GWS - Persistence

Reading time: 9 minutes

tip

AWS 해킹 배우기 및 연습하기:HackTricks Training AWS Red Team Expert (ARTE)
GCP 해킹 배우기 및 연습하기: HackTricks Training GCP Red Team Expert (GRTE) Azure 해킹 배우기 및 연습하기: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks 지원하기

caution

이 섹션에서 언급된 모든 설정 변경 작업은 계정과 동기화된 모든 모바일로 이메일 및 푸시 알림에 대한 보안 경고를 생성합니다.

Gmail에서의 지속성

  • Google의 보안 알림을 숨기기 위한 필터를 생성할 수 있습니다.
  • from: (no-reply@accounts.google.com) "Security Alert"
  • 이는 보안 이메일이 이메일에 도달하는 것을 방지하지만(모바일에 대한 푸시 알림은 방지하지 않음)
Gmail 필터 생성 단계

(지침은 여기에서 확인하세요)

  1. Gmail을 엽니다.
  2. 상단의 검색 상자에서 검색 옵션 표시를 클릭합니다 photos tune.
  3. 검색 기준을 입력합니다. 검색이 제대로 작동했는지 확인하려면 검색을 클릭하여 어떤 이메일이 표시되는지 확인합니다.
  4. 검색 창 하단에서 필터 만들기를 클릭합니다.
  5. 필터가 수행할 작업을 선택합니다.
  6. 필터 만들기를 클릭합니다.

현재 필터를 확인하려면 https://mail.google.com/mail/u/0/#settings/filters에서 삭제할 수 있습니다.

  • 민감한 정보를 전달하기 위한 전달 주소를 생성합니다 (또는 모든 것을) - 수동 접근이 필요합니다.
  • https://mail.google.com/mail/u/2/#settings/fwdandpop에서 전달 주소를 생성합니다.
  • 수신 주소는 이를 확인해야 합니다.
  • 그런 다음 모든 이메일을 전달하면서 복사본을 유지하도록 설정합니다(변경 사항 저장 클릭하는 것을 잊지 마세요):

특정 이메일만 다른 이메일 주소로 전달하도록 필터를 생성하는 것도 가능합니다.

앱 비밀번호

구글 사용자 세션을 타협하고 사용자가 2FA를 사용하고 있다면, 앱 비밀번호생성할 수 있습니다(단계는 링크를 따라 확인하세요). **앱 비밀번호는 더 이상 Google에서 권장하지 않으며 사용자가 Google 계정 비밀번호를 변경할 때 취소됩니다.

열린 세션이 있더라도 앱 비밀번호를 생성하려면 사용자의 비밀번호를 알아야 합니다.

note

앱 비밀번호는 2단계 인증이 활성화된 계정에서만 사용할 수 있습니다.

2-FA 변경 및 유사

이 페이지 https://myaccount.google.com/security에서 2-FA를 끄거나 새로운 장치(또는 전화번호)를 등록할 수 있습니다.
패스키를 생성하고(자신의 장치 추가), 비밀번호를 변경하고, 확인 전화 및 복구를 위한 모바일 번호를 추가하고, 복구 이메일을 변경하고, 보안 질문을 변경하는 것도 가능합니다.

caution

사용자의 전화로 보안 푸시 알림이 도달하지 않도록 하려면 그의 스마트폰에서 로그아웃할 수 있습니다(그렇지만 이상할 수 있습니다) 왜냐하면 여기서 다시 로그인할 수 없기 때문입니다.

장치를 찾는 것도 가능합니다.

열린 세션이 있더라도 이러한 설정을 변경하려면 사용자의 비밀번호를 알아야 합니다.

OAuth 앱을 통한 지속성

사용자의 계정을 타협한 경우, OAuth 앱에 모든 가능한 권한을 부여하는 것을 수락할 수 있습니다. 단, Workspace는 검토되지 않은 외부 및/또는 내부 OAuth 앱을 허용하지 않도록 설정할 수 있습니다.
Workspace 조직에서는 기본적으로 외부 OAuth 앱을 신뢰하지 않지만 내부 앱은 신뢰하는 경우가 많으므로, 조직 내에서 새로운 OAuth 애플리케이션을 생성할 수 있는 충분한 권한이 있다면 생성하고 그 새로운 내부 OAuth 앱을 사용하여 지속성을 유지하세요.

