Português - Ht Cloud
HackTricks Training Twitter Linkedin Sponsor

GWS - Persistence

Support HackTricks

Todas as ações mencionadas nesta seção que alteram configurações gerarão um alerta de segurança para o e-mail e até uma notificação push para qualquer dispositivo móvel sincronizado com a conta.

Persistência no Gmail

  • Você pode criar filtros para ocultar notificações de segurança do Google

  • from: (no-reply@accounts.google.com) "Security Alert"

  • Isso impedirá que e-mails de segurança cheguem ao e-mail (mas não impedirá notificações push no celular)

Passos para criar um filtro no gmail

(Instruções aqui)

  1. Abra Gmail.

  2. Na caixa de pesquisa na parte superior, clique em Mostrar opções de pesquisa .

  3. Insira seus critérios de pesquisa. Se você quiser verificar se sua pesquisa funcionou corretamente, veja quais e-mails aparecem clicando em Pesquisar.

  4. Na parte inferior da janela de pesquisa, clique em Criar filtro.

  5. Escolha o que você gostaria que o filtro fizesse.

  6. Clique em Criar filtro.

Verifique seu filtro atual (para excluí-los) em https://mail.google.com/mail/u/0/#settings/filters

  • Crie um endereço de encaminhamento para encaminhar informações sensíveis (ou tudo) - Você precisa de acesso manual.

  • Crie um endereço de encaminhamento em https://mail.google.com/mail/u/2/#settings/fwdandpop

  • O endereço de recebimento precisará confirmar isso

  • Em seguida, defina para encaminhar todos os e-mails enquanto mantém uma cópia (lembre-se de clicar em salvar alterações):

Também é possível criar filtros e encaminhar apenas e-mails específicos para o outro endereço de e-mail.

Senhas de aplicativo

Se você conseguiu comprometer uma sessão de usuário do Google e o usuário tinha 2FA, você pode gerar uma senha de aplicativo (siga o link para ver os passos). Observe que senhas de aplicativo não são mais recomendadas pelo Google e são revogadas quando o usuário altera a senha da conta do Google.

Mesmo que você tenha uma sessão aberta, você precisará saber a senha do usuário para criar uma senha de aplicativo.

Senhas de aplicativo podem ser usadas apenas com contas que têm a Verificação em Duas Etapas ativada.

Alterar 2-FA e similar

Também é possível desativar 2-FA ou inscrever um novo dispositivo (ou número de telefone) nesta página https://myaccount.google.com/security. Também é possível gerar chaves de acesso (adicionar seu próprio dispositivo), alterar a senha, adicionar números de celular para telefones de verificação e recuperação, alterar o e-mail de recuperação e mudar as perguntas de segurança).

Para evitar que notificações push de segurança cheguem ao telefone do usuário, você poderia desconectar seu smartphone (embora isso seja estranho) porque você não pode reconectá-lo novamente a partir daqui.

Também é possível localizar o dispositivo.

Mesmo que você tenha uma sessão aberta, você precisará saber a senha do usuário para alterar essas configurações.

Persistência via Aplicativos OAuth

Se você comprometeu a conta de um usuário, você pode simplesmente aceitar conceder todas as permissões possíveis a um Aplicativo OAuth. O único problema é que o Workspace pode ser configurado para proibir aplicativos OAuth externos e/ou internos não revisados. É bastante comum que as Organizações do Workspace não confiem por padrão em aplicativos OAuth externos, mas confiem em internos, então se você tiver permissões suficientes para gerar um novo aplicativo OAuth dentro da organização e aplicativos externos forem proibidos, gere-o e use esse novo aplicativo OAuth interno para manter a persistência.

Verifique a página a seguir para mais informações sobre Aplicativos OAuth:

GWS - Google Platforms Phishing

Persistência via delegação

Você pode simplesmente delegar a conta para uma conta diferente controlada pelo atacante (se você tiver permissão para fazer isso). No Workspace Organizações essa opção deve ser ativada. Pode ser desativada para todos, ativada para alguns usuários/grupos ou para todos (geralmente é ativada apenas para alguns usuários/grupos ou completamente desativada).

Se você é um administrador do Workspace, verifique isso para ativar o recurso

(Informação copiada da documentação)

Como administrador da sua organização (por exemplo, seu trabalho ou escola), você controla se os usuários podem delegar acesso à sua conta do Gmail. Você pode permitir que todos tenham a opção de delegar sua conta. Ou, apenas permitir que pessoas de certos departamentos configurem a delegação. Por exemplo, você pode:

  • Adicionar um assistente administrativo como delegado na sua conta do Gmail para que ele possa ler e enviar e-mails em seu nome.

  • Adicionar um grupo, como seu departamento de vendas, em Grupos como delegado para dar a todos acesso a uma conta do Gmail.

Os usuários só podem delegar acesso a outro usuário na mesma organização, independentemente de seu domínio ou unidade organizacional.

Limites e restrições de delegação

  • Permitir que os usuários concedam acesso à sua caixa de entrada a um grupo do Google opção: Para usar esta opção, ela deve ser ativada para a OU da conta delegada e para a OU de cada membro do grupo. Membros do grupo que pertencem a uma OU sem esta opção ativada não podem acessar a conta delegada.

  • Com uso típico, 40 usuários delegados podem acessar uma conta do Gmail ao mesmo tempo. O uso acima da média por um ou mais delegados pode reduzir esse número.

