22.02.2017 | 09:52

Adam Haertle

Jak NIE przeprowadzać testów penetracyjnych – przykład z Polski

Duża polska firma konsultingowa została przyłapana w trakcie swoich pentestów dla jednego z klientów. Okazuje się, że defensywa klienta była przynajmniej w części skuteczna a przy okazji pokazała, jak nie używać infrastruktury.

Pewien czas temu trafiła do nas próbka czegoś, co wyglądało na całkiem niezły phishing lub APT. Im bliżej jednak się jej przyglądaliśmy, tym bardziej wyglądała nam ona na działania pentesterskie wykonywane na zlecenie – i to przez nie byle kogo, bo dużą firmę konsultingową PwC.

Taka sobie próbka

Tydzień temu na Twitterze pojawił się ciekawy wpis wyglądający następująco:

Warto było bliżej mu się przyjrzeć. Na pierwszy rzut oka wygląda jak zwykły atak z użyciem makro w dokumencie Office.

Gdy jednak spojrzymy na to, co potrafi załączone makro, jak używa PowerShella i jak przeprowadza komunikację ze światem za pomocą rekordów DNS, sprawa staje się bardziej interesująca.  Wskazuje na to dzisiejszy tweet Marcina Siedlarza, który lubi zaglądać do VirusTotal w poszukiwaniu polskich próbek.

Zacznijmy jednak od próby atrybucji. Startujemy z domeną topbrains.it.

To już mógłby być koniec procesu atrybucji – najwyraźniej rejestr domen IT utrudnia ukrycie prawdziwego podmiotu rejestrującego lub ktoś nie zwrócił na taką opcję uwagi. Co ciekawe, znakomita większość innych domen używanych przez PwC do ataków ma rekordy WHOIS całkiem przyzwoicie ukryte. Innych domen mówicie? Jakich innych domen? Odpowie na to kilka prostych wyszukiwań w VirusTotal:

Gdy sprawdzicie po kolei historię domen przypisanych do powyższych adresów IP (oraz historię adresów IP przypisanych do odkrywanych domen) to znajdziecie taką listę adresów:

2017-02-17 xn--sky-rra.com
2017-02-17 ninjabar.pl
2017-02-17 mtcs.ovh
2017-02-09 topbrains.it
2017-02-09 ninjabar.pl
2016-11-30 bakceii.com
2016-11-28 huawel.ro
2016-10-06 topbrains.it
2016-08-25 sse.net.pl
2016-07-12 pluszowafundacja.pl
2016-03-04 georgfischerag.com
2016-03-03 georgfishcer.com
2016-02-11 pwcenforce.com
2016-01-11 leasing-partner.com
2015-12-28 lubawasa.pl
2015-12-20 synthosgroup.net
2015-12-17 mabion.net
2015-12-14 suedzucker.enterprisecloudbackup.co.uk
2015-12-12 corporatesurvey.net
2015-12-03 xingmailer.com
2015-12-03 rehau.enterprisecloudbackup.co.uk
2015-12-03 enterprisecloudbackup.co.uk
2015-10-23 www.salarybenchmarks.ro
2015-10-17 vouchers4u.net
2015-10-01 salarybenchmarks.net
2015-09-15 ph.snyder24.com
2015-09-14 sse.net.pl
2015-09-01 salarybenchmarks.ro
2015-09-01 ph.snyder24.com
2015-09-01 ingnews.pl
2015-09-01 ingbank-cdn.pl
2015-09-01 bankingworld.ro
2015-08-09 topbrains.it
2015-08-07 rankingplac.pl
2015-08-03 corporatesurvey.net
2015-05-25 snyder24.com
2015-03-24 rankingplac.pl
2015-03-20 rankingplac.pl
2015-03-19 corporatesurvey.net
2015-01-09 teddythebear.net
2015-01-09 corposolutions.net

Jeśli któraś domena pojawia się więcej niż 1 raz, to dlatego, że była przenoszona między różnymi adresami IP. Niektóre adresy pokazują nazwy prawdopodobnych klientów, inne także wskazują na stosowane metody przekonywania pracowników atakowanej firmy do kliknięcia w załącznik – np. rankingplac.pl. Ta domena z kolei prowadzi do próbek takich jak ta czy ta, gdzie możecie pooglądać, jak prowadzona jest komunikacja tunelowana przez zapytania DNS.

Podsumowanie

Prowadzenie testów penetracyjnych to ciekawe zajęcie, które zapewne wielu z naszych Czytelników daje dużo radości i satysfakcji. Warto jednak pamiętać, że po drugiej stronie także siedzą nie tylko użytkownicy klikający w każdego linka, ale też osoby podobne do pentesterów, które mogą przesłany załącznik wrzucić do VirusTotala czy Hybrid Analysis. A wtedy lepiej, by adres IP, do którego prowadzą, nie pokazywał sporej części używanego arsenału przynęt oraz domen podobnych do adresów niektórych klientów z ostatnich dwóch lat pracy…

PS. Skrypty w PowerShellu i komunikacja po DNS są naprawdę fajnie zrobione.

Powrót

Komentarze

  • 2017.02.22 11:03 Radosław Rumian

    Łeee, tytuł i wstęp brzmi co najmniej jakby położyli produkcyjną infre u klienta :P

    Odpowiedz
    • 2017.02.22 15:59 Filip

      No bez jaj, o co całą drama.

      Odpowiedz
      • 2017.02.22 16:23 Waz

        drama o to że jak ktoś śmiał wziąć inną firmę niż tą polecaną przez z3s

        Odpowiedz
        • 2017.02.22 16:26 Adam

          A kogo polecamy?

          Odpowiedz
          • 2017.02.22 18:07 B&B

            A kogo reklamowaliście? Securitum?

            Ale artykuł fajny, szczególnie dla ludzi spoza branży.

        • 2017.02.22 22:31 RetroSexualny

          piszę się brandzly, nie btanży ! „ludzi z poza brandzly” chłopaku, chłopcze menszczyzno :)

          Odpowiedz
  • 2017.02.22 17:06 ,fkgtrhfkgjk

    fuszerka bo perprojekt/klient zaczynasz od nowa a nie w starej gumie ;*

    Odpowiedz
  • 2017.02.22 17:26 Xn

    Ten przykład na obrazku wygląda mi na przykład testów penetracyjnych typu Saudi Sh3ll, a nie na polskie. By al-swisre.

    Odpowiedz
  • 2017.02.22 18:11 Xxxx

    I pomyslec ze xx lat relu Siedlarz po okresie probnym nie zakwalifikowal sie aby zostac w dziale IT ;-)

    Odpowiedz
  • 2017.02.22 21:17 g.

    Moi nie-ulubieńcy ;D
    Jednemu z klientów też takiego niezapowiedzianego faila chcieli w ramach „audytu” serwerowni zrobić. Po mailu z pytaniem „ale o co chodzi?” ciiiiisza.
    Taki ład korporacyjny u nich panuje…

    Odpowiedz
  • 2017.02.23 10:00 Dimitri

    Polecam poprawić. :)
    http://sjp.pwn.pl/zasady/;629580

    Odpowiedz

Zostaw odpowiedź do Adam

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Jak NIE przeprowadzać testów penetracyjnych – przykład z Polski

Komentarze