Attacchi lato client con malware personalizzato nei test di penetrazione

7

Eseguo regolarmente pen-test contro applicazioni web, sistemi operativi, ecc. Occasionalmente, sono abbastanza fortunato da fare un esercizio di "red-teaming" e arrivare ad attaccare in tutti i punti immaginabili di una rete (persone ecc. ) che è divertente e di solito va abbastanza bene.

Tuttavia, un cliente ha recentemente menzionato che sarebbe interessato a testare macchine lato client (utente finale) come desktop / laptop, al fine di vedere quale tipo di attacchi potrebbero essere condotti contro di loro, come mezzi per testare la sicurezza degli endpoint (firewall / HIPS / AV / whitelist delle app), e anche per mettere il loro programma di risposta agli incidenti sotto stress.

Stanno studiando l'uso di malware personalizzati per fare ciò e sono disposti a farci provare a propagare il nostro codice nel loro ambiente.

Poiché la maggior parte degli attacchi di successo in questi giorni coinvolgono attacchi lato client (spear phishing, download drive-by, ecc.), ha senso testare gli endpoint reali (che di solito sono un grosso problema). Tuttavia, sono preoccupato che se creiamo un malware auto-diffuso alla fine si allenterà dalla rete, o che in una delle infinite interazioni possibili dell'applicazione, questo danneggerà alcuni server offline. Ovviamente il cliente firmerà una rinuncia e le spalle rischiano in questo modo.

Gli scenari di attacco lato client sono richieste comuni? Cosa fanno gli altri in questi tipi di scenari? Esistono metodologie da seguire per quanto riguarda l'uso di malware personalizzato nei pentests lato client?

    
posta NULLZ 04.06.2013 - 05:26
fonte

2 risposte

6

Non è necessario un malware che si diffonde autonomamente per testare i computer degli utenti finali. Ad esempio, se si decide di scegliere come target i browser delle macchine dell'utente, le applicazioni (MS Office, PDF, Java, Flash) o la sicurezza fisica delle macchine, ciò di cui si ha bisogno è un exploit personalizzato e un payload. Il carico utile non deve essere auto diffusione. Hai solo bisogno di un tipo di carico utile che ti dia il controllo sulla sola macchina che hai preso di mira.

Facciamo un esempio. Supponiamo che io voglia scegliere come target 10 macchine utente e ho deciso di scegliere come target i loro browser. La prima cosa che farei sarebbe ospitare gli exploit Metasploit sulla mia macchina. Gli exploit devono essere personalizzati per bypassare l'AV e altri tipi di difese. Posso usare meterpreter come mio payload. Quindi invierei a questi 10 utenti un link al mio server che ospita i file exploit. Se da questi 10 utenti sono riuscito a collegare 5 utenti al mio server Metasploit e ho sfruttato con successo i loro browser e ottenuto l'accesso alla loro macchina, il meterpreter mi darà accesso solo a queste cinque macchine. Non ha intenzione di indirizzare automaticamente ogni altra macchina nella sottorete. Ovviamente se voglio fare un ulteriore passo avanti da lì, posso farlo manualmente.

Quindi, alla fine, penso che ciò di cui hai bisogno è un malware personalizzato, ma non è necessario che il malware personalizzato si diffonda autonomamente. Crea un malware che ti consentirà di accedere solo a determinati computer a cui stai mirando.

    
risposta data 04.06.2013 - 06:40
fonte
0

Abbiamo fatto diversi attacchi lato client. Sebbene i test con malware siano limitati, spesso abbiamo richieste per testare la sicurezza di ambienti con restrizioni e valutare la complessità eccessiva di come uscire da questi. Non sono a conoscenza di alcuna metodologia aperta e comune. La creatività è fondamentale quando si eseguono questi tipi di valutazioni.

    
risposta data 04.06.2013 - 09:51
fonte

Leggi altre domande sui tag