01.07.2025
1 хв
1261
Дізнайтесь, як ефективно використовувати Social-Engineer Toolkit (SET) у середовищі Kali NetHunter для проведення фішингових атак, створення підроблених сайтів і перехоплення облікових даних. Покроковий гайд допоможе вам зрозуміти механізм соціальної інженерії, основні методи кібератак і засоби захисту від них. Стаття підійде як для новачків, так і для досвідчених фахівців із кібербезпеки.
Дисклеймер: Цей матеріал створено виключно з освітньою метою. Всі згадані інструменти, сценарії атак і техніки соціальної інженерії описані лише для демонстрації потенційних загроз у сфері кібербезпеки та навчання захисту від них.
Соціальна інженерія — це техніка, яку використовують зловмисники, щоб обманом змусити людей розкрити конфіденційну інформацію або виконати дії, що впливають на безпеку системи чи мережі. Набір інструментів соціальної інженерії (SET) — один із найпопулярніших інструментів, що використовуються в атаках соціальної інженерії, створений Девідом Кеннеді . SET — це фреймворк, який автоматизує створення та розповсюдження шкідливих корисних навантажень та фішингових атак. У цій публікації ми розглянемо SET детальніше та пояснимо, як його можна застосувати для успішних атак соціальної інженерії за допомогою смартфона Android під керуванням NetHunter.
Ми також розглянемо деякі тактики та стратегії, які використовують зловмисники, щоб обманом змусити жертв попастися на такі атаки, а також рішення для захисту від них.
Програма з відкритим кодом під назвою SET створена для проведення складних атак соціальної інженерії. Тестери на проникнення та дослідники безпеки використовують SET для оцінки безпеки організації від атак соціальної інженерії. Складні вектори атак, що використовуються SET, включають фішинг, атаки на веб-сайти та розробку шкідливих корисних навантажень. Це простий інструмент, який допомагає автоматизувати виконання різних атак. За замовчуванням SET попередньо встановлений у Kali NetHunter.
У меню програми NetHunter відкрийте SET та відкрийте Email Templateінтерфейс користувача. Це дозволить вам створити шаблон електронного листа, який відображатиметься як надісланий з Messenger, Facebook або Twitter. Коли одержувач натискає, у моєму випадку на Open Messenger, воно відкриває evil.comпосилання. Як видно на мал 1, електронну пошту можна легко налаштувати за допомогою інтуїтивно зрозумілого графічного інтерфейсу. Після налаштування натисніть на SAVE та LAUNCH SET.
SET надає інтерфейс командного рядка, який дозволяє вибирати з кількох різних опцій. Ми зосередимося головним чином на опції номер один, Social-Engineering Attacks.
Атаки соціальної інженерії пропонують різноманітні варіанти, включаючи вектор атаки BadUSB на основі Arduino, точки доступу Rogue та генератор QR-кодів. Ось короткий огляд деяких з них:
Spear-Phishing Attack Vectors: Ця опція дозволяє надсилати цільові фішингові електронні листи певним особам або групам.
Website Attack Vectors: Ця опція дозволяє створити шкідливий веб-сайт, який можна використовувати для використання вразливостей у веб-браузерах, плагінах, створення шкідливого Java-аплету та клонування веб-сайтів для збору облікових даних.
Infectious Media GeneratorЦя опція дозволяє створити шкідливий USB-накопичувач або компакт-диск, який можна використовувати для зараження інших комп’ютерів через автозапуск.
Create a Payload and ListenerЦя опція дозволяє створити шкідливе корисне навантаження (наприклад, зворотну оболонку) та слухач для отримання з’єднання від корисного навантаження.
Mass Mailer Attack: Це дозволяє надіслати електронного листа одній окремій особі або списку людей. Список імпортується з файлу.
Arduino-Based Attack VectorЦе вектор фізичної атаки, який вимагає, щоб USB-пристрій Teensy поводився як BadUSB. Його метою є виконання користувацького коду, такого як скрипти PowerShell, корисні навантаження MSF, wscripts тощо.
Wireless Access Point Attack VectorЦей модуль може створювати бездротові точки спостереження.
QRCode Generator Attack VectorМожна створити зображення QR-коду з власної URL-адреси.
Powershell Attack VectorЦей модуль допомагає генерувати та розгортати скрипти PowerShell для отримання зворотного доступу, прив’язки оболонки або дампа бази даних SAM.
