Japanese - Ht Cloud
HackTricks Training Twitter Linkedin Sponsor

GWS - Persistence

htARTE(HackTricks AWS Red Team Expert)を通じて、ゼロからヒーローまでのAWSハッキングを学びましょう

HackTricksをサポートする他の方法:

このセクションで言及されているすべての設定変更アクションは、セキュリティアラートをメールで生成し、アカウントに同期されたモバイルにプッシュ通知を送信します。

Gmailでの永続性

  • Googleからのセキュリティ通知を非表示にするためのフィルターを作成できます

  • from: (no-reply@accounts.google.com) "Security Alert"

  • これにより、セキュリティメールがメールに届かなくなります(ただし、モバイルへのプッシュ通知は防げません)

Gmailフィルターを作成する手順

こちらからの手順)

  1. Gmailを開きます。

  3. 検索条件を入力します。検索が正しく機能しているか確認するには、[検索]をクリックして表示されるメールを確認します。

  4. 検索ウィンドウの下部で、[フィルターを作成]をクリックします。

  5. フィルターの動作を選択します。

  6. [フィルターを作成]をクリックします。

現在のフィルターを確認するには(削除するには)、https://mail.google.com/mail/u/0/#settings/filtersをチェックしてください。

  • 機密情報を転送するための転送アドレスを作成できます(またはすべて)- 手動アクセスが必要です。

  • https://mail.google.com/mail/u/2/#settings/fwdandpopで転送アドレスを作成します

  • 受信アドレスはこれを確認する必要があります

  • 次に、すべてのメールを転送してコピーを保持するように設定します(変更を保存することを忘れないでください):

特定のメールのみを他のメールアドレスに転送するためにもフィルターを作成し、転送することが可能です。

アプリパスワード

Googleユーザーセッションを侵害し、ユーザーが2FAを持っている場合、アプリパスワードを生成できます(手順を確認するにはリンクを参照)。AppパスワードはGoogleによって推奨されておらず、ユーザーがGoogleアカウントのパスワードを変更すると取り消されます。

オープンセッションがあっても、ユーザーのパスワードを知っている必要があります。

Appパスワードは、2段階認証が有効になっているアカウントでのみ使用できます。

2-FAおよび類似の変更

このページhttps://myaccount.google.com/security2-FAを無効にしたり、新しいデバイス(または電話番号)を登録することも可能です。デバイスを追加する、パスワードを変更する、携帯電話の検証電話番号を追加する、回復用の電話番号を変更する、回復メールを変更する、セキュリティの質問を変更することもできます。

ユーザーの電話にセキュリティプッシュ通知が届かないようにするには、ここからユーザーのスマートフォンからサインアウトすることができます(それは奇妙なことですが)。ここから再度サインインすることはできません。

デバイスの場所を特定することも可能です。

オープンセッションがあっても、ユーザーのパスワードを知っている必要があります。

OAuthアプリを介した永続性

ユーザーアカウントを侵害した場合、すべての可能な権限をOAuthアプリに付与するだけで済みます。唯一の問題は、Workspaceが未承認の外部および/または内部OAuthアプリを許可しないように構成されている可能性があることです。 Workspace組織がデフォルトで外部OAuthアプリを信頼しないことはかなり一般的ですが、内部アプリには信頼を置いているため、組織内で新しいOAuthアプリを生成する権限がある場合、外部アプリが許可されていない場合は、新しい内部OAuthアプリを生成し、その新しい内部OAuthアプリを使用して永続性を維持できます。

OAuthアプリに関する詳細情報については、次のページを参照してください:

pageGWS - Google Platforms Phishing

委任による永続性

攻撃者が制御する別のアカウントにアカウントを委任するだけで済みます(許可されている場合)。Workspaceの組織では、このオプションを有効にする必要があります。誰にでも無効にすることもできますし、一部のユーザー/グループに対して有効にすることもできます(通常は一部のユーザー/グループにのみ有効にされるか、完全に無効にされます)。

