Kami menerbitkan artikel yang mengikuti jejak kinerja kami di Fast Track OFFZONE-2019 dengan laporan "Fishnet menangani - bagaimana Microsoft Azure membantu dalam melakukan serangan phishing."
Saat melakukan serangan phishing dengan distribusi lampiran berbahaya, masalah utama adalah untuk memotong filter spam pada server email korban. Banyak perusahaan memiliki surat di cloud Microsoft - jadi Anda benar-benar harus menjadi guru milis agar lampiran jahat lolos dari filter spam terlatih Microsoft.
Saat melakukan RedTeam, kami mencoba menggunakan cara legal yang digunakan pengguna. Misalnya, keberadaan layanan VPN di perusahaan membantu kami masuk ke perusahaan dengan hak pengguna dan pada saat yang sama menyebabkan kecurigaan minimum (atau tidak menyebabkan sama sekali).
Ada ide untuk melihat bagaimana Microsoft dapat membantu kami. Kami melihat perlindungan seperti apa yang disediakan oleh Microsoft dan memutuskan untuk melihat binatang seperti apa Perlindungan Informasi Azure itu.
Perlindungan informasi biru
Dalam studi ini, kami akan mempertimbangkan Azure Information Protection (AIP), alat yang memungkinkan Anda untuk mengklasifikasikan dokumen sesuai dengan tingkat kerahasiaannya dan membatasi akses ke mereka untuk berbagai pengguna organisasi.
Sangat mudah digunakan - perangkat lunak diunduh, dengan bantuan yang hak-haknya dapat ditetapkan untuk setiap dokumen. Label dan tingkat privasi dikonfigurasikan untuk setiap perusahaan - administrator memiliki hak dan kewajiban seperti itu. Secara default, hanya 2 level yang dibuat - Rahasia dan Sangat Rahasia.
Dimungkinkan juga untuk memungkinkan akses ke pengguna individu dan memberikan mereka hak untuk menggunakan dokumen. Misalnya, jika Anda memerlukan pengguna tertentu untuk tidak dapat mengubah apa pun dalam dokumen, tetapi untuk menerima informasi, Anda dapat mengatur mode Penampil khusus untuknya.
Perlindungan Informasi Azure terintegrasi dengan Office365 dan pengguna tidak memerlukan perangkat lunak tambahan untuk membuka dokumen dan melakukan tindakan yang diizinkan dengannya (mulai dari membaca hingga mengedit dan hak penuh atas dokumen).
Saat menggunakan AIP bukan untuk Office365 - dokumen yang dilindungi memiliki ekstensi pfile dan tidak mungkin untuk membukanya tanpa Penampil Perlindungan Informasi Azure.
Secara umum, solusinya tampak menarik dan kami memutuskan untuk melakukan penelitian.
Untuk penelitian ulang, kami membutuhkan:
- pilih dan daftarkan akun Microsoft yang cocok untuk kami
- daftar 2 perusahaan (penyerang dan korban)
- buat dokumen jahat yang akan kami kirim dalam email phishing
Pendaftaran akun Microsoft
Untuk penelitian ini, kami memilih akun bisnis Microsoft karena memiliki Azure Information Protection. AIP juga dalam rencana tarif lainnya, mereka dapat ditemukan di
sini .
Kami tidak akan menjelaskan secara rinci kesulitan apa yang harus dihadapi saat mendaftar akun. Kami akan menulis secara singkat - tidak mungkin mendaftarkan akun bisnis Anda sendiri dari Rusia. Semua karena sanksi. Tetapi Anda dapat beralih ke mitra (perusahaan resmi, ada 4 di Rusia) atau mendaftar berlibur dari Eropa, setelah sebelumnya membeli kartu SIM lokal di sana.
Terdaftar 2 perusahaan. 1 perusahaan - perusahaan korban MyMetalCompany dengan domain mymetalcompany.club dan dua pengguna - Petr Petrov, Vasya Vasechkin. Perusahaan korban tidak menggunakan AIP.
2 perusahaan - perusahaan yang menyerang - Perusahaan Gem dengan domain standar dari Microsoft - gemcompany.onmicrosoft.com dan satu-satunya pengguna - Pengguna Jahat, yang akan mengirim email phishing ke Petrov dan Vasechkin.
Pengguna Jahat akan melakukan percobaan dengan dokumen jahat, yang diklasifikasikan sebagai DDEDownloader - dokumen dengan tautan bawaan tempat skrip shell daya diunduh dan diluncurkan pada baris perintah. Perusahaan Gem menggunakan AIP.
Pengujian
Ingatlah bahwa tujuan utama kami adalah membuat dokumen jahat meneruskan filter spam dan menjangkau pengguna di folder Kotak Masuk.
Hal pertama yang harus diperiksa adalah apakah dokumen jahat sampai ke pengguna jika kami mengirimnya dalam apa yang disebut "formulir bersih". Kami akan mengirimkan dokumen yang baru saja dihasilkan dari Pengguna Jahat ke Kamerad Vasechkin.
Hasilnya dapat diprediksi - Microsoft tidak menyukai surat kami dan ia memutuskan bahwa Vasechkin tidak layak untuk memperhatikan sampah semacam itu. Sebenarnya, surat itu tidak sampai ke Vasechkin.
