Современная социнженерия на практике #2

Использование чувств страха и жадности — это сочетание выверенных годами и практикой сценариев, но в каждой работе к ним стоит подходить с долей креатива

Задачи рассылок могут варьироваться: построение ботнетов, фишинг, направленный на получение корпоративного или банковского аккаунта, или заражение рабочей станции трояном с целью проникновения во внутреннюю сеть компании для хищения коммерческой тайны и других незаконных целей. Последнее может перерасти в атаки уровня APT на долгие месяцы и годы. Но, несмотря на разнообразие задач, с технической стороны все сводится всего к двум действиям: фишингу с целью хищения учетной записи и запуску исполняемого файла для заражения устройства. Жертву нужно вынудить либо ввести логин и пароль, либо запустить какую-то нагрузку, почти всегда в обход оповещений в стиле «Внимание, данный файл не является доверенным». Чаще всего в наших работах применяются манипуляции чувством страха или жадности в сочетании с приемлемым уровнем доверия к нам — без этого ничего не сработает. Доверие достигается мимикрией: похожие домены и типовые формы авторизации, однотипные подписи, знакомые фамилии. Использование чувств страха и жадности — это сочетание выверенных годами и практикой сценариев, но в каждой работе к ним стоит подходить с долей креатива. Иногда и без того хорошие типовые сценарии можно вывести на качественно новый уровень статистики «пробивов». Обычно сотрудников пугает увольнение, а жадность проявляется в финансовых вопросах: кому дали премию, дадут ли жертве, сколько дадут, когда и кого уволят, по каким причинам и так далее. Есть, впрочем, одно очень важное обстоятельство — нельзя перегибать палку. В вопросах манипуляции с чувствами оставаться этичным и деликатным очень важно. Если твой сценарий будет играть на мощных эмоциях, которые связаны с семьей, здоровьем или чем-то таким, это с большой вероятностью может выйти боком. Наконец, нам необходим ресурс для рассылок и для фишинга. Самое простое — это зарегистрировать похожий домен: с префиксом, в другой доменной зоне или с заменой символов на похожие: l — i, o — 0 и прочие. Использование в фишинговых доменах и документах элементов корпоративного стиля, как ты понимаешь, — важный фактор. В тот момент, когда цель видит что-то незнакомое или непонятное, она начинает думать. А если все знакомо и понятно, то и думать не сто- ит — вводи пароль, запускай файлы и не заморачивайся. Иногда случается и удача в техническом плане: SMTP-сервер компании может работать в режиме relay. Тогда он позволяет отсылать почту в компанию без авторизации и верит на слово заголовкам SMTP. В таком случае можно либо напрямую подключиться к порту 25/465 или использовать внешний sendmail для проведения атаки. Еще бывает, что везет с легитимными ресурсами компании, там может найтись какая-нибудь полез- ная для фишинга уязвимость: Reflected File Download, Open Redirect, XSS или RCE и SQLi — подойдет все, с помощью чего можно внедрить свой HTML на легитимные ресурсы. Опять-таки вредоносы тоже можно размещать на фишинговых и атакуемых ресурсах. Почтовый клиент с большой вероятностью не про- пустит многие исполняемые файлы, тогда как шанс на загрузку и исполнение с веб-ресурсов немного больше. С технической стороны тут тоже есть много интересного: начиная от необычных и очень эффективных способов обхода сигнатурных проверок и песочниц и заканчивая тем, что дол- жен делать пейлоад. Мы же поговорим о классике — макросах в офисных документах. Чего только не делается с их помощью! Можно отстучаться на ресурс для сбора статистики (как по HTTP, так и по DNS, если у жертвы вдруг нет подключения), передать заранее подготовленный токен, определить список установленного ПО (антивирусы и прочее), записать на диск файл, заранее подготовленный и хранящийся тут же в доку- менте, или загрузить его из интернета. Можно даже запросить авторизацию и таким образом похитить учетную запись. В общем, рай для пентестера или хакера

SEBLOG v2.0 — Героический оплот честности и искренности от социальных инженеров. (Да, и такое бывает)

SEBLOG — Самая большая в мире энциклопедия статей по социальной инженерии, манипуляциям и НЛП.

Торговая площадка SEBLOG — Только проверенные временем товары и услуги.