jueves, 3 de septiembre de 2020

Papa quiero hacer Phishing... consideraciones ofensivas para ser defensivos...

 Estimados amigos de Inseguros !!!

Lectores asiduos a este blog de tecnología no merecen que expliquemos qué es un Phishing. Cualquier usuario de Internet, o el 95% de los mismos reconocen este concepto.

Lo que puede no estar tan claro es algunos aspectos relacionados con el mismo, como por ejemplo cómo realizar un buen ataque de este tipo, y sobre esto, aleccionar al defensor para que implemente detecciones en base a estos comportamientos conocidos.

En ningún momento pretendo dar una guía de cómo realizar la campaña de phishing perfecta, la misión como siempre es aprender para luchar contra los malos.

https://www.curious-frank.com/post/fish-and-chip-day-or-phish-and-chip-day

Hay muchos pequeños aspectos a tener en cuenta para realizar las acciones ofensivas, y también a evaluar en productos o soluciones defensivas que pretenden combatir el problema del phishing, spam y vectores de correo. Conocer los ataques te ayudará a conocer las defensas, y viceversa.

Honey Traps

Cuidado con listas de correos masivas o correos no verificados. Existen los Mail Traps, honey traps ,etc... Son direcciones de correo de cebo que se ubican en listas, en algunos sitios en páginas web, en foros... El funcionamiento es sencillo, como es una dirección trampa, si alguien envía un correo a esa dirección, es porque está haciendo una acción masiva, y con muy alto riesgo de ser maliciosa. Si detectamos un "sender" que envía a un honey traps, podemos catalogarlo como spam y bloquearlo. Si estás usando listas, comprueba previamente en que el correo existe o se gestiona. Lo mismo pasa con los proveedores de correo con direcciones que llevan mucho tiempo en desuso y que de repente tienen actividad.

Longevidad

Si has contratado un VPS para instalar tu servicio de envío de correos, seguramente los MTA de destino no acepten tu correo ya que una práctica habitual en la lucha contra el spam es medir longevidad del dominio. Usar servidores de transporte como Mailchimp y servicios de marketing suele aumentar las posibilidades de que tu Phishing no caiga en la bandeja de no deseados por sospechoso.

SPF, DKIM y DMARC

Al igual que usamos estas tecnologías o medidas de protección, ampliamente conocidas, si lo que queremos es saltarnos las protecciones de nuestros destinos, debemos configurar nuestro servidor/dominio de origen con estas "protecciones".

Frecuencia

Si usas un VPS o sistema nuevo, y vas poco a poco generando "ruido", enviando mails, irás ganando reputación. No es lo mismo enviar 10 correos desde tu servidor de correo, que un servidor de un banco con reputación contrastada que envía 500 correos cada 10 minutos. Vigila la frecuencia, trabaja para "entrenar" al mundo en que tu servidor es legítimo, y realiza las campañas con muy poco ruido, envíos con pocos destinatarios y con mucho espaciado.

Cuidado con el clonado

Si vas a realizar un Phishing, lo normal es que lo hagas contra un recurso de tu CLIENTE ( recuerda, somos buenos :-) ) y no sobre un target "jugoso" como un login de O365, Gmail, Facebook, etc... Si clonas un formulario para tener el "look and feel" del sistema a suplantar, corres el riesgo de que las plataformas de seguridad de e-mail reconozcan que no es normal tener un html con etiquetas "conocidas" y te cazen en este sentido. Si no tienes otra que usar este "clonado" de webs conocidas, intenta enmascarar todo el html con cambios que hagan saltarse esta protección.

Smart Network Data Service

Para comprobar nuestra efectividad en las campañas, podemos usar un recurso muy interesante de Outlook.com para conocer qué está ocurriendo en las bandejas de correo de destino de nuestros objetivos, para saber si estamos haciendo algo mal y caen como spam y tenemos que afinar.

Return Path o X-Sender

Un mecanismo muy sencillo de utilizar en las campañas es indicar un campo en el from, una dirección de correo real, de la empres por ejemplo, pero añadir un return-path o x-sender con la dirección real del "malo", donde queremos que llegue. Imagina el escenario en el que usas un servicio de envío masivo, la típica empresa de marketing, pero quieres que te respondan a ti, no a la empresa de marketing...

Crear una regla en el siem o similar para detectar diferencias entre el form y estos campos puede ponernos sobre aviso.

Otra medida de protección es implementar un cambio en el asunto o cuerpo del mensaje cuando se detecta un cambio, o por ejemplo, lo que hacen muchas organizaciones es cambiar el mensaje con un texto para los correos que provienen del exterior. De esta manera, alertamos al usuario a que no es correo interno, aunque el dominio "se parezca" o simplemente aumentar su nivel de "alerta" o sospecha con adjuntos de otras empresas.

Adjuntos peligrosos

Al igual que teníamos que llevar mucho cuidado con el clonado de formularios de login, tenemos que hacerlo con los adjuntos. Si metemos un word con Macro y nos detectan el malware, seremos inscritos en una lista pública y se nos acabará el chollo. Prueba tus payloads antes de enviarlos y prepara la evasión antes de hacer la campaña. Esto también es aplicable al MTA del destino. Si la "víctima" usa gmail, o365, etc, comprueba sobre estas plataformas tus técnicas antes de lanzarlo en "producción". 


Al final todos sabemos que el vector de ataque principal en lo ataques cotidianos suele ser el correo y el usuario, e independientemente de la mejora en la formación con campañas y entrenamiento, la parte técnica es muy importante y debemos trabajarla como cualquier otro vector.

Espero que te sirva de ayuda, gracias por leerme.