GWS - Persistenza

Tip

Impara e pratica il hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Impara e pratica il hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Impara e pratica il hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Supporta HackTricks

Caution

Tutte le azioni menzionate in questa sezione che modificano le impostazioni genereranno un avviso di sicurezza all’email e persino una notifica push a qualsiasi dispositivo mobile sincronizzato con l’account.

Persistenza in Gmail

  • Puoi creare filtri per nascondere le notifiche di sicurezza da Google
  • from: (no-reply@accounts.google.com) "Security Alert"
  • Questo impedirĂ  che le email di sicurezza raggiungano l’email (ma non impedirĂ  le notifiche push al mobile)
Passaggi per creare un filtro gmail

(Istruzioni da qui)

  1. Apri Gmail.
  2. Nella casella di ricerca in alto, fai clic su Mostra opzioni di ricerca photos tune.
  3. Inserisci i tuoi criteri di ricerca. Se vuoi controllare che la tua ricerca abbia funzionato correttamente, guarda quali email appaiono facendo clic su Cerca.
  4. In fondo alla finestra di ricerca, fai clic su Crea filtro.
  5. Scegli cosa vuoi che faccia il filtro.
  6. Fai clic su Crea filtro.

Controlla il tuo filtro attuale (per eliminarli) in https://mail.google.com/mail/u/0/#settings/filters

  • Crea un indirizzo di inoltro per inoltrare informazioni sensibili (o tutto) - Hai bisogno di accesso manuale.
  • Crea un indirizzo di inoltro in https://mail.google.com/mail/u/2/#settings/fwdandpop
  • L’indirizzo ricevente dovrĂ  confermare questo
  • Poi, imposta per inoltrare tutte le email mantenendo una copia (ricorda di cliccare su salva modifiche):

È anche possibile creare filtri e inoltrare solo email specifiche all’altro indirizzo email.

Password per le app

Se sei riuscito a compromettere una sessione utente di Google e l’utente aveva 2FA, puoi generare una password per l’app (segui il link per vedere i passaggi). Nota che le password per le app non sono più raccomandate da Google e vengono revocate quando l’utente cambia la password del suo account Google.

Anche se hai una sessione aperta, dovrai conoscere la password dell’utente per creare una password per l’app.

Note

Le password per le app possono essere utilizzate solo con account che hanno attivato la Verifica in due passaggi.

Cambiare 2-FA e simili

È anche possibile disattivare 2-FA o registrare un nuovo dispositivo (o numero di telefono) in questa pagina https://myaccount.google.com/security.
È anche possibile generare chiavi di accesso (aggiungere il proprio dispositivo), cambiare la password, aggiungere numeri di telefono per telefoni di verifica e recupero, cambiare l’email di recupero e cambiare le domande di sicurezza).

Caution

Per prevenire le notifiche push di sicurezza che raggiungono il telefono dell’utente, potresti disconnettere il suo smartphone (anche se sarebbe strano) perché non puoi riconnetterlo da qui.

È anche possibile localizzare il dispositivo.

Anche se hai una sessione aperta, dovrai conoscere la password dell’utente per cambiare queste impostazioni.

Persistenza tramite app OAuth

Se hai compromesso l’account di un utente, puoi semplicemente accettare di concedere tutti i permessi possibili a un OAuth App. L’unico problema è che Workspace può essere configurato per non consentire app OAuth esterne e/o interne non revisionate.
È abbastanza comune che le organizzazioni di Workspace non si fidino per impostazione predefinita delle app OAuth esterne ma si fidino di quelle interne, quindi se hai sufficienti permessi per generare una nuova applicazione OAuth all’interno dell’organizzazione e le app esterne sono vietate, generala e usa quella nuova app OAuth interna per mantenere la persistenza.

