R

ozwój gotowych usług umożliwia wielu firmom przeniesienie całości lub części swojej infrastruktury, która była wcześniej ukryta w dedykowanym centrum danych do środowisk chmurowych. Oznacza to, że część informacji o usługach danej firmy można obecnie odkryć poprzez rekonesans w sposób, który w przeszłości nie zawsze był taki łatwy lub możliwy np. poprzez używanie widoków dla wewnętrznych i zewnętrznych stref DNS w celu ukrycia wewnętrznych domen firmowych. Istnieje wiele technik, które mogą przedstawić nam jakie domeny należą do konkretnej firmy np. rWHOIS, DNS, TLS itd., jednak wraz z pojawieniem się środowisk chmurowych dane te można pozyskać w dodatkowy sposób. Na dzień dzisiejszy firma Microsoft nadal dominuje w świecie IT dla przedsiębiorstw, a korzeniem każdej, większej firmy jest “drzewo” Active Directory, które służy do zarządzania grupami, użytkownikami, politykami i domenami w środowisku IT. Teraz, gdy coraz więcej wewnętrznych usług Active Directory zaczęło być przenoszonych na platformę chmurową Azure firmy Microsoft, badacze bezpieczeństwa mogą wykorzystywać te usługi do odkrywania domen przypisanych do konkretnej organizacji z bardzo wysokim poziomem pewności, co do informacji zwrotnej i bez polegania na (czasami) niespójnych danych z serwisów zewnętrznych. Nestori Syynimaa w tym celu stworzył moduł AADInternals PowerShell do przeprowadzania prac administracyjnych na usłudze Azure AD oraz Office 365. Jeśli nie potrafimy posługiwać się interpreterem poleceń PowerShell nie musimy się martwić, ponieważ twórca AADInternals udostępnił również internetowe narzędzie “OSINT“, aby rekonesans domen był znacznie łatwiejszy i bardziej dostępny dla większego grona użytkowników. Umożliwia ono uzyskanie ogólnodostępnych informacji na temat określonego najemcy (ang. tenant) usługi za pomocą interfejsów API Azure. Szczegóły są zwracane tylko dla pierwszych 20 domen. Jeśli trafimy na więcej pozycji niestety musimy użyć modułu PowerShell, aby uzyskać pełne informacje. Dla przykładu działania możemy odpytać się o takie domeny jak: ebay.com, bbc.co.uk lub olx.com.

Więcej informacji: Just looking: Azure Active Directory reconnaissance as an outsider

P

rojekt LOTS jest zestawieniem serwisów, które mogą posłużyć w zupełnie innym celu niż zostały stworzone. Obok takich projektów, jak: Living Off The Land Binaries (Żyjąc Z Wbudowanych Binarek) oraz GTFOBins pokazuje, jak można użyć “popularnych” i o “dobrej reputacji” serwisów do przeprowadzenia wybranych ataków przez cyberprzestępców. Mogą one zostać użyte do przeprowadzenia phishingu, hostowania C&C, eksfiltracji danych oraz pobierania własnych, szkodliwych narzędzi z poziomu sieci wewnętrznej w celu uniknięcia wykrycia swojej obecności.

Przykład: Analizując wpisy DNS określonej firmy atakujący zauważył, że aktywnie korzysta ona z ekosystemu usług firmy Microsoft (Office 365). Posiadając tą wiedzę tworzy on kampanię phishingu wymierzoną w tą firmę, a jako link do kliknięcia wykorzystuje usługę OneDrive: https://*.files.1drv.(com|ms). Ze względu na fakt, że pracownicy tej firmy zapewne bardzo często spotykają z tego typu linkami współdzieląc między sobą różnego rodzaju dokumenty i pliki to istnieje większe prawdopodobieństwo, że ktoś kliknie w ten link i pobierze złośliwe oprogramowanie.

Przy pozytywnej infekcji komputera narzędzia umożliwiające dalsze poruszanie się w głąb sieci firmowej w poszukiwaniu poufnych danych lub zasobów o wysokiej wartości (ang. lateral movement) mogą zostać ściągnięte poprzez stworzenie wiadomości e-mail; dodanie skompresowanego, binarnego załącznika, który będzie miał fałszywe rozszerzenie .txt); kliknięcie na załącznik w celu pobrania jego linku (link jest ważny przez 15 minut) i ściągnięcia narzędzia z mało podejrzanego adresu: attachment.outlook.live.net lub attachments.office.net.

Po zdobyciu interesujących artefaktów dane mogą zostać wyprowadzone z firmy poprzez stworzenie webaplikacji w domenie *.azurewebsites.net lub *.cloudapp.azure.com i za pomocą protokołu HTTPS przesyłane do niej POST-porcjami.

Więcej informacji: LOTS Project

W

iele firm zamiast wystawiać w internecie swoje usługi na przypisanych do nich blokach IP (ASN) w coraz większym stopniu polegają na usługach chmur publicznych, takich jak Amazon AWS, Microsoft Azure czy Google Cloud Platform. Ponieważ infrastruktura chmury publicznej szybko staje się normą, podczas rozpoznawania zasobów danej firmy można stracić wiele obiektów skanując tylko zakresy sieci tej organizacji. Jeśli chcemy osiągnąć szybkie i najczystsze wyniki możemy połączyć ze sobą narzędzia: masscan oraz tls-scan. Oto jak hipotetycznie przeskanować zakres adresów IP i certyfikaty największych dostawców chmury publicznej w celu identyfikacji ich zasobów.
[ czytaj całość… ]