jueves, junio 23, 2016

RansomCloud O365: Paga por tus mensajes de e-mail @elevenpaths #Ransomware #Office365 #sappo

Para la pasada RootedCON 2016, entre Ioseba Palop, Pablo González y yo preparamos una charla sobre Sappo: Spear Apps to Steal your OAuth-Tokens, en la que mostrábamos cómo es posible, con un solo clic que autorice a una app maliciosa el acceso a tu Identity Provider, acceder a todos tus mensajes de Office 365, archivos de OneDrive o mensajes de Gmail. Aquella charla aún no ha sido publicada, pero escribimos el artículo que podéis leer en el blog. Sin embargo, estábamos trabajando en una idea que iba un paso más allá, lo que recibió el nombre de RansomCloud.

Figura 1: RansomCloud O365. Paga por tus mensajes de e-mails {y ficheros de OneDrive}

Para los que no pudisteis venir a la charla de presentación de Sappo, la idea se resume en hacer un ataque dirigido vía e-mail para robar un OAuth Token. Para ello se crea una aplicación maliciosa en al plataforma Office365 de Microsoft o en la plataforma de Google, y con un poco de ingeniería social se consigue que el usuario conceda los permisos a esa app para acceder a partes de la plataforma.


Figura 2: Robo de OAuth Token en cuenta de Office 365 con Sappo

En el artículo de Sappo tenéis todo el proceso detallado, pero en estos dos vídeo tenéis como funciona el proceso con una cuenta de Outlook Online en Office 365 y con una cuenta de Outlook.com. A la izquierda la máquina del atacante, a la derecha la máquina de la víctima.


Figura 3: Robo de OAuth Token en cuenta de Outlook.com con Sappo

Con este OAuth Token, como se ha visto en los vídeos, un atacante podría estar accediendo al contenido de los mensajes y a la información. Para que los datos no queden comprometidos, se puede utilizar una solución de cifrado de nube pública, como Vaultive, que solo deja ver el contenido descifrado si se pasa a través del gateway de seguridad.  En este vídeo tenéis como sería la experiencia del atacante.


Figura 4: Acceso a cuenta de Office 365 protegida con Sappo. El contenido no es visible

Pero, esto puede ser peor, y convertirse en un Ransomware en toda regla para los servicios en la Cloud. La idea del RansomCloud es secuestrar los contenidos que una persona tiene en sus servicios en la nube por medio del robo de un OAuth Token, ya que con los permisos adecuados es fácil acceder al contenido, cifrarlo, eliminar el contenido descifrado y dejar solo el contenido cifrado. Esto es lo que hicimos con RansomCloud, tal y como se puede ver en este vídeo.


Figura 5: RansomCloud O365. Secuestro de contenido del buzón de Office 365

Para explicar el proceso completo, hemos escrito unos papers que puedes ver en inglés y en español con absolutamente todos los pasos que podrían hacer que la nueva generación de Ransomware empiece a afectarte en tus servicios en la nube, en lugar de el ransomware de tu equipo local o el ransomware de tus sistemas en hospitales.



En el paper [RansomCloud O365 English] [RansomCloud O365 Español] que tenéis adjunto podéis leer con detalle toda la información y, como os he puesto ya, también lo tenéis en inglés. Si tienes servicios en la Cloud, asegúrate de tener copias de seguridad, sistemas de análisis de logs en tiempo real que puedan ayudarte a detectar uno de estos ataques y estáte listo para evitar que te secuestren tu cuenta de correo en la nube.

Saludos Malignos!

1 comentario:

  1. El código sappo esta a la venta o es gratuita y donde se puede encontrar deberían hacer cursos gratuitos para a prender sobre la seguridad por que hay personas que no tienen recursos como estudia a si como yo que me gustan muchos esto temas y no se como estudiarla por recursos económicos

    ResponderEliminar