Lire sur le phishing peut parfois sembler fastidieux, car de nombreux articles reprennent simplement les mêmes scénarios et stratégies de prévention sans plonger dans les détails techniques ni proposer quoi que ce soit de nouveau. Mais ne vous inquiétez pas, nous avons ce qu’il vous faut !
Plus précisément, nous verrons comment les attaquants peuvent exploiter une mauvaise configuration dans 7-Zip pour désactiver la marque du Web (MOTW) et lancer des attaques de phishing plus efficaces. Nous montrerons également comment la fonctionnalité d’attaque côté client de notre Auto-Exploiteur peut aider à éliminer le besoin de configurer et de configurer manuellement les shells inversés dans ce scénario.
Continuez à lire pour mieux comprendre le fonctionnement de cette technique et les options d’atténuation disponibles. Alors prenez une tasse de café, asseyez-vous et préparez-vous à approfondir vos connaissances sur ces importants problèmes de cybersécurité.
Clause de non-responsabilité
Ce matériel est uniquement à des fins éducatives et ne doit pas être recréé illégalement. Veuillez ne pas tenter de recréer l’une des actions décrites dans ce document en dehors des engagements de piratage éthique régis par un contrat légal.
Pourquoi nous avons décidé d’écrire à ce sujet
Les attaques de phishing sont un type de cyberattaque qui utilise le courrier électronique ou d’autres formes de communication pour amener les gens à divulguer des informations sensibles, telles que des identifiants de connexion ou des informations financières. Comme vous le savez probablement, vous pouvez utiliser des macros VBA pour créer différents types d’attaques malveillantes pouvant être transmises par e-mail ou par d’autres moyens. Lorsque l’utilisateur ouvre le document ou clique sur un lien, la macro est exécutée et l’attaque est lancée.
VBA (Visual Basic pour Applications) est un langage de programmation intégré à de nombreuses applications Microsoft Office, notamment Excel, Word et PowerPoint. Il est utilisé pour créer des macros, qui sont des séquences d’actions automatisées déclenchées par un événement défini par l’utilisateur, comme cliquer sur un bouton ou ouvrir un document.
VBA est utilisé pour créer une large gamme de solutions personnalisées, notamment des outils d’analyse de données, d’automatisation de tâches répétitives et de création d’interfaces utilisateur personnalisées. Cependant, les acteurs malveillants aiment aussi l’utiliser pour créer des attaques de phishing.
Pendant une courte période, Microsoft a corrigé ce type d’attaque en introduisant Mark-of-the-Web (MOTW). Cette fonctionnalité empêche l’exécution des macros si le fichier est téléchargé depuis Internet.
Ce qui fait de 7-Zip un si bon vecteur de phishing
Comme vous le savez probablement, 7-Zip est un logiciel d’archivage de fichiers largement utilisé qui permet aux utilisateurs de compresser et de regrouper plusieurs fichiers dans un seul fichier d’archive. Il est open-source et prend en charge une variété de formats de fichiers, y compris son propre format .7z, ainsi que d’autres tels que .zip et .rar.
En plus de ses capacités d’archivage de fichiers, 7-Zip inclut un utilitaire de ligne de commande appelé « 7z » qui permet diverses opérations sur les archives, telles que l’extraction de fichiers, l’ajout de fichiers à une archive ou la création d’une nouvelle archive. Cet utilitaire permet une grande flexibilité et polyvalence, faisant de 7-Zip un outil utile à la fois pour un usage personnel et professionnel.
Ensuite, nous allons voir comment une simple mauvaise configuration de 7-Zip peut désactiver le Mark-of-the-Web dans les applications Office telles qu’Excel, Word et PowerPoint, que vous pouvez ensuite utiliser dans vos simulations de sensibilisation au phishing.
Comment se produit cette mauvaise configuration ?
La vulnérabilité elle-même est assez simple et directe. En termes simples, 7-Zip supprime la propriété d’alerte lorsque vous archivez un fichier et y mettez un mot de passe.
Comme vous pouvez le voir ci-dessous, lorsque vous vérifiez les propriétés d’un fichier téléchargé sur Internet, il affiche une alerte qui ne vous permet pas d’exécuter des macros.
Si vous cochez la case Débloquer , vous pouvez vous en débarrasser et exécuter des macros. Dans un contexte de phishing, cela n’aide pas, car la victime n’ira pas plus loin pour cocher manuellement la case Débloquer lorsqu’elle verra l’alerte. (La plupart des utilisateurs ne sauraient pas où aller pour le faire.)
Mais, en archivant le fichier avec un mot de passe dans 7-zip, vous pouvez vous débarrasser de l’alerte et la diffuser plus discrètement. Faites un clic droit sur le fichier et sélectionnez Ajouter à l’archive .
Tapez le mot de passe de votre choix et cliquez sur OK.
Après ces étapes simples, décompressez l’archive et vérifiez à nouveau les propriétés du fichier.
