Digital Dumpster Diving vol 2

Az előző részben mutattam pár tippet hogy hogyan lehet sandoxokból, file hosting oldalakról, és még pár oldalról érdekes adatokat összegyűjteni.
Volt közöttük NASA doksitól kezdve, interpol, state.gov és minden amit el lehet képzelni.
Az egész végülis az emberi hülységet exploitálja hogy vannak emberek akik mindent feltöltenek különböző oldalakra, vagy tudás hiányában azt hiszik hogy az jó ha minden felmegy VirusTotalra.

Ez is egy hasonló bejegyzés lesz, kevés szöveg és sok kép. Ebben az esetben egy olyan oldalról kezdtem adatokat összeszedni ami PCAP analízisre van :). Sajnos az oldal még nem annyira befutot így gondoltam hogy nem lesz fent sok érdekes adat, de adtam egy próbát neki.
Próbáltam olyan kereséseket csinálni amivel nagy valószínűséggel ki fog adni olyan PCAP-et amiben van internal kommunikáció. Szóval Kerberosra kerestem, internal IP rangere, vagy SIP-re, syslogra stb.
Persze így is volt közötte ami nem az volt, vagy nem volt benne érdekes adat de azért akadt pár ami megfelelt.

Egy packet full tele SIP forgalommal, mint később kiderült ez egy szolgáltató belső forgalma.

Ez egy másik cég trafficja ahol épp SMB-n egy számlát küldenek át PDF-ben:

Szép és jó de ugye ennél érdekesebb dolgok kellenek. Itt az egyik legnagyobb elektronikai cég proxy pacjából egy szelet:

Ezen mondjuk azért elég nagyot néztem. De legalább a passwd elég komplex még ha nem is jár le. Ez egy group policy rollout forgalma:

Ez az egyik legnagyobb fényképező gépeket gyártó cég belső hálózatából van:

Mivel sima POP3 volt ezért ugye a levelézsük egy részét is lehet olvasni a packet capture-ben. Abból nem raknék be részletet.

És persze még mindig van tovább, az első nagyobb találatom az egy Bank vagy kirendeltség belső forgalma volt. Ez egy csekk elszámoló webapp ahova éppen ellenőrizték illetve töltötték fel a csekkek képeit és adatait is. Sajnos nem valami secured módon mert eleve nem https volt.
A queryre való response így nézett ki: JSON, benne base64-ben egy PNG.

Mivel ekkor még nem tudtam hogy mi is ez, fogtam és decode, png kép megnyit. És akkor láttam hogy a tárolt PNG kép a csekkről. Konkrétan 100+ darabszámra csekkekel volt tele a PCAP file.

Ennél még egy picit tovább mentem, mivel abba a packet strembe nyultam bele ahol azt láttam hogy már a csekkeket ellenőrzik. Logikusnak tűnt hogy a végén ment olyan felületre a user ahol látom milyen oldal ez, esetleg kiderül több info. Szóval kerestem egy olyan flowt ahol láttam hogy full HTML response van, és persze volt még benne javascript stb. Kimásoltam és megcsináltam az oldalt magamnak és megnéztem mégis milyen. Elég durva összegek szerepeltek benne.

Tanulság? Nem tudom elhinni hogy van olyan ember ki bent csinál egy tcpdumpot és utánna ezt feltölti a netre publikus fileshare oldalakra. Egyszerűen nem értem. Már lassan ott tartunk hogy egy metasploitot se kell elindítani mert nincs mit kihozni a cégtől. Minden itt van külső oldalakon publicba. Sőt az adminok lassan backupot állíthatnak vissza fileshare oldalakról. :D
Az utóbbi napokban megkerestem a legtöbb céget, és értesítettem őket a problémáról. Mindenhol volt egy kis kiakadás hogy ez hogy történhetett. Szerencsére kivétel nélkül nagyon megköszönték, és a TEK se jött ki...még... Megint felmerül a kérdés hogy belenézhet e az ember stb. Mivel ebben az esetben is elfogadta a feltöltő a terms and conditions részt ami tartalmazza hogy a saját adata, illetve publikus mások számára a feltöltött adat így jogilag tiszta. Bár ha valaki az adatokkal visszaél, az már egészen más tészta.

Érdekesség: Volt egy PCAP ami nagyon kitűnt a többi közül, a capture egy "külső IP-n" csinálták. Most persze csak tippelgetni lehet hogy mi történt, de lehetséges hogy valaki a belső hálózati forgalom egy részét továbbította egy kinti címen át és ott mindent logolt? Nem tudom, nekem ez nem tűnik elsőre valami logikus lépésnek, mert akkor utánna meg miért tölti fel a PCAP-et ide? Mindenesetre érdekes.

( SPYFF v | 2018. 02. 24., szo – 10:49 )

Nagyon szórakoztató poszt, köszi a munkát!

( end | 2018. 02. 24., szo – 14:22 )

Nagyon jó "krimi", ne hagy fel a sorozat folytatásával. (*** mert ezzel már különböző titkosszolgálati munkákba, kettősügynök.., v. csak korrupt, éppen az alvilággal kooperáló munkavállalók ügyeibe is belefuthasz. /azért késél..,)

( dii | 2018. 02. 25., v – 13:03 )

Arra gondoltam, hogy én is búvárkodom saját céges adatok után, de már alig találok klasszikus kereshető file sharing oldalakat, mint anno a megaupload volt. Az új vonalas file sharing-ek ha jól látom nem kereshetőek. Ha nem szemtelenség, megosztanál néhány oldanevet, ami kereshető file sharing?