Pablo_P
Carder
- Messages
- 56
- Reaction score
- 13
- Points
- 8
Отойдем от привычного термина MiTM и сосредоточимся на веянии времени - AiTM.
Adversary-in-The-Middle это немного более сложный метод атаки нацеленный на перехват MFA и токенов сессий.
Это основное отличие от типичного перехвата сесии и кредов.
Про OAuth говорилось в статье - , а сегодня зацепим и SAML; SSO.
Содержание
Более прогрессивные методы защиты; обнаружения; внедрения mfa усложняют работу с полученными login+pass даже не смотря на все попытки подбора железа; подключения; гео и тп.
Поэтому появляется AiTM который является прокладкой между сервси провайдером и пользователем.
С помощью такого ответвления от mitm вполне можно держать курс на эти сервисы
Облачные офисные платформы
Есть еще много других сервисов и категорий.
Можно вообще самих SSO провайдеров брать за таргет.
Вот это я понимаю был бы доступ к Saas их подопечных.
Принцип работы вектора атаки
AiTM по своему замыслу работает через размещение релей прокси сервера.
Это как раз и позволяет разместить логин вебпейдж, который будет перехватывать сесии и токены.
Прокси в режиме реального времени пересылает сессию токен повайдеру, а тем временем происходит перехват токенов и сохраняет их.
Далее с получеными токеном получается полный доступ к аккаунту будучи уже верифицированным-
https://docs.oasis-open.org/security/saml/v2.0/
https://auth0.com/docs/authenticate/saml
https://datatracker.ietf.org/doc/html/rfc6749
https://openid.net/specs/openid-connect-core-1_0.html
https://learn.microsoft.com/en-us/azure/active-directory/develop/authentication-scenarios/
https://developer.okta.com/docs/concepts/
Энумерация тех.стека и сервисов
Частично уже затрагивал как стек проверять.
Даже находил логин пейджы для OAuth.
Сегодня нас интересует след корпов по всяким 3rd party saas сервисам описанным выше.
Начнём с записей dns и пойдём быстрым и простым путём для старта-
Но быстрые пути не всегда хороши.
Объясняю наглядно почему.
Я для сравнения взял результаты sublist3r и dns Dumpster по одному домену и вот что выдал sublist3r-
dnsdumpster-
Я бы предложил дальше пихать каждый домен, но профи же получили output энумерации из sublist3r и httprobe.
Поэтому заюзаем whatweb путем whatweb -i хосты.txt -v -
Получив результаты мы начинаем изучать полученные данные.
Вообще советую выгружать в .txt, чтобы было удобнее работать или тупо выгрузить для гпт категоризации.
Думаем в направлении - какие домены какую дают пользу и за что отвечают в корпе.
Для примера выцепим support.таргет.com, мне приглянулась одна вещь-
Бывает что его хостнейм кастомизируют если не лень, но не тут.
Берём айпи 199.232.х.х и загоняем его в whois-
Получили адрес из рейнджей и указания на cdn провайдера Fastly.
верифицируем через их вайтлист-
https://api.fastly.com/public-ip-list создан для того, что бы потребители могли вайтлистить их в своих корп списках.
Затем в devtools в браузере смотрим куда отправляются запросы.
Тут мы получили frontapp хуки-
Теперь знаем что конкретный хост для их хелпдеска frontapp защищен fastly.
Разведка по сотрудникам и анализ веб ресурсов
Теперь к более интересному.
Нас интересуют люди для претекстинга и вебсайт для получения доп.инфы.
Начнем с людей.
Цель - найти сотрудника под которого мы будем косить для spear phishing и так же типовой адрес почты.
Это нужно, тк мы можем предположить какой формат персональной почты, но не быть увереными без поиска.
Вася Пупкин может быть v.pupkin@target.com; vasya.pupkin; vasyapupkin; v_pupkin и тп.
Простым dork находим соц.сети.
У меня линкедин-
Как раз одна из причин почему надо проводить разведку и маппинг заранее - новые таргеты.
В этом кейсе оказалось что команда сделала один сайт для проекта и другой у них мейн.
Даже это дало свои плоды тк мы видим основу и получили инфу о имейл провайдере protonmail у которого не самая жестокая спам полиси-
Вернулись к кожаным ведь нас интересует цель в виде конкретного человека с тех.привелегиями = таргет.
Полистав линкедин, внизу видим список сотрудников и вот кого можем изучать-
Зайдя на страницу сотрудника корпа можно и контактные данные найти-
Часто там указывают текущую рабочую почту-
Вернемся к сайту и пройдемся по ссылкам на соц.сети.
Х - он же Твиттер-
Даже не пришлось смотреть вглубь.
Сразу есть не маловидый человек в данной компании, у которого свой сайт блог, где есть раздел контакт-
Есть и подпсчики раблочего Х такого формата-
Все они тоже цели для более детальной разведки.
Не потому что надо всех посмотреть.
Потому что бывает что нет например рабочих адресов из какого-то инструмента, но есть связывающая зацепка.
