samedi 10 décembre 2011

Social Engineering Toolkit (Partie II: le site web malveillant)

Dans notre série "découverte de SET” (Social Engineering Toolkit) nous allons nous intéresser à la création d'une page web contenant un code malveillant permettant de prendre la main sur la machine de la victime.
Une fois l'accès permis, nous allons récupérer les mots de passe de la victime en utilisant le bon vieux "John The Ripper".

Après avoir configuré SET (en utilisant notre Backtrack 5 préféré) pour générer une fausse page web, et après avoir choisi le type de charge utile, nous lançons le serveur nous permettant d'attendre patiemment la connexion de la machine de la victime.

Dans cet article nous ne nous intéressons pas aux moyens permettant de provoquer le "clic" de la victime sur notre fausse page web. Mais comme vous le savez il en existe de nombreux comme par exemple l'envoi d'un mail de phishing ciblé ou l'utilisation des réseaux sociaux.

Le scénario est donc le suivant:

  • la victime clique sur la page web
  • le browser s'arrête brutalement
  • un faux exécutable est lancé à l'insu de la victime (la machine est corrompue)
  • l'attaquant prend la main sur la machine de la victime

La vidéo ci-dessous décrit les détails de cette attaque et de sa configuration:

Prenons le cas où le compte de la victime a des droits "utilisateur" alors l'attaquant accède à la machine mais il lui est nécessaire de mettre en œuvre une élévation de privilèges pour accéder aux mots de passe.
Si le compte de la victime a les droits "administrateur" alors tout devient plus simple; l'attaquant accède directement au fichier des mots de passe.

Il ne lui reste alors plus qu'à utiliser John The Ripper pour découvrir le mot de passe "administrateur" de la machine (et ce n'est qu'un exemple).

Pour information le test a été fait avec un Windows XP SP3 et Internet Explorer 6 (selon SET cette attaque fonctionne également avec IE 6, 7, 8, 9 et Firefox).

Est-il nécessaire de rappeler les règles élémentaires de protection? Non bien sûr, vos droits, lorsque vous surfez sur internet, ne sont pas des droits "administrateur"!

vendredi 2 décembre 2011

Social Engineering Toolkit (Partie I: la récolte des mots de passe)

L'objectif de cet article est de découvrir les immenses possibilités du Social Engineering Toolkit (appelé SET) disponible dans Backtrack5.

ScreenShot001

Le cas d'utilisation que nous avons choisi de couvrir consiste à créer un faux site web pour récupérer les noms d'utilisateur et les mots de passe des utilisateurs imprudents.

C'est SET qui prend en charge la création du faux site web et la récupération des identifiants de l'utilisateur.

En plus de SET, il est nécessaire de configurer un MITM (Man In The Middle) basé sur un spoofing DNS du nom de domaine cible. Ce spoofing DNS est permis par Ettercap.

Concrètement:

  • La victime accède comme à l'accoutumée à Facebook
  • Elle est redirigée vers le faux site web généré par SET.
  • L'utilisateur s'authentifie.
  • Son authentification échoue et SET récupère son nom d'utilisateur et son mot de passe
  • La victime est redirigée vers la page de login officiel de Facebook
  • Elle s’authentifie de nouveau, pensant avoir saisi un mauvais mot de passe lors de sa première tentative

Tous les détails de l’attaque dans la vidéo ci-dessous:

Cette attaque est particulièrement imparable si le MITM a pu être mis en place et si l'utilisateur n'est pas paranoïaque.

Partager avec...