Atacando al atacante II - Documento tentador

1 comment

Continuando con las entradas de atacando al atacante, veremos en esta oportunidad el caso de brindar un documento tentador.

Primero que sucede cuando sufrimos un ataque, esta oportunidad nos ponemos en el caso de tener un sitio web de venta de equipos electrónicos y drones (lo que anda de moda el día de hoy!), la persona en este caso el delincuente informático A.K.A el atacante logra comprometer la seguridad de nuestra empresa, lo que buscara es obtener información sensible ya sea en el servidor, o los equipos de usuarios.

Nos iremos al mejor caso, contamos con todas las medidas de seguridad necesarias para contrarrestar un ataque, pero que sucede con los usuarios que son el eslabón mas débil (El factor humano el eslabón mas débil).

Sufrimos el ataque e ingresar al servidor central obteniendo acceso y control del sistema, lo primero que podemos realizar para saber de donde vino el ataque quien fue, de donde, quizás sea un funcionario de la empresa, no lo sabemos pero como es un atacante su objetivo sera obtener información  y porque no dejarle un documento tentador?.

Alto pero para que si quiero saber su IP lo que hago es ver los log's!!!

Esta bien los log's pueden darnos información pero el que ingreso al sistema tiene conocimientos avanzados  y los elimina? o no se tuvo el debido cuidado de configurar correctamente los logs? Ahhh tenemos un problema y algo mas que añadir si es un usuario con conocimiento avanzados lo que hará mínimamente sera proteger su identidad, pero si no es el caso y deseamos tener un punto adicional mas para poder identificar a la persona que accede al servidor lo haremos por medio de un documento tendador

Pero bueno nos vamos a lo que venimos atacar al atacante obtener algo de información que nos puede servir despues, para ello haremos uso del sitio HoneyDocs que es un portal que nos permite la implementación de un Documento de Miel :P,  de el por medio del documento el cual lo abrirá y listo tendremos la informacion de el, que tipo de información pues sera la dirección IP mas geolocalización es cierto que no nos dara una referencia exacta pero podemos usarlo para limitar a posibles atacantes.


Primero ingresamos a Honeydocs y procedemos con la creación de la cuenta, lo cual después creamos un hive como le llaman en HoneyDocs en el ejemplo cree uno con el nombre PoC SniferL4bs luego de ello tenemos para descargar distintos nombres de archivos, descarga el que te guste ;).


Creación de Documentos

Si estos documentos los dejamos en alguna carpeta especifica poniendo un nombre suculento es seguro que el atacante los bajara y revisara, para ello ya tendremos información adicional ya que no pude realizar esto en un servidor, ademas me dio algo de flojera.... (Lo admito borraba editaba y recontra, eliminaba esta entrada la siguiente captura lo dice todo T_T ).


PoC del 1 de Diciembre

Para la prueba de concepto traes crear los documentos subí a mediafire un archivo, y publique en  Facebook y Twitter indicando que eran claves de cuentas premium de MEGA.

Que creen ? alguien logro acceder? pues si, varios ingresaron para poder observar lo que tenemos que hacer es ingresar a BUZZ.

BUzz
Después de ello tendremos la dirección IP de la persona que obtuvo los ficheros mas una posición geográfica aquí algunos de los que ingresaron por las cuentas.


Ahora si un video de HoneyDocs para poder comprender mas a fondo.



Del mismo modo tenemos otra opción del mismo modo la implementacion de un script en PHP que cuando se ingreso a alguna sección especifica nos envie la direccion IP browser y demas, en el blog de Alex se tiene una entrada referente a este detalle la cual es  Class Agent para obtener IP del Navegador 



1 comentario

  1. Me recuerda a curl en php, en todo caso buena idea de ingeniería social.
    Saludos

    ResponderEliminar