fraudolento: si invita semplicemente l'user a navigare e inserire le credenziali/dati di Postapay su un portale di Netflix gestito dallo scammer;

- Sconti falsi su vari prodotti inoltrati tramite pubblicità invasive e ingannevoli sotto forma di e-mail provenienti da siti web affidabili, come eBay, Amazon ecc;


Esempio di un Server Exchange (tratto dalla ricerca condotta da Ayan Saha su https://www.keysight.com/blogs/tech...l-deep-dive-into-the-exchange-vulnerabilities , privo della patch contro Proxyshell, e privo di attack surface mitigation rules). Come potete vedere, il server risulta così vulnerabile dal permettere l'insediamento del Goblin (Meterpreter), un trojan facilmente prevedibile nel 2023.

immagine.png


Nello scenario più comune, comunque, si potrebbero incontrare problemi con i permessi di scrittura, problemi nella manipolazione della funzione "Import Export" che impedirebbero al codice di proseguire oltre il leak del database delle e-mail. Comunque, in ogni caso, avere le mani sul database delle e-mail è già tanto. Microsoft Exchange v. 2013, 2016, e 2019 sono affetti dal bug. Se sei amministratore di una di queste versioni di Exchange, è meglio controllare se hai la patch. O in alternativa, aggiorna ad una versione più recente del software gestionale.

Termino il thread, ricordando due cose:
- che a Natale dobbiamo essere tutti più in guardia, alla meglio. Buoni dovremmo esserlo tutto l'anno, non solo a Natale;
- non sto trattando questo forum come se fosse un covo di criminali. Se deciderai di compromettere degli utenti provando a "concretizzare" tutti questi punti, ne avrai tutta la responsabilità, questi contenuti sono letteralmente "l'attacco servito alla difesa".
 
  • Mi piace
Reazioni: --- Ra ---
Sono tutte idee molto valide per trarre in inganno un povero malcapitato. Non conoscevo questo tipo di vulnerabilità nelle versioni meno recenti di Microsoft Exchange. Grazie @Access Denied 😉
 
Sono tutte idee molto valide per trarre in inganno un povero malcapitato. Non conoscevo questo tipo di vulnerabilità nelle versioni meno recenti di Microsoft Exchange. Grazie @Access Denied 😉
Sì Proxyshell è un esempio, ne è uscita un'altra che riguarda Microsoft Outlook, CVE-2023-23397, consente di fare NTLM relay e bypassa l'AV by default.
 
Stato
Discussione chiusa ad ulteriori risposte.