O365 Squatting En El Blue Team Village De La DefCon 28 SafeMode: Detectar Ataques De Phishing Desde La Cloud De Microsoft Azure

Durante la última DefCon que acaba de terminar, CON por excelencia que habitualmente se celebrada en Las Vegas, y que este año ha tenido que ser en modo remoto por culpa de esta pandemia que nos debe una visita a esa ciudad, presentamos la herramienta O365 Squatting, como parte del programa de la Blue Team Village, así que hoy vamos a hablaros de ella.

Figura 1: O365 Squatting en el Blue Team Village de la DefCon 28 SafeMode:
 Detectar ataques de phishing desde la cloud de Microsoft Azure

Sus autores somos J. Francisco Bolivar, CSE de ElevenPaths y autor del libro de 0xWord de "Infraestructuras Críticas y Sistemas Industriales: Auditorías de Seguridad y Fortificación" y Jose Miguel Gómez-Casero, y los dos trabajamos defendiendo a una multinacional del sector farmacéutico haciendo tareas de Blue Team. 

Figura 2: Libro de "Infraestructuras Críticas y Sistemas Industriales:
Auditorías de Seguridad y Fortificación" en 0xWord

El día a día del Blue Team en una empresa pasa por gestionar todo tipo de alertas en los sistemas, nuevas amenazas que aparecen en la red, gestión de bloqueo, y como no, proteger uno de los pilares de entrada de problemas en toda organización, los ataques de Phishing y Spear Phishing. Estos, como es lógico, no paran de evolucionar y aparecen nuevos métodos continuamente que les permitan saltarse la primera barrera de protección, el perímetro. Al igual que las organizaciones legales, las organizaciones cibercriminales hacen uso de todo tipo de avance en tecnología para conseguir sus metas.


Figura 3: Ataques Sappo para robar tokens OAuth en Office 365
Por descontado, la nube se lleva la palma, dando un giro completo no solo a la seguridad y las capacidades que nos ofrece si no al tipo de ataques, como se demostró con Sappo y los ataques de para robar Tokens Oauth o el peligroso RansomCloud O365.

La causa raíz que nos hizo plantearnos la necesidad de hacer una herramienta nueva fue ver que nuestros empleados habían comenzado a recibir mensajes de Phishing mediante correo electrónico y que se habían saltado - una vez más - todas las protecciones del servicio de correo electrónico, es decir,  SPF, DKIM, DMARC, filtro antispam, etcétera.  Estos sistemas paran muchos de estos ataques, sin embargo, nos encontramos con un caso peculiar. Nos dimos cuenta de que empezábamos a recibir e-mails de onmicrosoft.com.

Figura 4: Mensajes de phishing desde onmicrosoft.com

Como es habitual con este tipo de intentos una vez se detecta, se bloquea el dominio, pero en este caso no era posible bloquear *.onmicrosoft.com ya que es el dominio inicial con el que crean un Tenant de Office 365. Supongamos que mi dominio es jfranbolivar.com, Cuando configure mi Tenant de Office 365 tendré un dominio inicial llamado jfranbolivar.onmicrosoft.com. Por lo tanto, al ser onmicrosoft.com no era posible bloquearlo ya que provocaría que se bloquearan todos los mensajes de e-mail, incluso los legítimos.

Figura 5: Los mensajes provienen de servidores en IPs de Microsoft

El atacante estaba usando un servidor en su Tenant de Microsoft Azure para enviar los mensajes de Phishing, lo que hacía que fuera más complicado pararlo. Como se puede ver, las cabeceras del correo electrónico solo informaban que el mail provenía de direcciones IP de Microsoft.  Así que tampoco por reputación de la dirección IP era posible bloquearlo

Figura 6: Direcciones IP de Microsoft

La configuración del registro SPF estaba a none, lo que tampoco ayuda mucho, ya que para el uso que Microsoft da al dominio onmicrosoft.com es difícil afinar más la configuración de los registros para los servidores de correo saliente. Por lo tanto, era necesario bloquear el dominio exacto, lo que no era factible hasta que se detectara el ataque.

