Still phishing (Phishing blog #2)

Still phishing (Phishing blog #2)

DearBytesBlogStill phishing (Phishing blog #2)

woensdag 13 mei 2015

In het vorige phishing blog beschreef ik hoe phishing steeds vaker wordt ingezet om bedrijven binnen te dringen. In dit blog ga ik verder in op de praktische aanpak van een phishing aanval.. Een aanvaller die een organisatie phisht is op zoek naar iets en door diverse technieken te gebruiken, levert dit verschillende informatie op. Volledige toegang tot een systeem lijkt de beste techniek en biedt toegang tot alle data, maar de kans dat dit gedetecteerd wordt is ook het grootst. Het kiezen van de juiste aanpak is stap één. Stap twee is het vinden van de juiste doelwitten. Het ideale doelwit beschikt over de benodigde informatie en het liefst niet over uitvoerige technische kennis.

Verschillende aanvalspunten

Niet het uiteindelijke doel maar “a means to an end”, waar willen we uiteindelijk uitkomen? Zoals eerder aangegeven biedt volledige toegang tot een systeem het grootste risico, maar uiteindelijk ook de grootse reward. Toegang tot het systeem levert ons de volgende mogelijkheden:

  • Toegang tot de bestanden van de gebruiker
  • Toegang tot de netwerkschijf
  • Toegang tot de email van de gebruiker
  • Toegang tot het interne netwerk van de organisatie

Een andere mogelijkheid is het verkrijgen van een geldige gebruikersnaam en wachtwoord zolang de gebruiker niet het gevoel heeft dat de gegevens zijn gelekt kan dit langdurig onherkend blijven. Techniek om er voor te zorgen dat de gebruiker niet gealarmeerd raakt wordt later toegelicht. Gebruikmakend van gebruikersnamen en wachtwoorden verkrijgen we de volgende mogelijkheden:

  • Toegang tot de webmail
  • Toegang tot het werknemers Wi-Fi
  • Toegang tot webservices van de organisatie (Thuiswerken, filesharing of intranet)

Een andere interessante aanpak is gebruik te maken van een kwetsbaarheid in een webapplicatie die de organisatie gebruikt. Stel de organisatie stelt een webapplicatie beschikbaar om supportvragen van klanten te ontvangen. De website bevat een cross-site scripting kwetsbaarheid die het mogelijk maakt om aanvullende JavaScript uit te voeren wanneer de vraag bekeken wordt. Afhankelijk van de situatie is het mogelijk de sessie van de werknemer die de klantvraag bekijkt over te nemen. Toegang tot het beheerportaal biedt ons de volgende mogelijkheden:

  • Toegang tot de klantvragen
  • Toegang tot het account van de werknemer (mogelijk om hiermee collegae te phishen/ gevoelige gegevens te stelen)
  • Toegang tot het portaal, vanuit hier is het mogelijk te zoeken naar kwetsbaarheden als ingelogde gebruiker

Aanvalsvectoren

De bovenstaande doelen kunnen op verschillende manieren bereikt worden in alle situaties is het van belang de gebruiker zo min mogelijk te alarmeren, zodra de gebruiker naar systeembeheer stapt is de pakkans groot.  Toegang verkrijgen tot het systeem is op verschillende manieren mogelijk, uiteindelijk is het een kwestie van code uitvoeren op het systeem van de gebruiker. Er zijn verschillende manieren om dit te doen:

Toezenden van een uitvoerbaar bestand

Screenshot from 2015-04-02 16:38:25

Voorbeeld van een Microsoft Office macro.

 

Het toezenden van een uitvoerbaar bestand is het eenvoudigst om toegang te verkrijgen tot het systeem van de gebruiker. Het sturen van een .exe bestand wordt vaak door spam oplossingen gedetecteerd en direct verwijderd. Helaas geldt dit nog niet voor iedere organisatie. De ervaring leert dat de ontvanger toch klikt, zolang er een plausibel verhaal bij het bestand wordt gestuurd. Toch is het mogelijk werknemers hiervoor weerbaar te maken door phishing aanvallen te simuleren. Een reëlere aanpak is de .exe verpakken in een onschuldiger uitziende verpakking. Verschillende ransomware varianten maken hier gebruik van door een .scr bestand te sturen, deze bestands-extensie staat binnen Windows geregistreerd als sceensaver.