Third Party ModulesДопоможе вам додати додаткові модулі для ваших власних атак.
У наступній частині ми розглянемо одну з найпоширеніших векторних атак, а саме клоновані фальшиві веб-сайти та фішингові листи, використовуючи наш уже створений шаблон електронної пошти, показаний на мал 1.
Це Website Attack Vector дозволяє створити шкідливий веб-сайт, який можна використовувати для використання вразливостей у веб-браузерах або плагінах та крадіжки конфіденційної інформації у нічого не підозрюючих жертв. Ви можете створити шкідливий веб-сайт, який може розповсюджувати корисні навантаження, збирати інформацію для входу та фішингом виманювати особисті дані.
Спочатку ми обираємо Credential Harvester Attack Method(варіант номер три).
З Credential Harvester ми можемо використовувати Web Templates, який включатиме вибраний користувачем експлойт браузера, який потім можна буде прив’язати, наприклад, до зворотної оболонки, щоб ми могли зв’язатися з ураженою машиною. Більшість експлойтів застарілі та виправлені.
Потім є Custom Importопція, де ви повинні вибрати шлях на своєму пристрої до index.htmlцільового об’єкта, який буде відображатися.
Використовуючи Site Cloner, можна дублювати будь-який веб-сайт, який ввів користувач, захоплювати поля введення користувача та доставити його на пристрій зловмисника. Введіть IP-адресу вашого пристрою, яка буде надіслана до цільового браузера, та URL-адресу для клонування.
Після введення користувачем облікових даних вони будуть перехоплені та надіслані слухачу, а підроблений веб-сайт перенаправить на оригінальну URL-адресу, як видно на мал 6.
Коли ми повернемося до меню, використовуючи CTRL+C, ми можемо спробувати Web Jacking Attack Method. Виберіть ще раз Site Cloner, введіть нашу локальну IP-адресу та URL-адресу для клонування. Коли ціль натисне на посилання з нашою локальною IP-адресою, буде відображено текст із посиланням:
The site https://login.facebook.com has moved, click here to go to the new location
Після кліку користувача буде перенаправлено на легітимний, у цьому випадку, facebook.comвеб-сайт, а через дві секунди – назад на нашу IP-адресу, яка обслуговуватиме клон веб-сайту. Це показано у відео нижче. Для спрощення було використано локальну IP-адресу, проте тут можна використовувати будь-який інший сервер.
На мал 7 показано JavaScript-код, що відповідає за перенаправлення.
Тепер продовжимо з атаками електронною поштою. Поверніться назад і виберіть Social-Engineering Attacksопцію номер п’ять – Mass Mailer Attack. З опцій ви можете вибрати, Mass Mailerкуди потрібно імпортувати список цільових електронних листів чи атаку на один електронний лист. Для нашого тесту ми оберемо E-Mail Attack Single Email Address.
Для тіла електронного листа ми використовуватимемо шаблон, який ми створили раніше за допомогою програми NetHunter. Отже, з варіантів виберіть Pre-Defined Template.
Наш шаблон доступний під номером 12.
Вам пропонується ввести адресу електронної пошти одержувача, адресу відправника та пароль. На жаль, мені не вдалося успішно виконати цю атаку, хоча я ввів свої облікові дані електронної пошти. Після цього сталася помилка Python та повідомлення про те, що SET завершив надсилання електронного листа, як показано на мал 11.
Я трохи пошукав у Google, і, схоже, помилка виникла через використання Python3 замість Python2. Отже, я пройшов через той самий сценарій з Python2, і виявилося, що SET завершив надсилання електронного листа без жодних помилок. На жаль, одержувач електронного листа, в цьому випадку я, його не отримав.
SET також може використовувати атаки на основі Arduino. Він може генерувати скрипт (також званий ескізом), який потім завантажується за допомогою Arduino IDE на USB-пристрій Teensy або будь-яку іншу плату на базі Arduino з накопичувачем. В результаті такий USB-пристрій поводитиметься як BadUSB, і після підключення до цільового пристрою він виконуватиме корисне навантаження. Якщо вам цікаво, я вже розглядав скрипти BadUSB та Rubber Ducky в попередньому блозі.
У меню «Вектор атаки на основі Arduino» ви можете вибрати один із 14 корисних навантажень, перелічених на мал 12.
