GWS - Google Platforms Phishing

Generic Phishing Methodology

Google Groups Phishing

Kwa kawaida, katika workspace wanachama wanaweza kuunda makundi na kuwakaribisha watu ndani yao. Unaweza kisha kubadilisha barua pepe ambayo itatumwa kwa mtumiaji ukiongeza viungo vingine. Barua pepe hiyo itakuja kutoka anwani ya google, hivyo itakuwa halali na watu wanaweza kubofya kwenye kiungo.

Pia inawezekana kuweka anwani ya FROM kama barua pepe ya kundi la Google ili kutuma barua pepe zaidi kwa watumiaji ndani ya kundi, kama katika picha ifuatayo ambapo kundi google--support@googlegroups.com lilianzishwa na barua pepe ilitumwa kwa wanachama wote wa kundi (ambao waliongezwa bila ridhaa yoyote)

Google Chat Phishing

Unaweza kuwa na uwezo wa kuanzisha mazungumzo na mtu kwa kuwa na anwani yao ya barua pepe au kutuma mwaliko wa kuzungumza. Zaidi ya hayo, inawezekana kuunda Nafasi ambayo inaweza kuwa na jina lolote (mfano "Google Support") na kuwakaribisha wanachama ndani yake. Ikiwa watakubali wanaweza kufikiri kwamba wanazungumza na Google Support:

Unaweza kuangalia jinsi hii ilivyofanya kazi zamani katika: https://www.youtube.com/watch?v=KTVHLolz6cE&t=904s

Google Doc Phishing

Katika siku za nyuma ilikuwa inawezekana kuunda nyaraka ambayo inaonekana kuwa halali na katika maoni kurejelea barua pepe fulani (kama @user@gmail.com). Google ilituma barua pepe kwa anwani hiyo ya barua pepe ikionyesha kwamba walirejelewa katika nyaraka. Sasa, hii haifanyi kazi lakini ikiwa utampa mwathirika ufikiaji wa barua pepe kwenye nyaraka Google itatuma barua pepe ikionyesha hivyo. Huu ndio ujumbe unaotokea unapomrejelea mtu:

Google Calendar Phishing

Unaweza kuunda tukio la kalenda na kuongeza anwani nyingi za barua pepe za kampuni unayoishambulia kadri unavyoweza. Panga tukio hili la kalenda katika dakika 5 au 15 kutoka wakati wa sasa. Fanya tukio hilo kuonekana halali na weka maoni na kichwa kinachoonyesha kwamba wanahitaji kusoma kitu (pamoja na kiungo cha phishing).

Hii ndiyo arifa itakayoonekana kwenye kivinjari na kichwa cha mkutano "Kuwafuta Watu", hivyo unaweza kuweka kichwa kinachofanana zaidi na phishing (na hata kubadilisha jina linalohusishwa na barua pepe yako).

Ili kuifanya ionekane kuwa na shaka kidogo:

• Iweke ili wapokeaji hawawezi kuona watu wengine waliokaribishwa

• Usitumie barua pepe zinazotangazia kuhusu tukio hilo. Kisha, watu wataona tu onyo lao kuhusu mkutano katika dakika 5 na kwamba wanahitaji kusoma kiungo hicho.

• Kwa kawaida kutumia API unaweza kuweka Kweli kwamba watu wame kubali tukio hilo na hata kuunda maoni kwa niaba yao.

App Scripts Redirect Phishing

Inawezekana kuunda script katika https://script.google.com/ na kuifichua kama programu ya wavuti inayopatikana kwa kila mtu ambayo itatumia domain halali script.google.com. Kwa baadhi ya msimbo kama ifuatavyo mshambuliaji anaweza kufanya script hiyo ipakue maudhui yasiyo na kikomo kwenye ukurasa huu bila kuacha kufikia domain:

function doGet() {
return HtmlService.createHtmlOutput('<meta http-equiv="refresh" content="0;url=https://cloud.hacktricks.xyz/pentesting-cloud/workspace-security/gws-google-platforms-phishing#app-scripts-redirect-phishing">')
.setXFrameOptionsMode(HtmlService.XFrameOptionsMode.ALLOWALL);
}

Kwa mfano, ukifika https://script.google.com/macros/s/AKfycbwuLlzo0PUaT63G33MtE6TbGUNmTKXCK12o59RKC7WLkgBTyltaS3gYuH_ZscKQTJDC/exec utaona:

App Scripts OAuth Phishing

Inawezekana kuunda App Scripts zilizounganishwa na hati ili kujaribu kupata ufikiaji wa token ya OAuth ya mwathirika, kwa maelezo zaidi angalia:

OAuth Apps Phishing

Mbinu zozote za hapo awali zinaweza kutumika kumfanya mtumiaji aingie kwenye Google OAuth application ambayo it omba mtumiaji baadhi ya ufikiaji. Ikiwa mtumiaji anaamini chanzo anaweza kuamini programu (hata kama inahitaji ruhusa zenye mamlaka ya juu).

Google inaruhusu kuunda programu ambazo zinaweza kuingiliana kwa niaba ya watumiaji na huduma mbalimbali za Google: Gmail, Drive, GCP...