Comme vous pouvez le voir, le MOTW a été complètement effacé et il n’apparaît plus lorsque la victime essaie de voir les propriétés du fichier.
Ok, mais comment un attaquant peut-il profiter de ce scénario ?
Imaginez le scénario suivant (dans lequel nous ajoutons cette mauvaise configuration DMARC à notre campagne de phishing) : vous souhaitez un accès interne à hacking-company.shop afin de pouvoir vous envoyer des goodies gratuits.
Vous avez découvert par OSINT que Steve est un nouvel employé qui travaille dans le service technique, où il a accès à de nombreuses informations confidentielles. Vous avez également constaté que l’entreprise utilise le format [email protected] pour les e-mails des employés.
Avec les données collectées, vous pouvez facilement usurper l’identité du PDG de l’entreprise en usurpant le courrier et en envoyant un fichier malveillant (à des fins de sensibilisation à la sécurité – évidemment).
Dans l’exemple ci-dessus, nous avons créé un scénario qui correspond à la situation de Steve et présenté une situation où il est obligé de télécharger le fichier.
Ceci n’est qu’un exemple simple, mais imaginez un groupe Advanced Persistent Threat (APT) ou un attaquant parrainé par l’État (SSA) utilisant cette mauvaise configuration et la puissance qu’ils peuvent en tirer !
Comment créer un rapport plus convaincant pour votre campagne de sensibilisation au phishing
En tant que pirate informatique éthique, il est important non seulement d’être en mesure d’identifier et d’atténuer efficacement les vulnérabilités de sécurité, mais également de communiquer les résultats de votre travail à vos clients ou à votre équipe de manière claire et convaincante.
Avec notre fonction d’attaque passive, vous pouvez facilement créer des gestionnaires d’attaques à partir de notre site, vous permettant ainsi d’obtenir des résultats clairs et concis en un rien de temps. Cela peut vous faire gagner un temps et des efforts précieux, car cela élimine le besoin de configurer et de configurer manuellement les reverse shells.
Mais les avantages de cette nouvelle fonctionnalité vont au-delà de la simple commodité. Les artefacts que notre nouvel outil extrait au cours du processus de traitement peuvent fournir une image beaucoup plus précise et convaincante de l’exposition d’une entreprise aux menaces potentielles. En collectant des données détaillées sur les configurations système, les ports ouverts et les logiciels installés, vous pouvez brosser un tableau complet et convaincant des vulnérabilités qui doivent être corrigées.
Comment atténuer ce type d’attaque de phishing
L’hameçonnage est une question d’attention aux détails. Vous avez probablement reçu des e-mails de phishing qui semblaient trop évidents pour tomber amoureux d’eux. Cependant, même les hackers éthiques les mieux formés peuvent rencontrer leur match.
Voici 3 étapes simples à suivre pour vous protéger contre ce scénario d’attaque, que vous pouvez voler et ajouter à votre rapport pentest :
1. Mettre en œuvre la segmentation du réseau
Mettez en œuvre la segmentation du réseau pour limiter la propagation de tout malware potentiel ou autre code malveillant. Cela peut aider à contenir une attaque et rendre plus difficile pour les attaquants l’accès aux systèmes critiques.
2. Former les employés
Fournissez une formation régulière aux employés sur la façon d’identifier et de signaler les menaces de sécurité potentielles, telles que les attaques de phishing, les e-mails suspects et les liens malveillants. Cela peut aider à réduire le risque que des employés soient victimes d’une attaque et exposent par inadvertance l’entreprise à des risques.
3. Faites attention aux détails
Prêter attention aux détails peut atténuer presque toutes les attaques de phishing. La vérification de la provenance du domaine, du MOTW, de l’expéditeur de l’e-mail et de la grammaire est essentielle pour éviter d’être victime.
Conclusion
Cette mauvaise configuration de 7-Zip peut être un outil puissant pour les pirates qui cherchent à contourner l’avertissement de Microsoft Word concernant les fichiers téléchargés sur Internet. dans les campagnes de phishing. En utilisant l’utilitaire de ligne de commande 7-Zip et en configurant stratégiquement le fichier d’archive, les attaquants peuvent inciter les victimes à télécharger des logiciels malveillants en effaçant la propriété « Mark-of-the-Web » conçue pour empêcher l’exécution des macros si le fichier est téléchargé. à partir d’Internet.
Les individus et les organisations doivent être conscients de cette vulnérabilité potentielle et prendre des mesures pour se protéger, par exemple en mettant en place les défenses appropriées et en formant les membres de l’équipe à être prudents lors du téléchargement de fichiers ou de l’utilisation d’e-mails, et en adoptant des habitudes de navigation sûres.
Dans l’ensemble, les nouvelles capacités d’extraction d’artefacts de notre Auto-Exploiteur sont des ajouts précieux pour tout pirate éthique cherchant à gagner du temps. Ces fonctionnalités peuvent vous épargner des efforts tout en fournissant une image plus précise et convaincante de l’exposition d’une entreprise aux menaces potentielles.
