GWS - Persistence

Aprenda hacking AWS do zero ao avançado com htARTE (HackTricks AWS Red Team Expert)!

Outras formas de apoiar o HackTricks:

Se você deseja ver sua empresa anunciada no HackTricks ou baixar o HackTricks em PDF, verifique os PLANOS DE ASSINATURA!
Adquira produtos oficiais PEASS & HackTricks
Descubra A Família PEASS, nossa coleção exclusiva de NFTs
Junte-se ao 💬 grupo do Discord ou ao grupo do telegram ou siga-me no Twitter 🐦 @carlospolopm.
Compartilhe seus truques de hacking enviando PRs para os repositórios do HackTricks e HackTricks Cloud.

Todas as ações mencionadas nesta seção que alteram configurações gerarão um alerta de segurança para o e-mail e até uma notificação push para qualquer dispositivo móvel sincronizado com a conta.

Persistência no Gmail

Você pode criar filtros para ocultar notificações de segurança do Google
from: (no-reply@accounts.google.com) "Security Alert"
Isso impedirá que e-mails de segurança cheguem ao e-mail (mas não impedirá as notificações push no dispositivo móvel)

Passos para criar um filtro no Gmail

(Instruções de aqui)

Abra o Gmail.
Na caixa de pesquisa no topo, clique em Mostrar opções de pesquisa .
Insira seus critérios de pesquisa. Se deseja verificar se a pesquisa funcionou corretamente, veja quais e-mails aparecem clicando em Pesquisar.
No final da janela de pesquisa, clique em Criar filtro.
Escolha o que deseja que o filtro faça.
Clique em Criar filtro.

Verifique seus filtros atuais (para excluí-los) em https://mail.google.com/mail/u/0/#settings/filters

Crie um endereço de encaminhamento para encaminhar informações sensíveis (ou tudo) - Você precisa de acesso manual.
Crie um endereço de encaminhamento em https://mail.google.com/mail/u/2/#settings/fwdandpop
O endereço de recebimento precisará confirmar isso
Em seguida, defina para encaminhar todos os e-mails mantendo uma cópia (lembre-se de clicar em salvar alterações):

Também é possível criar filtros e encaminhar apenas e-mails específicos para o outro endereço de e-mail.

Senhas de aplicativos

Se você conseguiu comprometer uma sessão de usuário do Google e o usuário tinha 2FA, você pode gerar uma senha de aplicativo (siga o link para ver os passos). Note que Senhas de aplicativos não são mais recomendadas pelo Google e são revogadas quando o usuário altera a senha de sua Conta do Google.

Mesmo que você tenha uma sessão aberta, você precisará saber a senha do usuário para criar uma senha de aplicativo.

Senhas de aplicativos podem ser usadas apenas em contas com a Verificação em duas etapas ativada.

Alterar 2-FA e similares

Também é possível desativar a 2-FA ou inscrever um novo dispositivo (ou número de telefone) nesta página https://myaccount.google.com/security. Também é possível gerar chaves de acesso (adicionar seu próprio dispositivo), alterar a senha, adicionar números de celular para verificação de telefones e recuperação, alterar o e-mail de recuperação e alterar as perguntas de segurança).

Para evitar que notificações de segurança push cheguem ao telefone do usuário, você poderia sair do smartphone dele (embora isso seja estranho) porque você não pode logá-lo novamente daqui.

Também é possível localizar o dispositivo.

Mesmo que você tenha uma sessão aberta, você precisará saber a senha do usuário para alterar essas configurações.

Persistência via Aplicativos OAuth

Se você comprometeu a conta de um usuário, você pode simplesmente aceitar conceder todas as permissões possíveis a um Aplicativo OAuth. O único problema é que o Workspace pode ser configurado para impedir aplicativos OAuth externos e/ou internos não revisados. É bastante comum para Organizações do Workspace não confiarem por padrão em aplicativos OAuth externos, mas confiarem nos internos, então se você tiver permissões suficientes para gerar um novo aplicativo OAuth dentro da organização e aplicativos externos forem proibidos, gere e use esse novo aplicativo OAuth interno para manter a persistência.