Wakati wa kuunda programu ili kufanya kwa niaba ya watumiaji wengine, mendelevu anahitaji kuunda OAuth app ndani ya GCP na kuashiria maeneo (ruhusa) ambazo programu inahitaji ili kufikia data za watumiaji. Wakati mtumiaji anataka kutumia hiyo programu, wata ombwa kukubali kwamba programu itakuwa na ufikiaji wa data zao zilizobainishwa katika maeneo.

Hii ni njia nzuri sana ya phish watumiaji wasio na ujuzi wa kiufundi kutumia programu zinazofikia taarifa nyeti kwa sababu wanaweza kutokuelewa matokeo. Hata hivyo, katika akaunti za mashirika, kuna njia za kuzuia hili kutokea.

Onyo la Programu Isiyothibitishwa

Kama ilivyotajwa, google kila wakati itaonyesha onyo kwa mtumiaji kukubali ruhusa wanazotoa kwa programu kwa niaba yao. Hata hivyo, ikiwa programu inachukuliwa kuwa hatari, google itaonyesha kwanza onyo linaloonyesha kwamba ni hatari na kuifanya iwe ngumu zaidi kwa mtumiaji kutoa ruhusa kwa programu.

Onyo hili linaonekana katika programu ambazo:

• Zinatumia eneo lolote linaloweza kufikia data za kibinafsi (Gmail, Drive, GCP, BigQuery...)

• Programu zenye watumiaji chini ya 100 (programu > 100 mchakato wa ukaguzi unahitajika pia kuzuia kuonyesha onyo la kutothibitishwa)

Maeneo ya Kuvutia

Hapa unaweza kupata orodha ya maeneo yote ya Google OAuth.

• cloud-platform: Tazama na usimamie data zako katika huduma za Google Cloud Platform. Unaweza kujifanya kuwa mtumiaji katika GCP.

• admin.directory.user.readonly: Tazama na pakua directory ya GSuite ya shirika lako. Pata majina, simu, URL za kalenda za watumiaji wote.

Unda OAuth App

Anza kuunda OAuth Client ID

1. Nenda https://console.cloud.google.com/apis/credentials/oauthclient na bonyeza kuunda skrini ya idhini.

2. Kisha, utaulizwa ikiwa aina ya mtumiaji ni ndani (kwa watu tu katika shirika lako) au nje. Chagua ile inayofaa mahitaji yako

• Ndani inaweza kuwa ya kuvutia ikiwa tayari umepata mtumiaji wa shirika na unaunda programu hii ili kuwapiga wengine.

3. Toa jina kwa programu, barua pepe ya msaada (kumbuka kwamba unaweza kuweka barua pepe ya googlegroup ili kujaribu kujificha kidogo zaidi), logo, domeni zilizoidhinishwa na barua pepe nyingine kwa sasisho.

4. Chagua maeneo ya OAuth.

• Ukurasa huu umegawanywa katika ruhusa zisizo nyeti, ruhusa nyeti na ruhusa zilizozuiliwa. Kila wakati unapoongeza ruhusa mpya inaongezwa katika kundi lake. Kulingana na ruhusa zilizohitajika, onyo tofauti litaonekana kwa mtumiaji kuashiria jinsi ruhusa hizi zilivyo nyeti.

• Zote admin.directory.user.readonly na cloud-platform ni ruhusa nyeti.

5. Ongeza watumiaji wa majaribio. Kadri hali ya programu inavyokuwa ya majaribio, ni watumiaji hawa pekee watakaoweza kufikia programu hiyo hivyo hakikisha ongeza barua pepe unayopanga kuwapiga.

Sasa hebu tupate vyeti kwa programu ya wavuti kwa kutumia OAuth Client ID iliyoundwa awali:

1. Rudi https://console.cloud.google.com/apis/credentials/oauthclient, chaguo tofauti litaonekana wakati huu.

2. Chagua ku unda vyeti kwa programu ya Wavuti

3. Weka michakato ya Javascript na URIs za kurejea zinazohitajika

• Unaweza kuweka katika zote mbili kitu kama http://localhost:8000/callback kwa majaribio

4. Pata vyeti vya programu yako

Hatimaye, hebu endesha programu ya wavuti ambayo itatumia vyeti vya programu ya OAuth. Unaweza kupata mfano katika https://github.com/carlospolop/gcp_oauth_phishing_example.

git clone ttps://github.com/carlospolop/gcp_oauth_phishing_example
cd gcp_oauth_phishing_example
pip install flask requests google-auth-oauthlib
python3 app.py --client-id "<client_id>" --client-secret "<client_secret>"

Nenda kwenye http://localhost:8000 bonyeza kitufe cha Ingia na Google, utaonyeshwa ujumbe kama huu:

Programu hiyo itaonyesha token za ufikiaji na za kusasisha ambazo zinaweza kutumika kwa urahisi. Kwa maelezo zaidi kuhusu jinsi ya kutumia token hizi angalia:

Kutumia glcoud

Inawezekana kufanya kitu kwa kutumia gcloud badala ya console ya wavuti, angalia:

Marejeo

• https://www.youtube-nocookie.com/embed/6AsVUS79gLw - Matthew Bryant - Hacking G Suite: The Power of Dark Apps Script Magic

• https://www.youtube.com/watch?v=KTVHLolz6cE - Mike Felch na Beau Bullock - OK Google, Je, ninawezaje ku Red Team GSuite?