Figura 7: Info de la validación SPF

Además, el atacante, y con intención de engañar a los usuarios finales creaba los dominios similares al atacado, ej.: empresa.onmicrosoft.com y empres.onmicrosoft.com, aplicando técnicas clásicas de typosquatting. Con cambios muy rápidos en la creación, lo que hace que los dominios no aparezcan rápidamente en listas negras de reputación hasta que el ataque ha sido detectado, por lo que sería demasiado tarde, como se puede ver en maltiverse.com el motor abierto de indicadores el cual nos facilita la identificación de dominios maliciosos:

Figura 8: Ejemplo de dominio no registrado en maltiverse.com
(esta comprobación también la pueden hacer los malos)

Por lo que la única solución que se encontró fue anticiparnos al atacante, creando un listado de dominios considerando las modificaciones empresa, empresb, empresia… sin embargo, cual fue nuestra sorpresa cuando al realizar la petición DNS, siempre nos daba el mismo resultado, ya que pertenecía a onmicrosoft.com

Figura 9: Typosquatiing y mismo DNS Record

La detección seguía igual, hasta que descubrimos que cada vez que se crea un Tenant nuevo, onmicrosoft no es la única dirección que se asigna, sino también una xxx.sharepoint.com. Este caso era distinto, ya que en función de si el dominio existía o no, la respuesta era diferente. Es decir, te crea el de Office 365 y el de SharePoint. En caso de que el dominio existiera, (empresa.sharepoint.com) se redirige a la página de login de O365, en caso de que no exista se dirige a un error (503, Service unavailable).   

Figura 10: El dominio de .sharepoint.com nos sirve de selector

Al fin habíamos encontrado un patrón que sin el uso de DNS nos permitía identificar dominios potencialmente peligrosos en Microsoft Azure. Ahora quedaba la automatización, para ello se empleó Python, la creación de la herramienta "O365 Squatting", que podéis descargar de nuestro GitHub y utilizar en vuestro entorno.

Figura 11: O365 Squatting en GitHub

O365 Squatting puede ser configurada mediante cron para que se lance de forma periódica, y permita conocer los dominios tan pronto como se creen. Además, está preparada para integrarse con SIEM, ya que permite exportar los resultados en formato CEF y JSON. Es posible chequear un único dominio, en caso de que sea necesario para la investigación o activar el modo debug, para ver las peticiones que realiza la herramienta.

Figura 12: O365 Squatting

Queremos que la herramienta sirva a la mayor cantidad de Blue Teams posible, estamos seguros que, mientras leéis esto, otras organizaciones están siendo suplantadas utilizando la infraestructura de Microsoft Azure, como hacen con otras clouds. 

Figura 13: Libro de Python para Pentesters

Al margen de las mejoras que iremos dando a O365 Squatting (convertir en contenedor, comprobar reputación y/o reportar en bases de datos públicas de Abuse…) y de que tú puedes colaborar que es Open Source y está escrito en Python - el lenguaje de los pentesters -, tenemos intención de trabajar con el resto de los "grandes" del Cloud Computing (Google, Amazon, Oracle, etc..). En este vídeo tenéis un ejemplo del funcionamiento de O365 Squatting.

Figura 14: Demo de funcionamiento de O365 Squatting

Y todo esto que hemos contado en este post, lo tienes explicado en la charla que dimos en la DefCON 28 SafeMode en el Blue Team Village que está en este vídeo. Son poco menos de 20 minutos y en inglés, pero tienes la explicación completa.

Figura 15: O365 Squatting en DefCON 28 SafeMode Blue Team Village

Como conclusión final por nuestra parte, haber trabajado contra este tipo de ataques y desarrollar O365 Squatting para hacerles frente, nos hace tener presentes una vez más, que la mayor protección para las organizaciones siempre será anticiparse a los atacantes.

Autores: José Miguel Gómez-Casero y Juan Francisco Bolivar

Figura 16: Contactar con Francisco Bolivar en MyPublicInbox

Sigue Un informático en el lado del mal RSS 0xWord

This article is the property of Tenochtitlan Offensive Security. Verlo Completo --> https://tenochtitlan-sec.blogspot.com

