Не так давно проводил я пентест с элементами социальной инженерии. Один из кейсов должен был содержать рассылку писем со ссылкой, при переходе по которой, жертва попадала бы на фейковый сайт с формой ввода логина и пароля, вбивала свои креды, и далее они утекали бы в лог-файл 🙂

Ранее, была проведена «разведка» по доменам компании, е-мейлам, сотрудникам, должностям и т.д. В результате, было установлено, что компания использует гугловую-почту, узнать это легко, например заюзать host, nslookup, или dig:

$ dig jupiter.com mx

*Далее, в тексте будут использоваться домены с именами планет… а почему нет?) Основной домен компании будет условно называться jupiter.com

В результате выполнения запроса, получим список MX-записей домена, которые необходимо в обязательном порядке установить, чтобы использовать гугловую почту. Также, стоит обратить внимание на столбец цифр 1,10,10,5,5, к нему мы вернемся чуть позже.  Цифры означают приоритет MX-записей для текущего домена (чем меньше значение, тем выше приоритет)

lexc6sn

Увидев эту картину, я не особо обрадовался, понимая, что обойти защиту гугла очень тяжело, а протащить через гугло-почту свой фейк ещё тяжелее, но я решил всё-таки попробовать, а вдруг получится) 😀

Сразу возникла пачка вопросов: где разворачивать фейковый почтовый сервер, что юзать, как юзать? … очень много вопросов

Подумав, я решил зарегистрировать домен jupiter.org и повесить его на гугловую почту (спасибо за триальный период 😉 ), с теми же MX-записями, аналогично легитимному сайту jupiter.com. Далее, стандартная процедура по привязке домена к гугловым сервисам, верификация, настройка, создание почтововых ящиков.

В процессе разведки, был добыт почтовый ящик директора компании, далее,  было направлено ему письмо, на которое он ответил (главное заинтересовать человека 😉 ), в результате чего, была слямзина аватарка и подпись в письме. Назовём легитимный почтовый ящик директора — dir@jupiter.com

Далее, был создан фейковый почтовый ящик — dir@jupiter.org, к которому красочно были добавлены аватарка и подпись директора.

Но прежде, чем засылать бласт писем от имени легитимного директора в компанию, решено было протестить всё это дело, в результате чего, был зарегистрирован ещё один домен (ещё раз спасибо гуглу за триальный период) — jupiter.net, и почтые ящики на нём — user1@jupiter.net, user2@jupiter.net, user3@jupiter.net. Далее с почтового ящика dir@jupiter.org была произведена фейковая рассылка на вышеперечисленные почтовые ящики, и тут настиг облом… Оказывается, гугл проверяет схожесть домена, и если, например как в данном случае, различается лишь окончание домена, то есть его доменная зона (org и net), то письмо автоматически летит в СПАМ с пометкой «Spoofed email addresses» 😦 https://support.google.com/mail/answer/1366858?hl=en-GB&expand=5

Стало грустно и печально, но я решил продолжить, ибо слишком много было проделано действий, чтобы просто взять, и отказаться от реализации задумки с фишинг-атакой.

Решил вернуться к результатам разведки, то есть к данным, которые были собраны ранее, и тут я заметил, что помимо основного домена jupiter.com, компания юзает различные дополнительные домены, коих было порядка 5-ти штук, возьмём к примеру парочку, и назовём их — mercury.com и venus.com

Далее, начав собирать информацию об этих доменах, я увидел, что используется почтовый ящик dir@mercury.com и dir@venus.com. Мне показалось странным держать такое количество ящиков директору, и в голову пришла мысля, что они скорее всего залинкованы к основному домену jupiter.com. Обратившись к MX-записям этих доменов, я увидел, что домены юзают те же гугловые MX-записи, но только уже с более низким приоритетом

kmlac08

После, я полез в админку G Suite, и обнаружил функционал, где можно к primary домену добавить домены-алиасы, в следствии чего стало понятно, почему у них более низкий приоритет, чем у основного домена.

Вернувшись к своему тестовому стенду juniper.net, я решил добавить к нему ещё пару доменов, и указать их в виде алиасов к основному домену.

Протестировав всё на своём триальном стенде, у меня образовалась следующая картина в голове:

g1

Начиркав подобную схему на листочке, тут же возник вопрос — «а что если отправить свои письма на емейлы, домены которых являются алиасами?». Быстро проверил это на тестовом стенде, и к моему удивлению, мои письма оказались в папке INBOX. Ну хоть здесь мне улыбнулась удача! 😀 Стало понятно, что  гугловые спам-фильтры не чекают приаттаченные алиас-домены, и это не могло меня не радовать)

Протестировав ещё пару раз схему, убедившись, что всё работает, было решено засылать бласт фейковых писем от dir@juniper.org на собранные емейлы и использовать алисы основного домена:

g2

Успех! Порядка 150 писем дошли до адресатов, из писем было произведено 90% переходов на фейковую страницу, и 40% юзеров «подарили» свои креды, а далее, пентест проходил по более классическому сценарию, но это уже другая история, которая не может быть предана огласке 😛

А насчёт самой уязвимости, то она была направлена в гугл в рамках программы VRP, и в следующем посте, я расскажу, что же мне ответил гугл на этот счёт!)))

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход /  Изменить )

Google photo

Для комментария используется ваша учётная запись Google. Выход /  Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход /  Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход /  Изменить )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.