Consulte a seguinte página para obter mais informações sobre Aplicativos OAuth:

pageGWS - Google Platforms Phishing

Persistência via Delegação

Você pode simplesmente delegar a conta para uma conta diferente controlada pelo atacante (se você tiver permissão para fazer isso). Nas Organizações do Workspace, essa opção deve estar ativada. Pode ser desativada para todos, ativada para alguns usuários/grupos ou para todos (geralmente é ativada apenas para alguns usuários/grupos ou completamente desativada).

Se você é um administrador do Workspace, verifique isso para habilitar o recurso

(Informações copiadas da documentação)

Como administrador de sua organização (por exemplo, seu trabalho ou escola), você controla se os usuários podem delegar acesso à sua conta do Gmail. Você pode permitir que todos tenham a opção de delegar sua conta. Ou, permitir apenas que pessoas em determinados departamentos configurem a delegação. Por exemplo, você pode:

Adicionar um assistente administrativo como delegado em sua conta do Gmail para que eles possam ler e enviar e-mails em seu nome.
Adicionar um grupo, como seu departamento de vendas, em Grupos como delegado para dar a todos acesso a uma conta do Gmail.

Os usuários só podem delegar acesso a outro usuário na mesma organização, independentemente de seu domínio ou sua unidade organizacional.

Limites e restrições de delegação

Opção Permitir que os usuários concedam acesso à caixa de correio a um grupo do Google: Para usar esta opção, ela deve estar ativada para a OU da conta delegada e para a OU de cada membro do grupo. Membros do grupo que pertencem a uma OU sem esta opção ativada não podem acessar a conta delegada.
Com o uso típico, 40 usuários delegados podem acessar uma conta do Gmail ao mesmo tempo. O uso acima da média por um ou mais delegados pode reduzir esse número.
Processos automatizados que acessam frequentemente o Gmail também podem reduzir o número de delegados que podem acessar uma conta ao mesmo tempo. Esses processos incluem APIs ou extensões do navegador que acessam o Gmail com frequência.
Uma única conta do Gmail suporta até 1.000 delegados exclusivos. Um grupo em Grupos conta como um delegado em relação ao limite.
A delegação não aumenta os limites de uma conta do Gmail. Contas do Gmail com usuários delegados têm os limites e políticas padrão da conta do Gmail. Para mais detalhes, visite Limites e políticas do Gmail.

Passo 1: Ativar a delegação do Gmail para seus usuários

Antes de começar: Para aplicar a configuração para determinados usuários, coloque suas contas em uma unidade organizacional.

Faça login no seu console de administração do Google.

Faça login usando uma conta de administrador, não sua conta atual CarlosPolop@gmail.com 2. No console de administração, vá para Menu AppsGoogle WorkspaceGmailConfigurações do usuário. 3. Para aplicar a configuração a todos, deixe a unidade organizacional superior selecionada. Caso contrário, selecione uma unidade organizacional filha. 4. Clique em Delegação de e-mail. 5. Marque a caixa Permitir que os usuários deleguem acesso à sua caixa de correio a outros usuários no domínio. 6. (Opcional) Para permitir que os usuários especifiquem quais informações do remetente são incluídas nas mensagens delegadas enviadas de sua conta, marque a caixa Permitir que os usuários personalizem essa configuração. 7. Selecione uma opção para as informações padrão do remetente que são incluídas em mensagens enviadas pelos delegados:

Mostrar o proprietário da conta e o delegado que enviou o e-mail—As mensagens incluem os endereços de e-mail do proprietário da conta do Gmail e do delegado.
Mostrar apenas o proprietário da conta—As mensagens incluem apenas o endereço de e-mail do proprietário da conta do Gmail. O endereço de e-mail do delegado não é incluído.

(Opcional) Para permitir que os usuários adicionem um grupo em Grupos como delegado, marque a caixa Permitir que os usuários concedam acesso à sua caixa de correio a um grupo do Google.
Clique em Salvar. Se você configurou uma unidade organizacional filha, talvez seja possível Herdar ou Substituir as configurações de uma unidade organizacional pai.
(Opcional) Para ativar a delegação do Gmail para outras unidades organizacionais, repita os passos 3–9.