Kami akan mencoba menggunakan Azure Information Protection bahwa hanya Vasechkin yang dapat membaca dokumen dalam mode baca. Mengapa hanya dalam mode baca? Karena itu penting bagi kami bahwa pengguna membuka dokumen, dan tindakan apa yang dapat ia lakukan dengan dokumen ini sama sekali tidak peduli. Karena itu, mode membaca sudah cukup. Perhatikan bahwa kami tidak mengubah apa pun dalam dokumen. Kami cukup menetapkan batasan untuk bekerja dengan dokumen. Lalu ada beberapa keajaiban dengan enkripsi, yang mengatur AIP, tetapi dalam penelitian ini kami tidak peduli.
Kami akan mengirim dokumen seperti itu ke Petrov dan Vasechkin. Mari kita lihat apa yang akan terjadi pada mereka masing-masing. Perhatikan bahwa Petrov umumnya tidak memiliki hak untuk bekerja dengan dokumen tersebut.
Hal pertama yang harus Anda perhatikan adalah bahwa dokumen jahat berakhir di kotak masuk Petrov dan Vasechkin!
Vasechkin dengan tenang membuka dokumen menggunakan Microsoft Word. Dia tidak membutuhkan perangkat lunak tambahan.
Kami melihat bahwa akses terbatas, tetapi semua isi dokumen juga terlihat.
Poin lain - dokumen yang dilindungi oleh AIP hanya dapat dibuka di Word, mis. Anda tidak dapat melihatnya dalam mode tampilan di klien email atau dalam beberapa layanan online.
Situasi Petrov adalah sebaliknya - ia tidak dapat membuka dokumen, karena ia βtidak memiliki dokumenβ (seperti yang mereka katakan dalam satu kartun terkenal).
Dari minus - Anda dapat melihat akun di mana mereka melindungi dokumen menggunakan AIP. Ini mungkin memberikan semacam petunjuk bagi BlueTeam ketika menyelidiki insiden tersebut. Jika tidak, semuanya berfungsi sesuai dengan aturan yang kami tetapkan.
Hebat, tapi apa yang terjadi jika kita mencoba untuk menempatkan tingkat privasi saja? Kami tidak memerlukan siapa pun untuk dapat membuka dokumen - hal utama dalam penelitian ini adalah masuk ke kotak masuk.
Mereka mencoba mengatur tingkat kerahasiaan dokumen - dokumen dipotong dengan filter spam.
Juga, pembatasan dapat diatur pada surat itu. Add-on muncul di klien Outlook, yang memungkinkan Anda untuk menetapkan batasan pada surat itu, dan mereka (sesuai dengan bagaimana Microsoft menulis dalam dokumentasi) berlaku untuk seluruh konten surat, termasuk lampiran. Add-on muncul jika pengguna menggunakan AIP. Dalam kasus kami, Pengguna Jahat menggunakannya dan memiliki add-on seperti itu.
Mereka mencoba menempelkan label Sangat Rahasia pada surat itu dengan lampiran - surat itu tidak masuk ke kotak masuk.
Kami memahami bahwa "untuk semua pengguna" tidak boleh ditetapkan, karena "semua pengguna" juga termasuk akun layanan yang memeriksa surat masuk untuk malware.
Sistem pelacakan
Salah satu fitur keren AIP adalah sistem pelacakan, yang memungkinkan Anda untuk menentukan siapa, kapan dan dari mana membuka dokumen atau mencoba membuka.
Dalam hal ini, kita melihat bahwa Petrov mencoba membuka dokumen itu, tetapi dia tidak berhasil. Dan Vasechkin membuka dokumen itu. Saat melakukan serangan phishing, sistem seperti itu - hanya penyelamatan - Anda tidak perlu memikirkan apa pun, kami segera melihat apakah teman yang Anda buka adalah lampiran atau tidak.
Anda juga dapat mengonfigurasi sistem notifikasi sehingga email masuk saat Anda mencoba membuka dokumen.
Kesimpulan
Tujuan dari penelitian ini adalah untuk mem-bypass filter spam Microsoft menggunakan Microsoft sendiri (menggunakan cara perlindungan yang ditawarkan oleh perusahaan).
- Sasaran berhasil dicapai dengan satu komentar - Anda perlu menggunakan AIP khusus untuk menetapkan hak akses untuk pengguna tertentu. Melewati fitur keamanan lainnya - antivirus, sistem deteksi intrusi yang diaktifkan ketika dokumen dibuka (kami mengambil dokumen berbahaya yang sengaja terdeteksi oleh semua fitur keamanan) - tergantung pada imajinasi Anda. Kami hanya mencari surat di kotak masuk.
- Perlindungan Informasi Azure hanya berfungsi untuk pengguna Office365 resmi (ini adalah keajaiban enkripsi). Di hampir semua organisasi, pengguna masuk ke Office365 dan tidak ada kesulitan. Tetapi menganggap fakta ini perlu.
- Sistem pelacakan pada umumnya adalah hal yang sangat bagus dan nyaman serta praktis untuk menggunakannya.
- Menggunakan AIP untuk melindungi dokumen (sehingga berbicara untuk tujuan yang dimaksudkan) juga keren dan akan membuat sakit kepala bagi penyerang - akses ke dokumen menjadi lebih sulit diperoleh.
Presentasi dari presentasi tersebut dapat ditemukan di
GitHub kami.
Terima kasih kepada penyelenggara OFFZONE untuk konferensi ini! Itu menarik!