SET: SOCIAL ENGINEERING TOOLKIT – PHISHING AND E-MAIL HACKING

Như chúng ta đã biết phishing là hình thức gửi những email có nôi dung lừa đảo đến người dùng trong hệ thống. Thực tế cho thấy rằng việc tấn công vào các hệ thống đa số đều từ người dùng cuối. Chúng ta có thể hiểu rằng thay vì tìm ra hay tấn công vào các máy chủ, các tài khoản của người quản trị thì chúng ta tấn công vào những người dùng văn phòng ít bảo mật hơn sau đó dùng các biện pháp leo thang đặc quyền để do thám đánh cắp những thông tin nhậy cảm. Trong bài viết này tôi nói đến việc giả mạo gửi mail khác lỗ hổng bảo mật từ những tài liệu văn bản hay còn gọi là File Format. Bài lab sẽ demo hình thứ giả mạo email, tấn công vào lỗ hổng Word 2007 cho phép hacker gán quyền meterpreter shell và chiếm đoạt hệ thống.

Bước 1: quay trở lại màn hình đầu tiên của “SET”. Nhập vào 1 “Social-Engineering Attacks”

 Bước 2: nhập vào 1 “Spear-Phishing Attack Vectors”

Bước 3: nhập vào 2 “Create a FileFormat Payload” . Tạo payload dưới dạng files văn bản

Bước 4: chọn payload. Ở đây tôi chọn 5. Tấn công vào lỗ hổng bảo mật nguy hiểmMS10-087 trên Micsosoft Office 2003 – 2010

Chọn tiếp 2 để tạo meterpreter reverse_shell

Gõ tiếp địa chỉ IP Attacker , port listener

Bước 5: chọn 2 đổi tên files . Ở đây tôi sẽ đổi tên files gửi cho nạn nhân là daily.doc

Bước 6: trong bước này để tấn công hàng loạt email chọn 2. Nhưng tôi chỉ demo 1email nên chọn 1.

Bước 7:1 chọn mẫu template đã có sẵn. Tôi chọn mẫu status reports

chọn 10. Status Report

Bước 8: thiết lập các giá trị gửi, người nhận, smtp.

Chọn 2: gửi bằng SMTP replay . Option 1 hiện nay khó hoạt động vì Gmail đã chặn.

Listener chọn yes để “SET” tự động khởi động MSF lắng nghe kết nối

Bước 9: Qua máy victim kiểm tra email. Download và Open văn bản

Windows 7-2014-09-06-14-06-30

 

Email đã được gửi đến hòm mail của victim

Windows 7-2014-09-06-14-06-48

 

Download tập tin đính kèm và mở bằng Word 2007 mặc định

Windows 7-2014-09-06-14-07-10

Sau khi mở thấy Word ở trạng thái treo

Windows 7-2014-09-06-14-07-16

 

Quay trờ lại máy của Attacker đã thấy có meterpreter shell.

Kết nối vào session meterpreter . Migrate sang process explorer.exe tránh trường hợp victim tắt Word thì mất kết nối.

Lúc nào Word trên máy nạn nhận  tự động tắt đi và trên máy tính của Attacker đã có meterpreter shell cho phép khai thác tất cả thông tin trên máy nạn nhân. Qua bài viết này các bạn đã thấy được sự nguy hiểm liên quan đến việc tấn công phishing cũng như sự nguy hiểm của những files tài liệu văn bản sử dụng hàng ngày.