Workspace管理者の場合は、この機能を有効にするためにこれをチェックしてください

ドキュメントからコピー

たとえば、組織(例:職場や学校)の管理者として、Gmailアカウントへのアクセスを委任できるかどうかを制御します。誰もがアカウントを委任できるようにすることもできます。または、特定の部門の人々だけに委任の設定を許可することもできます。たとえば、次のようなことができます:

  • 管理アシスタントをGmailアカウントの代理人として追加して、彼らがあなたの代わりにメールを読み取り、送信できるようにします。

  • グループ(たとえば、営業部門)を代理人として追加して、すべての人が1つのGmailアカウントにアクセスできるようにします。

ユーザーは、同じ組織内の他のユーザーにのみアクセスを委任できます。そのドメインまたは組織単位に関係なくです。

委任の制限と制約

  • Googleグループにメールボックスアクセスを許可するオプション:このオプションを使用するには、委任されたアカウントのOUと各グループメンバーのOUで有効にする必要があります。このオプションが有効にされていないOUに属するグループメンバーは、委任されたアカウントにアクセスできません。

  • 通常の使用では、40人の委任ユーザーが同時にGmailアカウントにアクセスできます。1人以上の委任者による上位の使用は、この数を減らす可能性があります。

  • 頻繁にGmailにアクセスする自動化プロセスは、同時にアカウントにアクセスできる委任者の数を減らす可能性があります。これらのプロセスには、Gmailに頻繁にアクセスするAPIやブラウザ拡張機能が含まれます。

  • 1つのGmailアカウントには、最大1,000人のユニークな委任者をサポートします。グループは、制限に対する1つの委任者として数えられます。

  • 委任は、Gmailアカウントの制限を増やしません。委任されたユーザーのいるGmailアカウントは、標準のGmailアカウントの制限とポリシーを持っています。詳細については、Gmailの制限とポリシーをご覧ください。

ステップ1: ユーザーのGmail委任を有効にする

開始する前に: 特定のユーザーに設定を適用するには、彼らのアカウントを組織単位に配置します。

  1. サインインしてGoogle管理コンソールにアクセスします。

  • アカウント所有者とメールボックスへのアクセスを委任されたユーザーを表示—メッセージにはGmailアカウント所有者と代理人のメールアドレスが含まれます。

  • アカウント所有者のみを表示—メッセージにはGmailアカウント所有者のメールアドレスのみが含まれます。代理人のメールアドレスは含まれません。

  1. (オプション) ユーザーがグループを代理人として追加できるようにするには、ユーザーがGoogleグループにメールボックスアクセスを許可ボックスをチェックします。

  2. 保存をクリックします。子組織単位を構成した場合、親組織単位の設定を継承またはオーバーライドすることができる場合があります。

  3. (オプション) 他の組織単位に対してGmail委任を有効にするには、ステップ3から9を繰り返します。

変更は最大24時間かかる場合がありますが、通常はより速く反映されます。詳細はこちら

ステップ2: ユーザーにアカウントの委任を設定させる

委任を有効にした後、ユーザーは自分のGmail設定に移動して代理人を割り当てることができます。 代理人はそのユーザーの代わりにメッセージを読み取ったり送信したり受信したりできます。

詳細については、ユーザーにメールの委任と共同作業をご覧いただくか、以下の通りです。

Androidアプリを介した持続性

被害者のGoogleアカウント内でセッションがある場合Playストアに移動して、すでにアップロードしたマルウェアを直接****電話にインストールして、持続性を維持し、被害者の電話にアクセスできるかもしれません。

App Scriptsを介した持続性

App Scriptsで時間ベースのトリガーを作成できます。ユーザーがApp Scriptを受け入れると、ユーザーがそれにアクセスしなくてもトリガーされます。 これについて詳しくは、以下を確認してください:

参考文献

前へGWS - Post Exploitation次へGWS - Google Platforms Phishing

最終更新