domingo, 23 de agosto de 2020

O365 Squatting En El Blue Team Village De La DefCon 28 SafeMode: Detectar Ataques De Phishing Desde La Cloud De Microsoft Azure

Durante la última DefCon que acaba de terminar, CON por excelencia que habitualmente se celebrada en Las Vegas, y que este año ha tenido que ser en modo remoto por culpa de esta pandemia que nos debe una visita a esa ciudad, presentamos la herramienta O365 Squatting, como parte del programa de la Blue Team Village, así que hoy vamos a hablaros de ella.

Figura 1: O365 Squatting en el Blue Team Village de la DefCon 28 SafeMode:
 Detectar ataques de phishing desde la cloud de Microsoft Azure

Sus autores somos J. Francisco Bolivar, CSE de ElevenPaths y autor del libro de 0xWord de "Infraestructuras Críticas y Sistemas Industriales: Auditorías de Seguridad y Fortificación" y Jose Miguel Gómez-Casero, y los dos trabajamos defendiendo a una multinacional del sector farmacéutico haciendo tareas de Blue Team


El día a día del Blue Team en una empresa pasa por gestionar todo tipo de alertas en los sistemas, nuevas amenazas que aparecen en la red, gestión de bloqueo, y como no, proteger uno de los pilares de entrada de problemas en toda organización, los ataques de Phishing y Spear Phishing. Estos, como es lógico, no paran de evolucionar y aparecen nuevos métodos continuamente que les permitan saltarse la primera barrera de protección, el perímetro. Al igual que las organizaciones legales, las organizaciones cibercriminales hacen uso de todo tipo de avance en tecnología para conseguir sus metas.


Figura 3: Ataques Sappo para robar tokens OAuth en Office 365

Por descontado, la nube se lleva la palma, dando un giro completo no solo a la seguridad y las capacidades que nos ofrece si no al tipo de ataques, como se demostró con Sappo y los ataques de para robar Tokens Oauth o el peligroso RansomCloud O365.

La causa raíz que nos hizo plantearnos la necesidad de hacer una herramienta nueva fue ver que nuestros empleados habían comenzado a recibir mensajes de Phishing mediante correo electrónico y que se habían saltado - una vez más - todas las protecciones del servicio de correo electrónico, es decir,  SPF, DKIM, DMARC, filtro antispam, etcétera.  Estos sistemas paran muchos de estos ataques, sin embargo, nos encontramos con un caso peculiar. Nos dimos cuenta de que empezábamos a recibir e-mails de onmicrosoft.com.

Figura 4: Mensajes de phishing desde onmicrosoft.com

Como es habitual con este tipo de intentos una vez se detecta, se bloquea el dominio, pero en este caso no era posible bloquear *.onmicrosoft.com ya que es el dominio inicial con el que crean un Tenant de Office 365. Supongamos que mi dominio es jfranbolivar.com, Cuando configure mi Tenant de Office 365 tendré un dominio inicial llamado jfranbolivar.onmicrosoft.com. Por lo tanto, al ser onmicrosoft.com no era posible bloquearlo ya que provocaría que se bloquearan todos los mensajes de e-mail, incluso los legítimos.

Figura 5: Los mensajes provienen de servidores en IPs de Microsoft

El atacante estaba usando un servidor en su Tenant de Microsoft Azure para enviar los mensajes de Phishing, lo que hacía que fuera más complicado pararlo. Como se puede ver, las cabeceras del correo electrónico solo informaban que el mail provenía de direcciones IP de Microsoft.  Así que tampoco por reputación de la dirección IP era posible bloquearlo

Figura 6: Direcciones IP de Microsoft

La configuración del registro SPF estaba a none, lo que tampoco ayuda mucho, ya que para el uso que Microsoft da al dominio onmicrosoft.com es difícil afinar más la configuración de los registros para los servidores de correo saliente. Por lo tanto, era necesario bloquear el dominio exacto, lo que no era factible hasta que se detectara el ataque.