Залежно від обраного корисного навантаження, вам потрібно ввести інші запитувані дані, такі як локальний хост і порт, ввести назву корисного навантаження, і ви навіть можете безпосередньо запустити слухач Meterpreter. Якщо корисне навантаження успішно зібрано, SET виведе шлях до скрипта, як ви можете бачити на мал 13.
Скрипти можна скопіювати в середовище розробки Arduino IDE для комп’ютера або в версію ArduinoDroid для Android. В IDE можна імпортувати необхідні модулі, імпортувати згенеровані скрипти, компілювати їх та завантажувати на USB-носій.
Після підключення USB-пристрою до цільового комп’ютера буде виконано скрипт і запущено корисне навантаження.
Під час моїх тестів я зіткнувся з двома помилками під час виконання Website Attack Vectorатак. Мені вдалося їх виправити, тому, якщо у вас трапляються ті ж помилки, виконайте ці дії. Ось повідомлення про помилки:
[Errno 2] No such file or directory: 'src/webattack/tabnabbing/source.js'
[!] Something went wrong, printing the error: module 'urllib' has no attribute 'urlopen'
Для першої помилки, як зазначено в повідомленні, відсутній source.jsфайл. Отже, нам потрібно знайти цей файл і скопіювати його в потрібний каталог. Ви можете витягнути цей JavaScript з Kali вашого комп’ютера або безпосередньо завантажити його з цього репозиторію Bitbucket і перенести його в tabnabbing каталог, використовуючи команди нижче з ADB.
adb push source.js /sdcard/ adb shell su kali:/ # cp /sdcard/source.js /data/local/nhsystem/kali-arm64/root/setoolkit/src/webattack/tabnabbing/
Ці кроки вирішили проблему для моєї версії SET.
Друга помилка є результатом використання python3 іншого синтаксису urllib. Отже, якщо ви використовуєте python3, вам потрібно внести зміни в /data/local/nhsystem/kali-arm64/root/setoolkit/src/webattack/tabnabbing/tabnabbing.pyрядку 65. Ви повинні закоментувати рядок
favicon = urllib.urlopen("%s/favicon.ico" % (URL))
та додаемо:
favicon = urllib.request.urlopen("%s/favicon.ico" % (URL))
Звичайно, ви можете його замінити, але я б краще перестрахувався, див. малюнок 15.
Ось кілька порад, які допоможуть вам запобігти сценаріям атак із застосуванням соціальної інженерії та захиститися від них загалом:
Остерігайтеся небажаних телефонних дзвінків, електронних листів або текстових повідомлень, особливо тих, у яких запитують особисту інформацію. Законні компанії не запитуватимуть особисту інформацію електронною поштою чи телефоном.
Підозріло ставтеся до неочікуваних електронних листів, навіть якщо вони здаються законними. Перевіряйте електронну адресу відправника та не натискайте на посилання та не відкривайте вкладення, якщо ви не впевнені в їх безпеці.
Використовуйте програмне забезпечення безпеки та регулярно його оновлюйте. Це допоможе захистити ваші пристрої від шкідливих та фішингових веб-сайтів.
Використовуйте брандмауер для захисту вашої мережі від несанкціонованого доступу.
Використовуйте надійні, унікальні паролі для кожного зі своїх облікових записів та скористайтеся менеджером паролів для їх зберігання.
Використовуйте двофакторну автентифікацію (2FA), коли це можливо, оскільки це додає додатковий рівень захисту вашим обліковим записам.
Оновлюйте свою операційну систему, браузер та інше програмне забезпечення за допомогою останніх патчів безпеки.
Навчайте себе та своїх співробітників про небезпеки соціальної інженерії та переконайтеся, що всі знають про ознаки та способи захисту від них.
Підсумовуючи, соціальна інженерія – це розумна стратегія, яку використовують зловмисники, щоб обманом змусити людей отримати доступ до систем і конфіденційних даних. Потужним інструментом, який автоматизує процес розробки та розповсюдження шкідливих корисних навантажень і спроб фішингу, є Набір інструментів соціальної інженерії (SET). Ми можемо краще захистити себе від цих атак, якщо знаємо, як SET може бути використаний зловмисниками та які численні методи вони можуть використовувати для контролю над своїми жертвами.
Ми можемо навчитися виявляти та уникати фішингових спроб, знаючи про методи та тактики, що використовуються зловмисниками. Важливо пам’ятати, що атаки соціальної інженерії можуть вплинути на будь-кого, тому завжди краще бути проактивними та вживати запобіжних заходів.