Een aanpak die wij zelf toepassen maakt gebruik van Microsof Office macro’s, macro’s kunnen gebruikt worden om bepaalde zaken te automatiseren in bijvoorbeeld Word of Excel. Een werknemer ontvangt een email vanuit de CEO met gevoelige informatie in een Excel bestand, per ongeluk in de mailbox van de werknemer beland. De email beschrijft dat het Excel bestand met de plannen voor een reorganisatie beveiligd is met een wachtwoord. Het wachtwoord “Geheim04!” kan ingevuld worden na het activeren van de macro. Om te voorkomen dat de gebruiker achterdochtig raakt zodra er geen uitgebreide plannen verschijnen wordt er vervolgens een foutmelding gegenereerd. De werknemer neemt geen contact op met systeembeheer over een corrupt Excel bestand, deze had de gegevens immers nooit in mogen zien.

Client-side exploits

shell

Exploit via Internet Explorer

 

Client-side exploits klinkt chique maar betekend simpel gezegd: exploits zijn programma’s/codes om misbruik te maken van een kwetsbaarheid in een applicatie de toevoeging client-side duide op applicaties die door reguliere gebruikers worden ingezet. Denk aan een kwetsbaarheid in een webbrowser, de email client of Microsoft Word, wanneer de gebruiker het bestannd opent of bekijkt wordt de kwetsbaarheid uitgebuit. Afhankelijk van het type kwetsbaarheid heeft dit tot gevolgd dat er aanvullende code uitgevoerd kan worden via deze applicatie. Door gebruik te maken van exploits krijgt de gebruiker te zien wat de gebruiker verwacht zonder zelf actie te ondernemen. Een voorbeeld hiervan hebben we vorige Info Security beurs gedemonstreerd: Een email van een collega met daarin een verwijzing naar een actualiteit vergezeld met een link naar het nu.nl artikel. Zodra de gebruiker op de link klikt wordt deze verwezen naar een namaak pagina van het origineel, op de achtergrond werdt een exploit voor Flash ingeladen. Via een bufferoverflow was het mogelijk aanvullende code uit te voeren om zo toegang te verkrijgen tot het systeem van de gebruiker.

Het nadeel van deze aanpak is dat exploits vaak voor crashes van de applicatie zorgen, hoe beter de exploit hoe kleiner de kans maar deze zijn vaak niet publiek beschikbaar. Verder worden veel publiek beschikbare exploits herkend door anti-virus oplossingen, dit betekend dat een aanvaller de code moet aanpassen om detectie te voorkomen.

Phishing page

Screenshot from 2015-04-02 16:41:20

Phishing pagina.

 

Een pagina met daarop een namaak van het origineel om de gebruiker zo te verleiden zijn of haar gebruikersgegevens op te geven. Bij deze aanval wordt getracht om de gebruiker te verleiden zijn of haar gebruikersnaam en wachtwoord op te geven. De kunst van dit type aanval is de gebruiker zo snel mogelijk de gegevens op te laten geven en direct daarna het gevoel geven dat alles goed is en er verder niets meer hoeft te gebeuren. Een voorbeeld hiervan is door de werknemer een email te sturen vanuit het hoofd IT in het kader van een kostenbesparing wordt de email gemigreerd naar de cloud, deze migratie heeft afgelopen weekend plaatsgevonden. De email bevat ook een link naar de nieuwe cloud email pagina, de inlog pagina kan een clone zijn van de huidige webmail inlog pagina. Nu is het de kunst de gebruiker op zijn gemak te stellen, zodra de gebruiker zijn gegevens opgeeft is het namelijk niet mogelijk zijn email te tonen. Dit kan door de gebruiker door te sturen naar de foutpagina van de echte email. De gebruiker denkt dat het wachtwoord fout is ingetikt tikt het opnieuw in en is ingelogd om weer verder te werken.

Dit is voldoende voor deze aflevering van het Phish blog, volgende keer gaan we verder in op de vervolgstappen na exploitatie.