Estamos publicando um artigo seguindo os passos de nosso desempenho no Fast Track OFFZONE-2019 com o relatório "Ofertas de redes de pesca - como o Microsoft Azure ajuda na execução de um ataque de phishing".
Ao realizar um ataque de phishing com a distribuição de anexos maliciosos, o principal problema é ignorar os filtros de spam no servidor de correio da vítima. Muitas empresas têm e-mail na nuvem da Microsoft - então você realmente precisa ser um guru da lista de mala direta para que um anexo mal-intencionado escape dos filtros de spam treinados pela Microsoft.
Ao conduzir o RedTeam, tentamos usar meios legais que os usuários usam. Por exemplo, a presença de um serviço de VPN na empresa nos ajuda a entrar na empresa com direitos de usuário e, ao mesmo tempo, causar um mínimo de suspeita (ou nenhuma causa).
Havia uma ideia para ver como a Microsoft pode nos ajudar. Examinamos que tipo de proteção a Microsoft oferece e decidimos ver que tipo de animal é esse Azure Information Protection.
Proteção de informações do Azure
Neste estudo, consideraremos o Azure Information Protection (AIP), uma ferramenta que permite classificar documentos de acordo com seu grau de confidencialidade e restringir o acesso a eles para diferentes usuários da organização.
É muito simples de usar - o software é baixado, com a ajuda da qual determinados direitos podem ser definidos para cada documento. Os rótulos e os níveis de privacidade são configurados para cada empresa - o administrador possui esses direitos e obrigações. Por padrão, apenas dois níveis são criados - Confidencial e Altamente Confidencial.
Também é possível permitir o acesso a usuários individuais e atribuir direitos a eles para usar o documento. Por exemplo, se você precisar de um usuário específico para poder alterar nada em um documento, mas receber informações, poderá definir o modo Visualizador especificamente para ele.
O Azure Information Protection está integrado ao Office365 e o usuário não precisa de software adicional para abrir o documento e executar as ações permitidas com ele (da leitura às edições e todos os direitos do documento).
Ao usar o AIP não para o Office365 - o documento protegido tem a extensão pfile e não é possível abri-lo sem o Azure Information Protection Viewer.
Em geral, a solução parecia interessante e decidimos realizar um estudo.
Para reshech, precisamos:
- escolha e registre uma conta Microsoft adequada para nós
- registrar 2 empresas (atacante e vítima)
- crie um documento malicioso que enviaremos em um email de phishing
Registro de conta da Microsoft
Para este estudo, escolhemos uma conta comercial da Microsoft porque ela possui o Azure Information Protection. A AIP também está em outros planos tarifários, eles podem ser encontrados
aqui .
Não descreveremos em detalhes quais dificuldades foram encontradas ao registrar uma conta. Escreveremos brevemente - é impossível registrar uma conta comercial por conta própria da Rússia. Tudo por causa de sanções. Mas você pode procurar parceiros (empresas oficiais, existem 4 na Rússia) ou se registrar em férias na Europa, tendo comprado anteriormente um cartão SIM local.
Registradas 2 empresas. 1 empresa - a empresa vítima MyMetalCompany com o domínio mymetalcompany.club e dois usuários - Petr Petrov, Vasya Vasechkin. A empresa vítima não usa AIP.
2 empresa - a empresa atacante - Gem Company com um domínio padrão da Microsoft - gemcompany.onmicrosoft.com e o único usuário - Evil User, que enviará emails de phishing para Petrov e Vasechkin.
O Evil User realizará um experimento com um documento malicioso, classificado como DDEDownloader - um documento com um link embutido pelo qual o script do shell de energia é baixado e iniciado na linha de comando. A Gem Company usa AIP.
Teste
Lembre-se de que nosso principal objetivo é fazer com que o documento malicioso passe pelos filtros de spam e alcance o usuário na pasta Caixa de entrada.
A primeira coisa a verificar é se um documento malicioso chega ao usuário se o enviarmos no chamado "formulário limpo". Enviaremos o documento acabado de gerar do Usuário do Mal para o camarada Vasechkin.
O resultado foi previsível - a Microsoft não gostou da nossa carta e ele decidiu que Vasechkin não valia a pena prestar atenção a esse lixo. Na verdade, a carta não chegou a Vasechkin.