Figura 7: Info de la validación SPF

Además, el atacante, y con intención de engañar a los usuarios finales creaba los dominios similares al atacado, ej.: empresa.onmicrosoft.com y empres.onmicrosoft.com, aplicando técnicas clásicas de typosquatting. Con cambios muy rápidos en la creación, lo que hace que los dominios no aparezcan rápidamente en listas negras de reputación hasta que el ataque ha sido detectado, por lo que sería demasiado tarde, como se puede ver en maltiverse.com el motor abierto de indicadores el cual nos facilita la identificación de dominios maliciosos:

Figura 8: Ejemplo de dominio no registrado en maltiverse.com
(esta comprobación también la pueden hacer los malos)

Por lo que la única solución que se encontró fue anticiparnos al atacante, creando un listado de dominios considerando las modificaciones empresa, empresb, empresia… sin embargo, cual fue nuestra sorpresa cuando al realizar la petición DNS, siempre nos daba el mismo resultado, ya que pertenecía a onmicrosoft.com

Figura 9: Typosquatiing y mismo DNS Record

La detección seguía igual, hasta que descubrimos que cada vez que se crea un Tenant nuevo, onmicrosoft no es la única dirección que se asigna, sino también una xxx.sharepoint.com. Este caso era distinto, ya que en función de si el dominio existía o no, la respuesta era diferente. Es decir, te crea el de Office 365 y el de SharePoint. En caso de que el dominio existiera, (empresa.sharepoint.com) se redirige a la página de login de O365, en caso de que no exista se dirige a un error (503, Service unavailable).   

Figura 10: El dominio de .sharepoint.com nos sirve de selector

Al fin habíamos encontrado un patrón que sin el uso de DNS nos permitía identificar dominios potencialmente peligrosos en Microsoft Azure. Ahora quedaba la automatización, para ello se empleó Python, la creación de la herramienta "O365 Squatting", que podéis descargar de nuestro GitHub y utilizar en vuestro entorno.

Figura 11: O365 Squatting en GitHub

O365 Squatting puede ser configurada mediante cron para que se lance de forma periódica, y permita conocer los dominios tan pronto como se creen. Además, está preparada para integrarse con SIEM, ya que permite exportar los resultados en formato CEF y JSON. Es posible chequear un único dominio, en caso de que sea necesario para la investigación o activar el modo debug, para ver las peticiones que realiza la herramienta.

Figura 12: O365 Squatting

Queremos que la herramienta sirva a la mayor cantidad de Blue Teams posible, estamos seguros que, mientras leéis esto, otras organizaciones están siendo suplantadas utilizando la infraestructura de Microsoft Azure, como hacen con otras clouds


Al margen de las mejoras que iremos dando a O365 Squatting (convertir en contenedor, comprobar reputación y/o reportar en bases de datos públicas de Abuse…) y de que tú puedes colaborar que es Open Source y está escrito en Python - el lenguaje de los pentesters -, tenemos intención de trabajar con el resto de los "grandes" del Cloud Computing (Google, Amazon, Oracle, etc..). En este vídeo tenéis un ejemplo del funcionamiento de O365 Squatting.


Figura 14: Demo de funcionamiento de O365 Squatting

Y todo esto que hemos contado en este post, lo tienes explicado en la charla que dimos en la DefCON 28 SafeMode en el Blue Team Village que está en este vídeo. Son poco menos de 20 minutos y en inglés, pero tienes la explicación completa.


Figura 15: O365 Squatting en DefCON 28 SafeMode Blue Team Village

Como conclusión final por nuestra parte, haber trabajado contra este tipo de ataques y desarrollar O365 Squatting para hacerles frente, nos hace tener presentes una vez más, que la mayor protección para las organizaciones siempre será anticiparse a los atacantes.