Раскручивая появляется новый поток данных.
Подписчик с гордым head of product имеет свой проект где он файундер к примеру-
Что мешает получить рабочую почту там и подогнать под сценарий атаки в претекстинг стадии?
Ничего.
Идеальный рецепт претекста заключается в правильной комбинации полученных данных.
1. Выбираем от чьего лица мы будем действовать.
Думаем кто действительно может отправить письмо тому или и иному сотрулнику без подозрений; кто не высоко и не низко в компании - отправить от лица главы отдела будет не просто например;
2. Подбираем инфраструктуру
Фишинг с обычного протона или gmail крайне снижает вероятность попадания в инбокс и прочтения, а уж тем более клика по ссылке; куар; файлу или вашему способу доставки пейлоада или mfa page.
Поэтому нужен схожий домен; формат пресонализированной почты; для того чтобы вообще получить ответ и влиться в доверие.
Страница OAuth гугла, если у таргета SSO тоже мало логики.
Поэтому весь стек может быть использован.
Хочешь - стань сотрудником IdP или Saas сервиса и предложи экстренный релогин из-за сбоя.
3. Форматирование контекста и повода
Обычное письмо зайдите по ссылке давно не работает.
Повод должен вписываться в повседневность компании.
Что-то вроде
Можно ещё и коллегу его в переписку включить.
4. Трастбилдинг и разогрев
5. Маскировка под корп процесс
Финальный штрих - оформить всё так, будто это часть официального раб.цикла.
Так что следуй флоу - создать повод; закрепить доверие; замоскировать под процесс.
Тогда AiTM раскладывается на практике, а не остается теорией.
Adversary-in-The-Middle это немного более сложный метод атаки нацеленный на перехват MFA и токенов сессий.
Это основное отличие от типичного перехвата сесии и кредов.
Про OAuth говорилось в статье - , а сегодня зацепим и SAML; SSO.
Содержание
- Где и как уместен AiTM
- Принцип работы вектора атаки
- Энумерация тех.стека и сервисов
- Разведка по сотрудникам и анализ веб ресурсов
- Подготовка SE претекстинга
Более прогрессивные методы защиты; обнаружения; внедрения mfa усложняют работу с полученными login+pass даже не смотря на все попытки подбора железа; подключения; гео и тп.
Поэтому появляется AiTM который является прокладкой между сервси провайдером и пользователем.
С помощью такого ответвления от mitm вполне можно держать курс на эти сервисы
Облачные офисные платформы
- Семейство Microsoft 365 - outlook; OneDrive; Sharepoint; team;
- Сервисы Google - gmail; drive; docs; meet.
- Cisco AnyConnect;
- Palo Alto;
- GlobalProtect;
- Zscaler ZPA;
- Cloudflare Access;
- Okta ASA;
- GitHub;
- GitLab;
- Bitbucket;
- Azure DevOps;
- Splunk;
- Elastic;
- Sentry;
- PagerDuty;
- Datadog;
Есть еще много других сервисов и категорий.
Можно вообще самих SSO провайдеров брать за таргет.
Вот это я понимаю был бы доступ к Saas их подопечных.
Принцип работы вектора атаки
AiTM по своему замыслу работает через размещение релей прокси сервера.
Это как раз и позволяет разместить логин вебпейдж, который будет перехватывать сесии и токены.
Прокси в режиме реального времени пересылает сессию токен повайдеру, а тем временем происходит перехват токенов и сохраняет их.
Далее с получеными токеном получается полный доступ к аккаунту будучи уже верифицированным-
Поэтому советую почитать для понимания; функций и возможностей сначал оф.документацию
https://docs.oasis-open.org/security/saml/v2.0/
https://auth0.com/docs/authenticate/saml
https://datatracker.ietf.org/doc/html/rfc6749
https://openid.net/specs/openid-connect-core-1_0.html
https://learn.microsoft.com/en-us/azure/active-directory/develop/authentication-scenarios/
https://developer.okta.com/docs/concepts/
Энумерация тех.стека и сервисов
Частично уже затрагивал как стек проверять.
Даже находил логин пейджы для OAuth.
Сегодня нас интересует след корпов по всяким 3rd party saas сервисам описанным выше.
Начнём с записей dns и пойдём быстрым и простым путём для старта-
Но быстрые пути не всегда хороши.
Объясняю наглядно почему.
Я для сравнения взял результаты sublist3r и dns Dumpster по одному домену и вот что выдал sublist3r-
dnsdumpster-
Проверяем subdomains на жизнеспособность через cat субдомены.txt | httprobe > хосты.txt -
Я бы предложил дальше пихать каждый домен, но профи же получили output энумерации из sublist3r и httprobe.
Поэтому заюзаем whatweb путем whatweb -i хосты.txt -v -
Получив результаты мы начинаем изучать полученные данные.
Вообще советую выгружать в .txt, чтобы было удобнее работать или тупо выгрузить для гпт категоризации.
Думаем в направлении - какие домены какую дают пользу и за что отвечают в корпе.