OAuth 앱에 대한 자세한 내용은 다음 페이지를 확인하세요:

GWS - Google Platforms Phishing

위임을 통한 지속성

계정을 공격자가 제어하는 다른 계정으로 위임할 수 있습니다(이렇게 할 수 있는 경우). Workspace 조직에서는 이 옵션이 활성화되어야 합니다. 모든 사용자에게 비활성화되거나 일부 사용자/그룹에서 활성화되거나 모든 사용자에게 활성화될 수 있습니다(일반적으로 일부 사용자/그룹에 대해서만 활성화되거나 완전히 비활성화됩니다).

Workspace 관리자인 경우 이 기능을 활성화하는 방법을 확인하세요

(정보는 문서에서 복사됨)

조직의 관리자로서(예: 귀하의 직장 또는 학교) 사용자가 Gmail 계정에 대한 액세스를 위임할 수 있는지 제어합니다. 모든 사용자에게 계정을 위임할 수 있는 옵션을 제공하거나 특정 부서의 사람들만 위임을 설정할 수 있도록 할 수 있습니다. 예를 들어:

  • 관리 보조자를 귀하의 Gmail 계정에 대한 위임자로 추가하여 그들이 귀하를 대신하여 이메일을 읽고 보낼 수 있도록 합니다.
  • 그룹을 추가하여 모든 사람이 하나의 Gmail 계정에 액세스할 수 있도록 합니다.

사용자는 동일한 조직 내의 다른 사용자에게만 액세스를 위임할 수 있으며, 도메인이나 조직 단위에 관계없이 가능합니다.

위임 한도 및 제한

  • 사용자가 Google 그룹에 자신의 메일박스 액세스를 부여할 수 있도록 허용 옵션: 이 옵션을 사용하려면 위임된 계정의 OU와 각 그룹 구성원의 OU에 대해 활성화되어야 합니다. 이 옵션이 활성화되지 않은 OU에 속한 그룹 구성원은 위임된 계정에 액세스할 수 없습니다.
  • 일반적인 사용으로 40명의 위임된 사용자가 동시에 Gmail 계정에 액세스할 수 있습니다. 한 명 이상의 위임자가 평균 이상으로 사용할 경우 이 숫자가 줄어들 수 있습니다.
  • Gmail에 자주 액세스하는 자동화된 프로세스는 동시에 계정에 액세스할 수 있는 위임자의 수를 줄일 수 있습니다. 이러한 프로세스에는 Gmail에 자주 액세스하는 API 또는 브라우저 확장 프로그램이 포함됩니다.
  • 단일 Gmail 계정은 최대 1,000명의 고유한 위임자를 지원합니다. 그룹은 한 위임자로 계산됩니다.
  • 위임은 Gmail 계정의 한도를 증가시키지 않습니다. 위임된 사용자가 있는 Gmail 계정은 표준 Gmail 계정 한도 및 정책을 가집니다. 자세한 내용은 Gmail 한도 및 정책을 방문하세요.

1단계: 사용자를 위한 Gmail 위임 활성화

시작하기 전에: 특정 사용자에 대한 설정을 적용하려면 해당 계정을 조직 단위에 넣으세요.

  1. Google 관리 콘솔로그인합니다.

관리자 계정을 사용하여 로그인하세요. 현재 계정인 CarlosPolop@gmail.com이 아닙니다.

  1. 관리 콘솔에서 메뉴로 이동합니다 그리고 그리고Google Workspace그리고Gmail그리고사용자 설정으로 이동합니다.
  2. 모든 사용자에게 설정을 적용하려면 상위 조직 단위를 선택한 상태로 둡니다. 그렇지 않으면 하위 조직 단위를 선택합니다.
  3. 메일 위임을 클릭합니다.
  4. 사용자가 도메인의 다른 사용자에게 자신의 메일박스에 대한 액세스를 위임할 수 있도록 허용 상자를 체크합니다.
  5. (선택 사항) 사용자가 자신의 계정에서 전송된 위임된 메시지에 포함된 발신자 정보를 지정할 수 있도록 하려면 사용자가 이 설정을 사용자 지정할 수 있도록 허용 상자를 체크합니다.
  6. 위임자가 보낸 메시지에 포함된 기본 발신자 정보에 대한 옵션을 선택합니다:
  • 계정 소유자와 이메일을 보낸 위임자를 표시—메시지에는 Gmail 계정 소유자와 위임자의 이메일 주소가 포함됩니다.
  • 계정 소유자만 표시—메시지에는 Gmail 계정 소유자의 이메일 주소만 포함됩니다. 위임자의 이메일 주소는 포함되지 않습니다.
  1. (선택 사항) 사용자가 그룹을 위임자로 추가할 수 있도록 하려면 사용자가 Google 그룹에 자신의 메일박스 액세스를 부여할 수 있도록 허용 상자를 체크합니다.
  2. 저장을 클릭합니다. 하위 조직 단위를 구성한 경우 상위 조직 단위의 설정을 상속하거나 재정의할 수 있습니다.
  3. (선택 사항) 다른 조직 단위에 대해 Gmail 위임을 활성화하려면 3-9단계를 반복합니다.