Controlla la seguente pagina per ulteriori informazioni sulle app OAuth:

GWS - Google Platforms Phishing

Persistenza tramite delega

Puoi semplicemente delegare l’account a un altro account controllato dall’attaccante (se ti è consentito farlo). In Organizzazioni di Workspace questa opzione deve essere abilitata. Può essere disabilitata per tutti, abilitata per alcuni utenti/gruppi o per tutti (di solito è abilitata solo per alcuni utenti/gruppi o completamente disabilitata).

Se sei un amministratore di Workspace controlla qui per abilitare la funzione

(Informazioni copiate dalla documentazione)

Come amministratore della tua organizzazione (ad esempio, il tuo lavoro o la tua scuola), controlli se gli utenti possono delegare l’accesso al loro account Gmail. Puoi consentire a tutti di avere l’opzione di delegare il proprio account. Oppure, consentire solo a persone in determinati dipartimenti di impostare la delega. Ad esempio, puoi:

  • Aggiungere un assistente amministrativo come delegato sul tuo account Gmail in modo che possa leggere e inviare email per tuo conto.
  • Aggiungere un gruppo, come il tuo dipartimento vendite, in Gruppi come delegato per dare a tutti accesso a un account Gmail.

Gli utenti possono delegare l’accesso solo a un altro utente nella stessa organizzazione, indipendentemente dal loro dominio o dalla loro unità organizzativa.

Limiti e restrizioni della delega

  • Consenti agli utenti di concedere accesso alla loro casella di posta a un gruppo Google opzione: Per utilizzare questa opzione, deve essere abilitata per l’OU dell’account delegato e per l’OU di ciascun membro del gruppo. I membri del gruppo che appartengono a un’OU senza questa opzione abilitata non possono accedere all’account delegato.
  • Con un uso tipico, 40 utenti delegati possono accedere a un account Gmail contemporaneamente. Un uso superiore alla media da parte di uno o piĂš delegati potrebbe ridurre questo numero.
  • I processi automatizzati che accedono frequentemente a Gmail potrebbero anche ridurre il numero di delegati che possono accedere a un account contemporaneamente. Questi processi includono API o estensioni del browser che accedono frequentemente a Gmail.
  • Un singolo account Gmail supporta fino a 1.000 delegati unici. Un gruppo in Gruppi conta come un delegato verso il limite.
  • La delega non aumenta i limiti per un account Gmail. Gli account Gmail con utenti delegati hanno i limiti e le politiche standard degli account Gmail. Per dettagli, visita Limiti e politiche di Gmail.

Passo 1: Attivare la delega di Gmail per i tuoi utenti

Prima di iniziare: Per applicare l’impostazione a determinati utenti, metti i loro account in un ’unità organizzativa.

  1. Accedi alla tua console di amministrazione Google.

Accedi utilizzando un account amministratore, non il tuo attuale account CarlosPolop@gmail.com

  1. Nella console di amministrazione, vai su Menu e poi Appe poiGoogle Workspacee poiGmaile poiImpostazioni utente.
  2. Per applicare l’impostazione a tutti, lascia selezionata l’unità organizzativa principale. Altrimenti, seleziona un’unità organizzativa secondaria organizational unit.
  3. Fai clic su Delega email.
  4. Seleziona la casella Consenti agli utenti di delegare l’accesso alla loro casella di posta ad altri utenti nel dominio.
  5. (Facoltativo) Per consentire agli utenti di specificare quali informazioni del mittente sono incluse nei messaggi delegati inviati dal loro account, seleziona la casella Consenti agli utenti di personalizzare questa impostazione.
  6. Seleziona un’opzione per le informazioni del mittente predefinite incluse nei messaggi inviati dai delegati:
  • Mostra il proprietario dell’account e il delegato che ha inviato l’email—I messaggi includono gli indirizzi email del proprietario dell’account Gmail e del delegato.
  • Mostra solo il proprietario dell’account—I messaggi includono solo l’indirizzo email del proprietario dell’account Gmail. L’indirizzo email del delegato non è incluso.
  1. (Facoltativo) Per consentire agli utenti di aggiungere un gruppo in Gruppi come delegato, seleziona la casella Consenti agli utenti di concedere accesso alla loro casella di posta a un gruppo Google.
  2. Fai clic su Salva. Se hai configurato un’unità organizzativa secondaria, potresti essere in grado di Eredita o Sovrascrivere le impostazioni di un’unità organizzativa principale.
  3. (Facoltativo) Per attivare la delega di Gmail per altre unità organizzative, ripeti i passaggi 3–9.

