Hoy he terminado una auditoria de 4 días que me ha dado en principio muchos problemas, pues el cliente deseaba evaluar la seguridad global de su organización y que verdaderamente puedo decir que habían invertido mucho dinero y tiempo en asegurar los sistemas y el personal que opera con ellos.
Empecé a recabar información de la organización sin encontrar muchas opciones por donde atacar, la organización cuenta con una tienda online y algunos sistemas que se operan desde la intranet, pero que se acceden vía VPN, en principio desconocía totalmente este hecho.
Tras muchos intentos y darle vuelta a toda la información recopilada intente realizar un ataque de fuerza bruta a un servidor ftp con el que contaban, pero para mi mala suerte, el servidor me rechazo a los tres intentos, la tienda online, ni se diga, la analice de pies a cabeza tratando de encontrarle una falla que me permitiera colarme pero tampoco logre nada.
Dentro de algunos archivos que encontré de forma publica utilizando google hacking, encontré algunos correos electrónicos de empleados de la organización, así que me arriesgue a lanzar un ataque de ingeniera social contra cada uno de los empleados que tenia listados. Con cada uno varia el vector de ataque, siempre utilizando la ingeniería social.
Con algunos empleados, envié un troyano en formato exe, indicando un mensaje de parte del jefe que los obligara a examinar el fichero, ha algunos otros les envié un PDF infectado y por ultimo algunos otros recibieron un enlace con un sitio web infectado. Tras esperar 1 día y 4 horas un empleado de trece mordió el anzuelo. Logre acceder a una estación de trabajo de la organización. Tras una búsqueda intensa de información que me ayudara avanzar, no encontré mucho.
Revise los logs que tenia del keylogger, que incluye el troyano, y el usuario trabajaba con Outlook, así realice una copia de los archivos PST alojados, ya que habían cinco archivos, de todos ellos, había uno muy jugoso de 3.5 GB, donde había correos desde el 2009 a la fecha. Después de tener los ficheros, empecé a analizar la información con PSTViewer.
Figura 1: Analizando ficheros PST.
Llegado a este punto empecé a encontrar contraseñas y usuarios, tanto de los sistemas como de la VPN, a partir de esto me abrí paso por los sistemas de la organización. Aunque el ataque de ingeniería social, me abrió una gran brecha en la organización, toda la información sensible y necesaria me la brindo el archivo PST.
Si no has asegurado tus archivos PST, es hora de que empieces a asegurarlos primeramente de forma local, y luego establezcas políticas que te permitan asegurarlos ante la presencia de un pirata informático.
Saludos.
Lexer Pars.
No hay comentarios:
Publicar un comentario