Autores: José Miguel Gómez-Casero y Juan Francisco Bolivar

Figura 16: Contactar con Francisco Bolivar en MyPublicInbox

Sigue Un informático en el lado del mal RSS 0xWord

This article is the property of Tenochtitlan Offensive Security. Verlo Completo --> https://tenochtitlan-sec.blogspot.com
Related links
  1. Best Hacking Tools 2019
  2. Pentest Tools Nmap
  3. Hacker Tools Software
  4. Hacker Tools Apk
  5. Computer Hacker
  6. Github Hacking Tools
  7. Hack Tools Download
  8. Pentest Tools For Windows
  9. Physical Pentest Tools
  10. Hacking Tools For Beginners
  11. Hacking Tools Pc
  12. Wifi Hacker Tools For Windows
  13. Pentest Tools Github
  14. Hacker Tools 2020
  15. Hacking Tools For Games
  16. Hacking App
  17. Hacker Tools 2019
  18. Best Hacking Tools 2020
  19. Pentest Recon Tools
  20. Hacker Tools Free
  21. Hacker Tools Hardware
  22. Hacking Tools Name
  23. Pentest Tools Windows
  24. Hacking Tools Hardware
  25. Pentest Tools Windows
  26. Pentest Tools Alternative
  27. Hack Website Online Tool
  28. Hacking Tools Github
  29. Hacker Tools For Ios
  30. Easy Hack Tools
  31. Pentest Tools Online
  32. Hacking App
  33. Hack Tools For Ubuntu
  34. Hacking Tools For Windows 7
  35. Hacking Tools For Kali Linux
  36. Pentest Tools Download
  37. Pentest Tools For Mac
  38. Hacking Tools Free Download
  39. Pentest Tools
  40. Hak5 Tools
  41. Hacking Tools For Windows
  42. Nsa Hack Tools Download
  43. Best Hacking Tools 2019
  44. Easy Hack Tools
  45. Blackhat Hacker Tools
  46. Hacker Techniques Tools And Incident Handling
  47. Pentest Automation Tools
  48. Free Pentest Tools For Windows
  49. Pentest Tools Alternative
  50. Hacker Tools Mac
  51. Hack Tools For Windows
  52. Hacking Tools Windows 10
  53. Pentest Reporting Tools
  54. How To Make Hacking Tools
  55. What Is Hacking Tools
  56. Hacker Tools
  57. Hacker Tools Apk
  58. Hacking Tools Download
  59. Hacker Tools Github
  60. Pentest Tools Website Vulnerability
  61. Hacking Tools Windows
  62. Hackrf Tools
  63. Pentest Tools Port Scanner
  64. Ethical Hacker Tools
  65. Hacker Tools 2020
  66. Hacker
  67. How To Install Pentest Tools In Ubuntu
  68. Pentest Tools Apk
  69. How To Hack
  70. Hacker Tools Apk Download
  71. Hacking Tools Kit
  72. Hack Tools
  73. Hacker Tools 2019
  74. Pentest Tools Tcp Port Scanner
  75. Hacking Tools Hardware
  76. Hack Tools
  77. Hacker Tools For Ios
  78. Hacking Apps
  79. Pentest Tools Windows
  80. Hacker Tools Github
  81. Hacker Tools For Ios
  82. Hack Tool Apk
  83. Hacker Tools Linux
  84. Hacking Tools For Windows Free Download
  85. Hack Tools 2019
  86. Hack Website Online Tool
  87. Hacking Apps
  88. Termux Hacking Tools 2019
  89. Best Hacking Tools 2019
  90. Easy Hack Tools
  91. Hacker Tools For Ios
  92. Hack Tools For Windows
  93. Hacker Techniques Tools And Incident Handling
  94. Pentest Tools Android
  95. Hacking Tools For Pc
  96. Pentest Tools For Windows
  97. Hacking Tools Windows 10
  98. Hacker Tools Free
  99. Hacking Apps
  100. Pentest Tools Tcp Port Scanner
  101. Bluetooth Hacking Tools Kali
  102. Hacker Tools Free Download
  103. Hacker Tools Free
  104. Hacker Tools 2019
  105. Hack Tools Pc
  106. Hacking Tools 2019
  107. Hacking Tools 2020
  108. Hacker Tools Github
  109. Nsa Hack Tools
  110. Pentest Tools Subdomain
  111. Hacking Tools Software
  112. Hackers Toolbox
  113. Github Hacking Tools
  114. Pentest Tools For Ubuntu
  115. Ethical Hacker Tools
  116. Hacking Tools Free Download
  117. Usb Pentest Tools
  118. Pentest Reporting Tools
  119. Hacker Search Tools
  120. What Is Hacking Tools
  121. Pentest Tools Android
  122. Hacking Tools Kit
  123. Pentest Tools Online
  124. Pentest Recon Tools
  125. Hacker Tools Windows
  126. Hackrf Tools
  127. Hack Tools
  128. Pentest Tools For Android
  129. Beginner Hacker Tools
  130. Tools 4 Hack
  131. Pentest Tools Github
  132. Pentest Tools Framework
  133. Install Pentest Tools Ubuntu
  134. Hacker Tools For Mac
  135. Hacking Tools For Pc
  136. Hack Website Online Tool
  137. Growth Hacker Tools
  138. Hacker Tools Windows
  139. Hacking Tools Online
  140. Usb Pentest Tools
  141. Pentest Tools Open Source
  142. Wifi Hacker Tools For Windows
  143. Hak5 Tools
  144. Pentest Tools Port Scanner
  145. Pentest Tools Github
Postado por às

Nenhum comentário:

Postar um comentário

Assinar: Postar comentários (Atom)