변경 사항은 최대 24시간이 걸릴 수 있지만 일반적으로 더 빨리 발생합니다. 자세히 알아보기

2단계: 사용자가 자신의 계정에 대한 위임자를 설정하도록 합니다.

위임을 활성화한 후 사용자는 Gmail 설정으로 이동하여 위임자를 지정합니다. 위임자는 사용자를 대신하여 메시지를 읽고, 보내고, 받을 수 있습니다.

자세한 내용은 사용자를 이메일 위임 및 협업으로 안내하세요.

일반 사용자로서 액세스를 위임하려고 시도하는 방법을 확인하세요

(정보는 문서에서 복사됨)

최대 10명의 위임자를 추가할 수 있습니다.

직장, 학교 또는 기타 조직을 통해 Gmail을 사용하는 경우:

  • 조직 내에서 최대 1000명의 위임자를 추가할 수 있습니다.
  • 일반적인 사용으로 40명의 위임자가 동시에 Gmail 계정에 액세스할 수 있습니다.
  • API 또는 브라우저 확장 프로그램과 같은 자동화된 프로세스를 사용하는 경우 몇 명의 위임자가 동시에 Gmail 계정에 액세스할 수 있습니다.
  1. 컴퓨터에서 Gmail을 엽니다. Gmail 앱에서는 위임자를 추가할 수 없습니다.
  2. 오른쪽 상단에서 설정을 클릭합니다 Settings 그리고 모든 설정 보기를 클릭합니다.
  3. 계정 및 가져오기 또는 계정 탭을 클릭합니다.
  4. "계정에 대한 액세스 권한 부여" 섹션에서 다른 계정 추가를 클릭합니다. 직장이나 학교를 통해 Gmail을 사용하는 경우, 조직에서 이메일 위임을 제한할 수 있습니다. 이 설정이 보이지 않으면 관리자에게 문의하세요.
  • 계정에 대한 액세스 권한 부여가 보이지 않으면 제한된 것입니다.
  1. 추가할 사람의 이메일 주소를 입력합니다. 직장, 학교 또는 기타 조직을 통해 Gmail을 사용하는 경우, 관리자가 허용하는 경우 그룹의 이메일 주소를 입력할 수 있습니다. 이 그룹은 귀하의 조직과 동일한 도메인을 가져야 합니다. 그룹의 외부 구성원은 위임 액세스가 거부됩니다.

    중요: 위임하는 계정이 새 계정이거나 비밀번호가 재설정된 경우, 관리자는 처음 로그인할 때 비밀번호 변경 요구 사항을 끄고 있어야 합니다.
  1. 다음 단계를 클릭합니다 그리고 액세스 권한 부여 이메일 보내기를 클릭합니다.

추가한 사람은 확인 요청 이메일을 받게 됩니다. 초대는 일주일 후에 만료됩니다.

그룹을 추가한 경우, 모든 그룹 구성원이 확인 없이 위임자가 됩니다.

참고: 위임이 효과를 보기까지 최대 24시간이 걸릴 수 있습니다.

Android 앱을 통한 지속성

피해자의 Google 계정 내에서 세션이 있는 경우 Play Store로 이동하여 이미 업로드한 악성코드를 전화에 직접 설치하여 지속성을 유지하고 피해자의 전화에 접근할 수 있습니다.

앱 스크립트를 통한 지속성

앱 스크립트에서 시간 기반 트리거를 생성할 수 있으므로, 사용자가 앱 스크립트를 수락하면 사용자가 액세스하지 않아도 트리거됩니다. 이를 수행하는 방법에 대한 자세한 내용은 다음을 확인하세요:

GWS - App Scripts

참고 문헌

tip

AWS 해킹 배우기 및 연습하기:HackTricks Training AWS Red Team Expert (ARTE)
GCP 해킹 배우기 및 연습하기: HackTricks Training GCP Red Team Expert (GRTE) Azure 해킹 배우기 및 연습하기: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks 지원하기