11.1.2. Client Fingerprinting

Ushbu bo‘limda biz Client Fingerprinting (shuningdek, Device Fingerprinting deb ham ataladi) haqida gaplashamiz, bu yo‘naltirilmaydigan ichki tarmoqdagi nishondan operatsion tizim va brauzer ma’lumotlarini olish uchun ishlatiladi. Masalan, bizdan penetration test uchun nishon tarmoqda dastlabki o‘rinni egallash vazifasi yuklangan bo‘lishi mumkin. Faraz qilaylik, biz avval theHarvester vositasi yordamida istiqbolli nishonning elektron pochta manzilini topdik. Client-side attack sifatida biz elektron pochtaga qo‘shilgan HTML Application (HTA) dan foydalanib, Internet Explorer va qisman Microsoft Edge kontekstida kodni ishga tushirishimiz mumkin. Bu nishon tarmoqda dastlabki o‘rinni egallash uchun juda mashhur hujum vektori bo‘lib, ko‘plab xavf-xatar ishtirokchilari va ransomware groups tomonidan qo‘llaniladi.

Buni amalga oshirishdan oldin, nishonning Windows operatsion tizimida ishlashini va Internet Explorer yoki Microsoft Edge faol ekanligini tasdiqlashimiz kerak.

Biz Canarytokens deb nomlangan bepul veb-xizmatdan foydalanamiz, bu xizmat nishonga yuboriladigan o‘rnatilgan tokenli havolani yaratadi. Nishon havolani brauzerda ochganda, biz ularning brauzeri, IP manzili va operatsion tizimi haqida ma’lumot olamiz. Bu ma’lumotlar yordamida nishonning Windows’da ishlashini tasdiqlaymiz va HTA client-side attack-ni sinab ko‘rishimiz kerakligini aniqlaymiz.

Tracking havolasini yaratishdan oldin, keling, bunday vaziyatlarda ishlatilishi mumkin bo‘lgan pretexts haqida qisqacha muhokama qilaylik. Pretext vaziyatni ma’lum bir tarzda tasvirlaydi. Ko‘p hollarda, biz nishondan (begona shaxs) oddiy elektron pochtadagi havolani bosishni so‘rab bo‘lmaydi. Shuning uchun, biz kontekst yaratishga harakat qilishimiz kerak, masalan, nishonning ish roliga tayanish orqali.

Masalan, nishon moliya bo‘limida ishlaydi deylik. Bu holda, biz hisob-faktura oldik, lekin unda moliyaviy xato borligini aytishimiz mumkin. Keyin xato ta’kidlangan hisob-faktura skrinshotini ochadigan havola taklif qilamiz. Bu, albatta, Canarytoken havolasi. Nishon havolani bosganda, IP logger nishonning fingerprint-ini yaratadi va bizga client-side attack-ni tayyorlash uchun zarur ma’lumotlarni taqdim etadi. Nishon havolani bosganda har doim bo‘sh sahifa oladi.

Pretext-ni o‘rnatganimizdan so‘ng, Canarytokens-da havolamizni yaratamiz, buning uchun brauzerda token yaratish sahifasini yuklaymiz. 3-rasmda saytning boshlang‘ich sahifasi ko‘rsatilgan.

3-rasm: Canarytokens boshlang‘ich sahifasi

Veb-forma bizga yaratmoqchi bo‘lgan tracking token turini tanlash uchun ochiladigan menyuni taqdim etadi. Tracking token haqida ogohlantirishlar olish uchun elektron pochta manzilini kiritishimiz yoki webhook URL-ni taqdim etishimiz kerak. Ushbu misolda biz ochiladigan menyudan Web bug / URL token ni tanlaymiz, webhook URL sifatida https://example.com ni kiritamiz, so‘ng izoh sifatida Fingerprinting ni kiritamiz. Bu ma’lumotlarni kiritgandan so‘ng, Create my Canarytoken tugmasini bosamiz.

4-rasm: Veb-formada example.com ni kiritish

Yangi sahifa paydo bo‘lib, unda ko‘k oynada veb-tokenimiz faol ekanligi aytiladi:

5-rasm: Faol Canarytoken

Bu sahifa nishonlarni fingerprint qilish uchun ishlatiladigan tracking havolasini o‘z ichiga oladi. Shuningdek, nishonni havolani bosishga undash bo‘yicha g‘oyalarni taqdim etadi.

Keyin, sahifaning yuqori o‘ng burchagida joylashgan Manage this token ni bosamiz. Bu bizni token sozlamalari sahifasiga olib boradi.

6-rasm: Canarytoken boshqaruvi

Token hali ishga tushmagan, ammo bu kutilgan holat, chunki biz uni hozirgina yaratdik. Ushbu misolda biz standart sozlamalarni saqlaymiz, chunki biz faqat nishonni fingerprint qilmoqdamiz va tokenni veb-ilova yoki veb-sahifaga o‘rnatmaymiz.

Keyin, yuqori o‘ng burchakdagi History ni bosamiz. History sahifasi bizning Canarytoken havolamizni bosgan barcha tashrif buyuruvchilarni va jabrlanuvchi tizimi haqidagi ma’lumotlarni ko‘rsatadi. Hozircha ro‘yxat bo‘sh.

7-rasm: Canarytoken tarixi

Faraz qilaylik, biz pretext kontekstida jabrlanuvchini elektron pochta orqali Canarytoken havolasini bosishga ishontirdik. Jabrlanuvchi havolamizni bosishi bilanoq, ular brauzerda bo‘sh sahifa olishadi. Shu bilan birga, bizning history ro‘yxatimizda yangi yozuv paydo bo‘ladi:

8-rasm: Yozuvli Canarytoken

Sahifaning chap tomonidagi xarita jabrlanuvchining geografik joylashuvini ko‘rsatadi. Yozuvni bosib, qo‘shimcha ma’lumotlarni olishimiz mumkin.