Eksamensprojekt: Penetrationstest & OSINT Analyse
Dette eksamensprojekt dækker to centrale discipliner i offensiv sikkerhed: OSINT (Open Source Intelligence) og Penetrationstest. Projektet er opdelt i to dele, hvor del 1 omhandler informationsindsamling og udarbejdelse af en målrettet phishing-kampagne, mens del 2 er en teknisk penetrationstest af en sårbar lab-maskine.
Det Forretningsmæssige Behov: Hvorfor købe en Pentest?
For en moderne virksomhed er sikkerhed ikke længere kun et IT-spørgsmål, men en fundamental forudsætning for forretningskontinuitet. Ved at bestille en penetrationstest og en OSINT-analyse får virksomheden:
- Validering af forsvar: Det er ikke nok at have en firewall; man skal vide, om den faktisk stopper en motiveret angriber.
- Risikostyring: Ved at identificere sårbarheder før hackerne gør det, kan virksomheden prioritere deres IT-budget, hvor det gør mest gavn.
- Compliance og Forsikring: Mange forsikringsselskaber og regulatoriske krav (som NIS2 eller GDPR) kræver dokumentation for, at man aktivt tester sit forsvar.
- Beskyttelse af Brand: Et datalæk kan være ødelæggende for kundernes tillid. Proaktiv testning viser rettidig omhu.
Del 1: OSINT og Phishing-kampagne
Den første del tog udgangspunkt i en dansk virksomhed. Målet var at kortlægge virksomhedens digitale fodaftryk udelukkende ved hjælp af offentligt tilgængelige kilder – uden at interagere direkte med virksomhedens infrastruktur.
OSINT-analyse
Jeg benyttede en struktureret tilgang til informationsindsamling:
- Medarbejderresearch: Via LinkedIn og andre sociale medier kortlagde jeg nøglepersoner i virksomheden: navne, stillingsbetegnelser, faglige interesser og forbindelser til kollegaer. Disse oplysninger udgør grundlaget for troværdig social engineering.
- Tech stack-kortlægning: Ved at analysere jobopslag, GitHub-repositories og HTTP-headers på virksomhedens hjemmeside identificerede jeg den teknologistack, virksomheden anvender – herunder CMS, cloud-udbydere og interne systemer. Kendskab til tech stacken giver en angriber mulighed for at skræddersy exploits.
- Domæne- og infrastrukturresearch: WHOIS-opslag, historiske DNS-data og MX-records afslørede mailservere, subdomain-struktur og potentielle angrebsoverflader. SPF- og DKIM-konfiguration blev undersøgt for at vurdere risikoen for mail-spoofing.
- Lækket information: Jeg søgte i databaser over tidligere datalæk for at se, om medarbejdere havde fået kompromitteret adgangskoder på andre platforme, hvilket kunne muliggøre Credential Stuffing.
Phishing-kampagne
På baggrund af OSINT-analysen designede jeg en målrettet phishing-kampagne:
- Pretext og troværdighed: Med udgangspunkt i viden om virksomhedens tech stack og interne struktur udformede jeg en phishing-mail, der efterlignede en intern it-kommunikation fra en navngiven kollega. Relevante detaljer fra OSINT-analysen – som korrekte stillingsbetegnelser og plausible systemer – øgede mailens troværdighed markant.
- Angrebsvektor: Kampagnen tog sigte på at narre modtageren til at afgive loginoplysninger via en klonet login-side, der visuelt lignede virksomhedens eget system.
- Refleksion: Øvelsen demonstrerede, hvordan frit tilgængeligt information fra sociale medier og hjemmesider kan forvandles til et præcist og overbevisende angrebsredskab, der er langt sværere at gennemskue end generiske phishing-forsøg.
Del 2: Penetrationstest af Sårbar Lab-maskine
I den anden del arbejdede jeg med en specialkonstrueret virtuel maskine (VM) designet med kendte sårbarheder, og gennemgik hele angrebsforløbet fra rekognoscering til privilegieeskalering.
Rekognoscering og Enumeration
- Med
nmapkortlagde jeg åbne porte og kørende services på målmaskinen. Scanningen afslørede bl.a. port 445 (SMB) som åben og kørende med en ældre version af Windows, der er sårbar over for kritiske exploits.
Exploitation: EternalBlue & DoublePulsar
Den centrale sårbarhed i dette forløb var MS17-010, bedre kendt som EternalBlue – den samme sårbarhed, der lå til grund for WannaCry-angrebet i 2017.
- Jeg åbnede Metasploit Framework via
msfconsoleog indlæste moduletexploit/windows/smb/ms17_010_eternalblue. - Exploitet udnytter en fejl i Microsofts SMBv1-protokol, som tillader en angriber at sende specialudformede pakker og opnå fjernudførelse af kode (Remote Code Execution, RCE) uden autentificering.
- Som payload benyttede jeg DoublePulsar – et kernel-niveau bagdørsprogram, der installeres direkte i Windows-kernen og giver en stabil, privilegeret forbindelse til målmaskinen.
- Resultatet var en Meterpreter-session med
SYSTEM-rettigheder – den højeste adgangsniveau på en Windows-maskine – opnået uden et eneste brugernavn eller kodeord.
Post-Exploitation: Hashdump og Password Cracking
Med fuld systemadgang gik jeg i gang med post-exploitation for at demonstrere omfanget af et kompromitteret system:
- Hashdump: Via Meterpreter-kommandoen
hashdumpudtrakkede jeg NTLM-hashes fra systemets SAM-database (Security Account Manager). SAM-databasen indeholder hashede adgangskoder for alle lokale brugerkonti på maskinen. - Offline Password Cracking: De udtrukne hashes blev herefter forsøgt cracket offline ved brug af John the Ripper og Hashcat:
- John the Ripper benyttede jeg primært til hurtigt at køre ordbogs-angreb (dictionary attacks) med gængs ordlister som
rockyou.txt. - Hashcat tog jeg i brug til mere ressourcekrævende angreb, herunder regelbaserede angreb og hybrid-angreb, der kombinerer ordbogslister med mutationsregler (f.eks. tilføjelse af tal eller specialtegn).
- John the Ripper benyttede jeg primært til hurtigt at køre ordbogs-angreb (dictionary attacks) med gængs ordlister som
- Resultatet var klartekst-adgangskoder, som potentielt kan genbruges på andre systemer via Credential Stuffing – en direkte kobling til del 1’s OSINT-fund om lækket information.
Forretningsmæssig Konsekvens
Angrebsforløbet illustrerede, at en enkelt ubetjent sårbarhed i en intern Windows-maskine kan give en angriber fuld kontrol over systemet samt adgang til alle brugerkontis adgangskoder. I en reel virksomhedskontekst ville dette kunne betyde:
- Adgang til forretningskritiske filer og databaser.
- Mulighed for lateral bevægelse til andre systemer på netværket.
- Eksfiltrering af følsomme kundeoplysninger med risiko for GDPR-brud.
Konklusion
Projektet viste, hvordan OSINT og teknisk penetrationstest supplerer hinanden i et komplet angrebsscenarie. OSINT-delen demonstrerede, at offentligt tilgængelig information kan forvandles til et præcist angrebsredskab i form af en målrettet phishing-kampagne. Penetrationstesten illustrerede, at kritiske sårbarheder som MS17-010 stadig udgør en reel trussel, og at en kompromitteret maskine hurtigt kan give adgang til hele organisationens adgangskodebase. Tilsammen understreger de to dele behovet for både teknisk patchning og menneskelig sikkerhedsbevidsthed.