As alterações podem levar até 24 horas, mas geralmente ocorrem mais rapidamente. Saiba mais

Passo 2: Faça com que os usuários configurem delegados para suas contas

Após ativar a delegação, seus usuários devem acessar as configurações do Gmail para atribuir delegados. Os delegados podem então ler, enviar e receber mensagens em nome do usuário.

Para mais detalhes, direcione os usuários para Delegar e colaborar em e-mails.

De um usuário comum, confira aqui as instruções para tentar delegar seu acesso

(Informações copiadas da documentação)

Você pode adicionar até 10 delegados.

Se você estiver usando o Gmail por meio do seu trabalho, escola ou outra organização:

Você pode adicionar até 1000 delegados dentro da sua organização.
Com uso típico, 40 delegados podem acessar uma conta do Gmail ao mesmo tempo.
Se você usar processos automatizados, como APIs ou extensões de navegador, alguns delegados podem acessar uma conta do Gmail ao mesmo tempo.

No seu computador, abra o Gmail. Você não pode adicionar delegados no aplicativo Gmail.
No canto superior direito, clique em Configurações Ver todas as configurações.
Clique na aba Contas e importação ou Contas.
Na seção "Conceder acesso à sua conta", clique em Adicionar outra conta. Se você estiver usando o Gmail por meio do seu trabalho ou escola, sua organização pode restringir a delegação de e-mails. Se você não vir essa configuração, entre em contato com seu administrador.

Se você não vir Conceder acesso à sua conta, então está restrito.

Insira o endereço de e-mail da pessoa que deseja adicionar. Se você estiver usando o Gmail por meio do seu trabalho, escola ou outra organização, e seu administrador permitir, você pode inserir o endereço de e-mail de um grupo. Este grupo deve ter o mesmo domínio que sua organização. Membros externos do grupo são negados acesso à delegação. Importante: Se a conta que você delegar for uma nova conta ou a senha foi redefinida, o administrador deve desativar a exigência de alteração de senha quando você fizer login pela primeira vez.

6. Clique em Próxima etapa Enviar e-mail para conceder acesso.

A pessoa que você adicionou receberá um e-mail pedindo confirmação. O convite expira após uma semana.

Se você adicionou um grupo, todos os membros do grupo se tornarão delegados sem precisar confirmar.

Observação: Pode levar até 24 horas para a delegação começar a ter efeito.

Persistência via Aplicativo Android

Se você tiver uma sessão dentro da conta Google das vítimas, você pode navegar até a Play Store e talvez consiga instalar malware que você já enviou para a loja diretamente no telefone para manter a persistência e acessar o telefone das vítimas.

Persistência via Scripts de Aplicativos

Você pode criar acionadores baseados em tempo em Scripts de Aplicativos, então se o Script de Aplicativo for aceito pelo usuário, ele será acionado mesmo sem o usuário acessá-lo. Para mais informações sobre como fazer isso, confira:

pageGWS - App Scripts

Referências

https://www.youtube-nocookie.com/embed/6AsVUS79gLw - Matthew Bryant - Hacking G Suite: The Power of Dark Apps Script Magic
https://www.youtube.com/watch?v=KTVHLolz6cE - Mike Felch e Beau Bullock - OK Google, How do I Red Team GSuite?

Aprenda hacking AWS do zero ao herói com htARTE (HackTricks AWS Red Team Expert)!

Outras maneiras de apoiar o HackTricks:

Se você deseja ver sua empresa anunciada no HackTricks ou baixar o HackTricks em PDF, confira os PLANOS DE ASSINATURA!
Adquira o swag oficial PEASS & HackTricks
Descubra A Família PEASS, nossa coleção exclusiva de NFTs
Junte-se ao 💬 grupo Discord ou ao grupo telegram ou siga-me no Twitter 🐦 @carlospolopm.
Compartilhe seus truques de hacking enviando PRs para os HackTricks e HackTricks Cloud repositórios do github.

AnteriorGWS - Post Exploitation SiguienteGWS - Google Platforms Phishing

Última actualización hace 1 mes