Vamos tentar colocar no Azure Information Protection que apenas Vasechkin pode ler um documento no modo de leitura. Por que apenas no modo de leitura? Porque é importante para nós que o usuário abra o documento e que ações ele pode executar com este documento é completamente indiferente. Portanto, o modo de leitura é suficiente. Observe que não alteramos nada no documento. Simplesmente estabelecemos restrições ao trabalho com o documento. Depois, há alguma mágica com criptografia, que organiza o AIP, mas neste estudo não nos importamos.
Enviaremos esse documento para Petrov e Vasechkin. Vamos ver o que vai acontecer para cada um deles. Observe que Petrov geralmente não tem direitos para trabalhar com o documento.
A primeira coisa que você deve prestar atenção é que o documento malicioso acabou nas caixas de entrada de Petrov e Vasechkin!
Vasechkin calmamente abre o documento usando o Microsoft Word. Ele não precisa de nenhum software adicional.
Vemos que o acesso é limitado, mas todo o conteúdo do documento também é visível.
Outro ponto - um documento protegido pelo AIP pode ser aberto apenas no Word, ou seja, você não pode vê-lo no modo de visualização no cliente de email ou em alguns serviços online.
A situação de Petrov é o oposto - ele não pode abrir o documento, porque "não possui documentos" (como dizem em um famoso desenho animado).
Das desvantagens - você pode ver a conta na qual eles protegeram o documento usando o AIP. Isso pode fornecer algum tipo de pista para o BlueTeam ao investigar o incidente. Caso contrário, tudo funcionará de acordo com as regras que definimos.
Ótimo, mas o que acontece se tentarmos colocar apenas os níveis de privacidade? Não precisamos que ninguém seja capaz de abrir o documento. O principal neste estudo é entrar na caixa de entrada.
Eles tentaram definir o nível de confidencialidade do documento - o documento foi cortado com um filtro de spam.
Além disso, restrições podem ser definidas na carta. Um complemento é exibido no cliente Outlook, que permite definir restrições na carta e elas (de acordo com a forma como a Microsoft escreve na documentação) se aplicam a todo o conteúdo da carta, incluindo anexos. O complemento aparece se o usuário estiver usando o AIP. No nosso caso, o Evil User o utiliza e possui um complemento desse tipo.
Eles tentaram colocar o rótulo Altamente Confidencial na carta com o anexo - a carta não entrava na caixa de entrada.
Entendemos que "para todos os usuários" não deve ser definido, porque "todos os usuários" também incluem contas de serviço que verificam as mensagens recebidas quanto a malware.
Sistema de rastreamento
Um dos recursos interessantes do AIP é o sistema de rastreamento, que permite determinar quem, quando e de onde abriu o documento ou tentou abrir.
Nesse caso, vemos que Petrov tentou abrir o documento, mas ele não teve sucesso. E Vasechkin abriu o documento. Ao realizar um ataque de phishing, esse sistema - apenas a salvação - você não precisa pensar em nada, imediatamente vemos se o amigo que você abriu é o anexo ou não.
Você também pode configurar o sistema de notificação para que um e-mail chegue ao tentar abrir um documento.
Conclusões
O objetivo do estudo era ignorar os filtros de spam da Microsoft usando a própria Microsoft (usando os meios de proteção oferecidos pela empresa).
- O objetivo foi alcançado com sucesso com uma observação - você precisa usar o AIP especificamente para definir direitos de acesso para usuários específicos. Ignorar outros recursos de segurança - antivírus, sistemas de detecção de intrusão que são ativados quando o documento é aberto (pegamos um documento deliberadamente malicioso que é detectado por todos os recursos de segurança) - depende da sua imaginação. Buscamos apenas letras na caixa de entrada.
- A Proteção de Informações do Azure funciona apenas para usuários autorizados do Office365 (essa é a mágica da criptografia). Em quase todas as organizações, os usuários estão conectados ao Office365 e não há dificuldades. Mas considere esse fato é necessário.
- O sistema de rastreamento geralmente é uma coisa maravilhosa e é conveniente e prático usá-lo.
- Usar o AIP para proteger documentos (por assim dizer, para o propósito a que se destina) também é interessante e causa dor de cabeça para os invasores - o acesso aos documentos se torna mais difícil.
A apresentação da própria apresentação pode ser encontrada em nosso
GitHub .
Obrigado aos organizadores da OFFZONE pela conferência! Foi interessante!