Архив рубрики: Для подписчиков

Рассылка электронных писем от чужого имени

При социотехническом тестировании на проникновение (социальная инженерия) желательно максимально повысить уровень доверия к письмам. Поэтому используются разные методы «подделки писем». Получение письма от знакомого адресата сильно повышает уровень «пробоя» при рассылках. Один из способов — это подделать e-mail адрес отправителя. И как не странно, это сделать очень легко, зная особенности протокола SMTP. Несколько способов, с помощью которых это можно сделать мы опишем в этой статье.

Анатомия атаки

При отправке писем по протоколу SMTP передается множество служебных заголовков и не на всех серверах корректно работают проверки (даже крупные почтовые службы часто игнорируют такие проверки, что открывает широкие возможности по использованию данной уязвимости).

Для продолжения чтения этой статьи требуется подписка. Войти или Оформить подписку.

Доставка Payload в ярлыке (LNK файл)

В данной статье рассказывается о доставке полезной нагрузки (или загрузчика полезной нагрузки) в Windows-системы в файле ярлыка (LNK файл). Этот способ доставки полезной нагрузки работает во всех системах Windows (XP, Vista, 7, 10, 2008, 2008 r2, 2012, 2012 r2, 2016).
Плюсы данного метода:

  • многие спам-сканнеры пропускают LNK файлы;
  • многие антивирусы не проверяют LNK файлы;
  • относительно высокое доверие пользователей;
  • не требует дополнительных действий пользователя после запуска.

На примере рассматривается доставка powershell загрузчика, рассмотренного в статье Доставка Payload с помощью Powershell. Так же, с помощью данного метода можно доставить любую другую полезную нагрузку, но с условием, что она записана одной строкой (не используются символы перевода строки: CR и LF).
Для PowerShell скрипта, на основе которого создан пример требуется все команды вытянуть в одну строку и разделить символом ; (точка с запятой).

В итоге мы получим скрипт:

Для продолжения чтения этой статьи требуется подписка. Войти или Оформить подписку.

Доставка Payload с помощью Powershell

При проведении внешнего тестирования на проникновение часто требуется использовать социальную инженерию для преодоления внешнего сетевого периметра компании. Например запуск на рабочей станции какого-либо Payload с функцией обратного подключения и создания туннелей. Чаще всего подобные тесты проходят с помощью доставки пользователям различных видов Remote Administration Tool (RAT) и прочело специализированного ПО, но многие почтовые сервера не пропускают исполняемые файлы, да и многие пользователи боятся открывать неизвестные исполняемые файлы. Поэтому приходится использовать различные скрипты для доставки полезной нагрузки. Например JScript и VBScript (Примеры данных скриптов описаны в статье: JScript и VBScript для доставки Payload). Но так же можно использовать и PowerShell скрипты.
Как написать такой скрипт, описывается в данной статье.

Для начала создадим файл downloader.ps1 и поместим в него следующий код:

Для продолжения чтения этой статьи требуется подписка. Войти или Оформить подписку.

JScript и VBScript для доставки Payload

Когда в рамках тестирования на проникновение требуется доставка payload нагрузки в тестируемую инфраструктуру (в качестве цели рассматриваем систему под управлением Microsoft Windows) с использованием человеческого фактора (например социальная инженерия), то существует множество способов доставки (например фишинговая почтовая рассылка, которая описывается в статьях: Gophish Framework. Установка фреймворка для фишинга и Gophish Framework. Создание фишинговой рассылки), но многие пользователи не открывают исполняемые exe файлы, а так же многие почтовые сервера не пропускают письма с исполняемыми файлами. Поэтому попробуем написать скрипт, который будет загружать payload со внешнего сервера и запускать его.

Вариантов скрипта будет два:

  • скрипт на JScript;
  • скрипт на VBScript.

Они оба могут быть запущены пользователем из Userspace, что приведет к загрузке требуемого payload.

JScript

Код нужно сохранить в файл название.js.

Для продолжения чтения этой статьи требуется подписка. Войти или Оформить подписку.