Information gathering con Metagoofil
by admin on Jul.13, 2009, under Hacking, Sicurezza, Tools
Troppe persone faticano ancora nel riconoscere i potenziali rischi derivanti da informazioni inavvertitamente rese disponibili su Internet.
Un attaccante può passivamente raccogliere tali informazioni senza dover dover ricorrere ad un contatto diretto, risultando cioè sostanzialmente non individuabile.
Che ci piaccia oppure no, ogni sistema connesso ad Internet lascia trapelare informazioni che potrebbero venire utilizzate per attuare un attacco mirato. Le informazioni potrebbero riferirsi a componenti fisici della infrastruttura informatica, ai processi gestionali seguiti, oppure alla organizzazione gerarchica interna.
La significatività di tali informazioni può non essere completamente evidente.
Nella maggior parte dei casi sono riferibili alla topologia della rete interna ed ai servizi erogati.
Questo consente ad un attaccante di tracciare una mappa della rete interna in vista di successivi attacchi mirati.
Informazioni di diverso tipo, relative ad esempio al personale amministrativo, possono venire sfruttate in manovre di ingegneria sociale per ottenere ulteriori informazioni, magari riservate o confidenziali.
Un aspetto importante della esposizione inintenzionale di dati è che la maggior parte è pubblicamente accessibile via Internet, e probabilmente contenuta su sistemi estranei alla organizzazione titolare. Di conseguenza, l’ accesso alle informazioni risulta indipendente, e rimane ignoto al titolare stesso.
Le tecniche impiegate per la raccolta, cui ci si riferisce comunemente come “Passive Information Gathering”, tendono ad essere molto semplici, ed esiste una moltitudine di tools capaci di renderle ancora più semplici. Il tale contesto “passive” si riferisce al fatto di non connettersi direttamente ad un sistema della vittima o da essa gestito, ma di utilizzare tecniche non intrusive, tipo interrogare risorse Internet generiche come Google.
Metagoofil è appunto un tool di information gathering progettato per l’ estrazione di metadata presenti in documenti (pdf, doc, xls, ppt, odp, ods ecc) pubblicamente disponibili sul sito web della vittima.
Il tool è in grado di generare una pagina html con i metadata estratti, una lista di potenziali usernames (molto utile nella preparazione di un attacco di tipo bruteforce a carico di eventuali servizi come ftp, pop3, ecc.), ad una lista delle PATHs contenute nei metadata (con queste informazioni si possono individuare nomi di networks, risorse condivise, etc.)
La versione più recente del tool è in grado di estrarre il MAC address a partire da documenti Microsoft Office, agevolando l’individuazione del tipo di hardware utilizzato.
MetaGooFil, sostanzialmente:
- Ricerca, tramite Google, documenti di interesse nel sito target. Ad esempio: site:vittima.com filetype: pdf
- Effettua il download dei files trovati.
- Estrae i metadata, filtrando informazioni interessanti.
MetaGooFil, che, per inciso, fa parte dell’arsenale di BackTrack, è realizzato in python, ed è ottenibile dal sito web di edge-security.
Per un utilizzo completo necessita, oltre che, ovviamente, dell’interprete python, anche del package extract, che si occupa appunto di estrarre i metadata:
# apt-get install extract
Quello che segue è un esempio di utilizzo innocente, finalizzato solamente a ottenere l’elenco dei primi 20 video in formato flash reperibili sul sito irongeek.com (i files video vengono contemporaneamente archiviati nella directory outfiles).
# python metagoofil.py -d irongeek.com -l 20 -f swf -o out.html -t outfiles
*************************************
*MetaGooFil Ver. 1.4a *
*Coded by Christian Martorella *
*Edge-Security Research *
*cmartorella@edge-security.com *
*************************************
[+] Command extract found, proceeding with leeching
[+] Searching in irongeek.com for: swf
[+] Total results in google: 75
[+] Limit: 20
[+] Searching results: 0
[+] Directory result-files already exist, reusing it
[ 1/21 ] https://www.google.com/accounts/Login?hl=en&continue=http://www.google.com/search%3Fnum%3D20%26start%3D0%26hl%3Den%26btnG%3DB%25C3%
25BAsqueda%2Ben%2BGoogle%26q%3Dsite:irongeek.com%2Bfiletype:swf
[ 2/21 ] http://www.irongeek.com/videos/nmap1.swf
[ 3/21 ] http://www.irongeek.com/videos/cainvoip1.swf
[ 4/21 ] http://www.irongeek.com/videos/sshdynamicportforwarding.swf
[ 5/21 ] http://www.irongeek.com/videos/vmxbuilder.swf
[ 6/21 ] http://www.irongeek.com/videos/metasploit1.swf
[ 7/21 ] http://www.irongeek.com/videos/samdump2auditor.swf
[ 8/21 ] http://www.irongeek.com/videos/vmwareplayerlivecd.swf
[ 9/21 ] http://www.irongeek.com/videos/myslax.swf
[ 10/21 ] http://www.irongeek.com/videos/knoppix1.swf
[ 11/21 ] http://www.irongeek.com/videos/anonymos.swf
[ 12/21 ] http://www.irongeek.com/videos/droops1.swf
[ 13/21 ] http://www.irongeek.com/videos/chkrootkit1.swf
[ 14/21 ] http://www.irongeek.com/videos/wigle1.swf
[ 15/21 ] http://www.irongeek.com/videos/truecryptaltds.swf
[ 16/21 ] http://www.irongeek.com/videos/wardrive1.swf
[ 17/21 ] http://www.irongeek.com/videos/backtrackplaintext.swf
[ 18/21 ] http://www.irongeek.com/videos/xpto2000interface.swf
[ 19/21 ] http://www.irongeek.com/videos/Local-Password-Cracking.swf
[ 20/21 ] http://www.irongeek.com/videos/cryptographic-hash-md5.swf
[ 21/21 ] http://www.irongeek.com/videos/airpcap-cain-wpa-cracking.swf
July 13th, 2009 on 9:16 pm