Для примера выцепим support.таргет.com, мне приглянулась одна вещь-
На нашем примере есть хостнейм support.таргет.com - типичнейший для разного рода zendesk; freshdesk; intercom; helpscout crm-ов; hd-ов и cs-ов.
Бывает что его хостнейм кастомизируют если не лень, но не тут.
Берём айпи 199.232.х.х и загоняем его в whois-
Получили адрес из рейнджей и указания на cdn провайдера Fastly.
верифицируем через их вайтлист-
https://api.fastly.com/public-ip-list создан для того, что бы потребители могли вайтлистить их в своих корп списках.
Затем в devtools в браузере смотрим куда отправляются запросы.
Тут мы получили frontapp хуки-
Теперь знаем что конкретный хост для их хелпдеска frontapp защищен fastly.
Разведка по сотрудникам и анализ веб ресурсов
Теперь к более интересному.
Нас интересуют люди для претекстинга и вебсайт для получения доп.инфы.
Начнем с людей.
Цель - найти сотрудника под которого мы будем косить для spear phishing и так же типовой адрес почты.
Это нужно, тк мы можем предположить какой формат персональной почты, но не быть увереными без поиска.
Вася Пупкин может быть v.pupkin@target.com; vasya.pupkin; vasyapupkin; v_pupkin и тп.
Простым dork находим соц.сети.
У меня линкедин-
Как раз одна из причин почему надо проводить разведку и маппинг заранее - новые таргеты.
В этом кейсе оказалось что команда сделала один сайт для проекта и другой у них мейн.
Даже это дало свои плоды тк мы видим основу и получили инфу о имейл провайдере protonmail у которого не самая жестокая спам полиси-
Вернулись к кожаным ведь нас интересует цель в виде конкретного человека с тех.привелегиями = таргет.
Полистав линкедин, внизу видим список сотрудников и вот кого можем изучать-
Зайдя на страницу сотрудника корпа можно и контактные данные найти-
Часто там указывают текущую рабочую почту-
Вернемся к сайту и пройдемся по ссылкам на соц.сети.
Х - он же Твиттер-
Даже не пришлось смотреть вглубь.
Сразу есть не маловидый человек в данной компании, у которого свой сайт блог, где есть раздел контакт-
Есть и подпсчики раблочего Х такого формата-
Все они тоже цели для более детальной разведки.
Не потому что надо всех посмотреть.
Потому что бывает что нет например рабочих адресов из какого-то инструмента, но есть связывающая зацепка.
Раскручивая появляется новый поток данных.
Подписчик с гордым head of product имеет свой проект где он файундер к примеру-
Что мешает получить рабочую почту там и подогнать под сценарий атаки в претекстинг стадии?
Ничего.
Подготовка SE претекстинга
Идеальный рецепт претекста заключается в правильной комбинации полученных данных.
1. Выбираем от чьего лица мы будем действовать.
Думаем кто действительно может отправить письмо тому или и иному сотрулнику без подозрений; кто не высоко и не низко в компании - отправить от лица главы отдела будет не просто например;
2. Подбираем инфраструктуру
Фишинг с обычного протона или gmail крайне снижает вероятность попадания в инбокс и прочтения, а уж тем более клика по ссылке; куар; файлу или вашему способу доставки пейлоада или mfa page.
Поэтому нужен схожий домен; формат пресонализированной почты; для того чтобы вообще получить ответ и влиться в доверие.
Страница OAuth гугла, если у таргета SSO тоже мало логики.
Поэтому весь стек может быть использован.
Хочешь - стань сотрудником IdP или Saas сервиса и предложи экстренный релогин из-за сбоя.
3. Форматирование контекста и повода
Обычное письмо зайдите по ссылке давно не работает.
Повод должен вписываться в повседневность компании.
Что-то вроде
- уведомление о плановом апдейте SaaS сервиса;
- запрос от смежного отдела, который редко контактирует напрямую, но делает это по делу. Например, HR пишет техспец по обновлению политики доступа;
- сценарий сбоя - ваша сессия устарела, требуется обновить доступ для продолжения работы.
Можно ещё и коллегу его в переписку включить.
4. Трастбилдинг и разогрев
- Иногда полезно растягивать кампанию и выстраивать доверие-
- предварительное письмо-напоминание без ссылок что ожидается обновление системы в течение недели;
- короткая переписка с деад адреса с вопросом - вы ведь работаете с этим сервисом?;
- подмена уведомлений внутри SaaS.
Например приглашение в новый workspace.
5. Маскировка под корп процесс
Финальный штрих - оформить всё так, будто это часть официального раб.цикла.
- оформление писем в том же стиле, что у внутренних рассылок - шапка, подпись, тон;
- имитация внутренних тикетов helpdesk, service desk;
- привязка к реальному событию.
Когда-то прошел апдейт Microsoft 365 и отправили что необходимо повторно подтвердить вход.
Это сработало.
Так что следуй флоу - создать повод; закрепить доверие; замоскировать под процесс.
Тогда AiTM раскладывается на практике, а не остается теорией.