Related word

1. Pentest Tools Linux
2. Hacker Tools Free
3. Hacker Tools Free
4. Hack Tools For Windows
5. Hack Tools Mac
6. Ethical Hacker Tools
7. Pentest Tools Review
8. Pentest Tools Tcp Port Scanner
9. Tools 4 Hack
10. Hack Tools 2019
11. Pentest Recon Tools
12. Pentest Tools Nmap
13. Pentest Tools For Ubuntu
14. Hacker Tools Free
15. What Is Hacking Tools
16. Best Pentesting Tools 2018
17. Hacking App
18. Easy Hack Tools
19. Hacking Tools
20. Hacks And Tools
21. Pentest Tools Framework
22. Hacking Tools Download
23. Blackhat Hacker Tools
24. Nsa Hack Tools
25. Pentest Tools Online
26. Hacking Tools Download
27. Android Hack Tools Github
28. Hack Tools For Windows
29. Hacking Tools And Software
30. Hacker Tools For Windows
31. Hacking Tools For Beginners
32. Android Hack Tools Github
33. Black Hat Hacker Tools
34. Kik Hack Tools
35. Android Hack Tools Github
36. Pentest Tools For Android
37. Pentest Tools Online
38. Black Hat Hacker Tools
39. Physical Pentest Tools
40. Hacking Tools Online
41. Game Hacking
42. Hacking Tools 2019
43. Hack Apps
44. Pentest Box Tools Download
45. Hacking Tools For Beginners
46. Hacking App
47. Hacking Tools Download
48. Hacking Tools Windows 10
49. Hack Tools For Pc
50. Tools For Hacker
51. Pentest Tools List
52. Hack Apps
53. Usb Pentest Tools
54. Hack Apps
55. Hacking Tools
56. Physical Pentest Tools
57. Pentest Tools Bluekeep
58. Hack Tools For Windows
59. Best Pentesting Tools 2018
60. Hacker Tools Apk
61. Usb Pentest Tools
62. Tools Used For Hacking
63. Hacking Tools For Windows
64. Nsa Hacker Tools
65. Hacking Tools And Software
66. Hack Tool Apk No Root
67. Bluetooth Hacking Tools Kali
68. Pentest Reporting Tools
69. Hack Tools Mac
70. Pentest Tools Online
71. Hack Tools For Ubuntu
72. Pentest Tools For Android
73. Hacking Tools 2019
74. Nsa Hack Tools Download
75. Pentest Tools Find Subdomains
76. Hacking Tools Windows
77. Blackhat Hacker Tools
78. Hacker Tools Windows
79. Hack Tools For Windows
80. Hacking Tools 2019
81. Hacker Tools Free Download
82. Hacker Tools 2020
83. Underground Hacker Sites
84. Best Hacking Tools 2020
85. Pentest Box Tools Download
86. Android Hack Tools Github
87. Hacker Tools Apk
88. Hacker Tools Github
89. Hacker Tools For Mac
90. Hacker Tools For Mac
91. Hacker Hardware Tools
92. Hacker Tools List
93. Nsa Hack Tools
94. Pentest Tools Nmap
95. Hacker Tools 2019
96. Hacker Tools List
97. Hack Tools Online
98. Hacking Tools Windows 10
99. Pentest Tools For Android
100. Pentest Tools Alternative
101. Nsa Hacker Tools
102. Hacking Tools Name
103. Pentest Tools Nmap
104. Hacking Tools Github
105. Nsa Hacker Tools
106. Pentest Tools Tcp Port Scanner
107. Termux Hacking Tools 2019
108. Pentest Tools Kali Linux
109. Hackers Toolbox
110. Bluetooth Hacking Tools Kali
111. Hack Tools For Ubuntu
112. Nsa Hack Tools
113. Pentest Tools Subdomain
114. Hack Tools For Games
115. Hacker Tools Github
116. Pentest Tools Nmap
117. Hacking Tools 2019
118. Hacker Tools
119. Hacker Tools Windows
120. Pentest Tools Linux
121. Hacking Tools Hardware
122. Hacker Tools Apk
123. Pentest Tools For Windows
124. Hacker Tools For Mac
125. Pentest Tools Website Vulnerability
126. Pentest Tools
127. How To Install Pentest Tools In Ubuntu
128. Hacking Tools For Windows Free Download
129. Best Hacking Tools 2020
130. Underground Hacker Sites
131. Hacker Tools 2020
132. Hacker Tools
133. Nsa Hack Tools
134. Termux Hacking Tools 2019
135. What Is Hacking Tools
136. Hacker Tools For Windows
137. Hackrf Tools
138. Ethical Hacker Tools
139. Hacking Tools For Windows 7
140. Hak5 Tools
141. Hacking Tools And Software
142. Hacking Apps