  • Processos automatizados que acessam frequentemente o Gmail também podem reduzir o número de delegados que podem acessar uma conta ao mesmo tempo. Esses processos incluem APIs ou extensões de navegador que acessam o Gmail com frequência.

  • Uma única conta do Gmail suporta até 1.000 delegados únicos. Um grupo em Grupos conta como um delegado em relação ao limite.

  • A delegação não aumenta os limites para uma conta do Gmail. Contas do Gmail com usuários delegados têm os limites e políticas padrão da conta do Gmail. Para detalhes, visite Limites e políticas do Gmail.

Passo 1: Ativar a delegação do Gmail para seus usuários

Antes de começar: Para aplicar a configuração a certos usuários, coloque suas contas em uma unidade organizacional.

  1. Faça login no seu console de administração do Google.

Faça login usando uma conta de administrador, não sua conta atual CarlosPolop@gmail.com 2. No console de administração, vá para Menu AppsGoogle WorkspaceGmailConfigurações do usuário. 3. Para aplicar a configuração a todos, deixe a unidade organizacional superior selecionada. Caso contrário, selecione uma unidade organizacional filha. 4. Clique em Delegação de e-mail. 5. Marque a caixa Permitir que os usuários deleguem acesso à sua caixa de entrada a outros usuários no domínio. 6. (Opcional) Para permitir que os usuários especifiquem quais informações do remetente estão incluídas nas mensagens delegadas enviadas de sua conta, marque a caixa Permitir que os usuários personalizem esta configuração. 7. Selecione uma opção para as informações do remetente padrão que estão incluídas nas mensagens enviadas pelos delegados:

  • Mostrar o proprietário da conta e o delegado que enviou o e-mail—As mensagens incluem os endereços de e-mail do proprietário da conta do Gmail e do delegado.

  • Mostrar apenas o proprietário da conta—As mensagens incluem o endereço de e-mail apenas do proprietário da conta do Gmail. O endereço de e-mail do delegado não está incluído.

  1. (Opcional) Para permitir que os usuários adicionem um grupo em Grupos como delegado, marque a caixa Permitir que os usuários concedam acesso à sua caixa de entrada a um grupo do Google.

  2. Clique em Salvar. Se você configurou uma unidade organizacional filha, pode ser possível Herdar ou Substituir as configurações de uma unidade organizacional pai.

  3. (Opcional) Para ativar a delegação do Gmail para outras unidades organizacionais, repita os passos 3–9.

As mudanças podem levar até 24 horas, mas normalmente acontecem mais rapidamente. Saiba mais

Passo 2: Faça os usuários configurarem delegados para suas contas

Depois de ativar a delegação, seus usuários vão para as configurações do Gmail para atribuir delegados. Os delegados podem então ler, enviar e receber mensagens em nome do usuário.

Para detalhes, direcione os usuários para Delegar e colaborar em e-mail.

De um usuário regular, verifique aqui as instruções para tentar delegar seu acesso

(Info copiada da documentação)

Você pode adicionar até 10 delegados.

Se você estiver usando o Gmail através do seu trabalho, escola ou outra organização:

  • Você pode adicionar até 1000 delegados dentro da sua organização.

  • Com uso típico, 40 delegados podem acessar uma conta do Gmail ao mesmo tempo.

  • Se você usar processos automatizados, como APIs ou extensões de navegador, alguns delegados podem acessar uma conta do Gmail ao mesmo tempo.

  1. No seu computador, abra Gmail. Você não pode adicionar delegados pelo aplicativo Gmail.

  3. Clique na aba Contas e Importação ou Contas.

  4. Na seção "Conceder acesso à sua conta", clique em Adicionar outra conta. Se você estiver usando o Gmail através do seu trabalho ou escola, sua organização pode restringir a delegação de e-mail. Se você não ver esta configuração, entre em contato com seu administrador.

  • Se você não ver Conceder acesso à sua conta, então está restrito.

  1. Insira o endereço de e-mail da pessoa que você deseja adicionar. Se você estiver usando o Gmail através do seu trabalho, escola ou outra organização, e seu administrador permitir, você pode inserir o endereço de e-mail de um grupo. Este grupo deve ter o mesmo domínio que sua organização. Membros externos do grupo são negados acesso à delegação. Importante: Se a conta que você delega é uma nova conta ou a senha foi redefinida, o Administrador deve desativar a exigência de alterar a senha quando você fizer login pela primeira vez.

A pessoa que você adicionou receberá um e-mail pedindo para confirmar. O convite expira após uma semana.

Se você adicionou um grupo, todos os membros do grupo se tornarão delegados sem precisar confirmar.

Nota: Pode levar até 24 horas para que a delegação comece a ter efeito.

Persistência via Aplicativo Android

Se você tiver uma sessão dentro da conta do Google da vítima, pode navegar até a Play Store e pode ser capaz de instalar malware que você já carregou na loja diretamente no telefone para manter a persistência e acessar o telefone da vítima.

Persistência via Scripts de Aplicativo

Você pode criar gatilhos baseados em tempo em Scripts de Aplicativo, então se o Script de Aplicativo for aceito pelo usuário, ele será ativado mesmo sem o usuário acessá-lo. Para mais informações sobre como fazer isso, verifique:

GWS - App Scripts

Referências

Support HackTricks
PreviousGWS - Post ExploitationNextGWS - Google Platforms Phishing

Last updated