Le modifiche possono richiedere fino a 24 ore, ma di solito avvengono piĂš rapidamente. Scopri di piĂš

Passo 2: Fai impostare agli utenti i delegati per i loro account

Dopo aver attivato la delega, i tuoi utenti vanno nelle impostazioni di Gmail per assegnare i delegati. I delegati possono quindi leggere, inviare e ricevere messaggi per conto dell’utente.

Per dettagli, indirizza gli utenti a Delegare e collaborare via email.

Da un utente normale, controlla qui le istruzioni per provare a delegare il tuo accesso

(Info copiate dalla documentazione)

Puoi aggiungere fino a 10 delegati.

Se stai utilizzando Gmail tramite il tuo lavoro, scuola o altra organizzazione:

  • Puoi aggiungere fino a 1000 delegati all’interno della tua organizzazione.
  • Con un uso tipico, 40 delegati possono accedere a un account Gmail contemporaneamente.
  • Se utilizzi processi automatizzati, come API o estensioni del browser, alcuni delegati possono accedere a un account Gmail contemporaneamente.
  1. Sul tuo computer, apri Gmail. Non puoi aggiungere delegati dall’app Gmail.
  2. In alto a destra, fai clic su Impostazioni Settings e poi Vedi tutte le impostazioni.
  3. Fai clic sulla scheda Account e importazione o Account.
  4. Nella sezione “Concedi accesso al tuo account”, fai clic su Aggiungi un altro account. Se stai utilizzando Gmail tramite il tuo lavoro o scuola, la tua organizzazione potrebbe limitare la delega delle email. Se non vedi questa impostazione, contatta il tuo amministratore.
  • Se non vedi Concedi accesso al tuo account, allora è limitato.
  1. Inserisci l’indirizzo email della persona che desideri aggiungere. Se stai utilizzando Gmail tramite il tuo lavoro, scuola o altra organizzazione, e il tuo amministratore lo consente, puoi inserire l’indirizzo email di un gruppo. Questo gruppo deve avere lo stesso dominio della tua organizzazione. I membri esterni del gruppo non possono accedere alla delega.

    Importante: Se l’account che delegi è un nuovo account o la password è stata reimpostata, l’amministratore deve disattivare il requisito di cambiare la password quando accedi per la prima volta.
  1. Fai clic su Passo successivo e poi Invia email per concedere accesso.

La persona che hai aggiunto riceverà un’email chiedendo di confermare. L’invito scade dopo una settimana.

Se hai aggiunto un gruppo, tutti i membri del gruppo diventeranno delegati senza dover confermare.

Nota: Potrebbe richiedere fino a 24 ore affinchĂŠ la delega inizi a prendere effetto.

Persistenza tramite app Android

Se hai una sessione all’interno dell’account Google della vittima puoi navigare nel Play Store e potresti essere in grado di installare malware che hai già caricato nel negozio direttamente sul telefono per mantenere la persistenza e accedere al telefono della vittima.

Persistenza tramite App Scripts

Puoi creare trigger basati sul tempo in App Scripts, quindi se lo Script dell’app è accettato dall’utente, verrà attivato anche senza che l’utente vi acceda. Per ulteriori informazioni su come fare questo controlla:

GWS - App Scripts

Riferimenti

Tip

Impara e pratica il hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Impara e pratica il hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Impara e pratica il hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Supporta HackTricks