Att upptäcka en vpn är den enkla delen, vad bör tillvägagångssättet vara om vi behöver upptäcka och identifiera den verkliga ip-adressen för användaren bakom vpn:n? Detta är mitt HE-projekt och vi vet inte riktigt hur man gör detta.
Det finns mycket få sätt att göra det, och bara ett av dem är, strikt tekniskt sett, lagligt.
1.) Du kan få VPN att tillhandahålla informationen. (Det är det lagliga)
eller
2.) Du kan få målet att ladda ner en fil som får systemet att pinga tillbaka till dig med IP-adressen när VPN:t kanske inte är på. (Detta är inte lagligt utanför kontrollerade och frivilliga förhållanden, men tekniskt möjligt)
Ädel omnämning för #3- “Hoppas att de gör ett misstag och glömmer att slå på VPN:et någon gång.”
Otroligt svårt, men det kan göras om du kan profilera användaren medan de är på VPN och får tillgång till en specifik resurs som de också råkar komma åt när de inte använder VPN.
Det förutsätter dock två fakta: 1) det finns en tjänst användaren får tillgång till medan både på VPN och av, 2) och att du har ett tillräckligt unikt sätt att fingeravtrycka eller differentiera din mål användare.
Det här är ett av de öppna frågorna som gör att du måste göra mer research än du förväntade dig eftersom du inte bara rullar ut en funktion, du lär dig själv hur man forskar om teknologier du inte förstår. DET ÄR VÄRDEN av din utbildning - inte att du kan kringgå en VPN.
Om du är lycklig, gav de dig ramverket kring VPN så att du kan fördjupa dig i teknologin. Tänk “Hack the Gibson” visualisering där du tittar på alla olika sätt in och ut ur den datorn. Jag talar om en grundläggande IP och nätverksanslutning.
Sedan bygger du scenarier, till exempel… använder målet en känd webbplats, eller tror du att du kan få dem att gå till en webbplats? Eller distribuerar malware till deras system, men hur skulle malware veta när den ska “ring hem”? Skulle malware behöva vara så smart, eller kan den bara skicka data regelbundet i hopp om att de stänger av VPN:et när som helst.
Du kan också läsa om hur VPN-leverantörer försöker stänga luckorna kring deras produkter, och föreställa dig en produkt som kanske inte stänger alla luckor. Som att de använder en gratis VPN-produkt som inte är fantastisk.
Skönheten med detta projekt är att det finns så många olika tänkbara svar, och du kommer att lära dig mycket mer genom att finslipa alla osannolika lösningar än du skulle lära dig av att lyssna på vår rådgivning. Alla vill ha någon som kan tänka på fötterna, använda sin kunskap, erfarenhet och forskningsfärdigheter för att komma på potentiella lösningar.
Jag skulle säga att det förmodligen inte är möjligt, men i slutändan spelar det inte så stor roll när det gäller att förhindra kommunikation FRÅN den IP-adressen. Det du bör göra är att begränsa geografiska platser som får logga in på o365. Du kan blockera alla utom de länder du gör affärer i eller tillåta endast din IP och få alla att VPN:a in till företaget för att få tillgång till deras e-post och använda mobila MDM och begränsa tillgången till e-post till MDM-användare. Jag skulle ärligt talat inaktivera OWA externt om det är det ni använder.
När det gäller att upptäcka källan, skulle jag kontrollera loggar för att hitta identifierbara saker som användaragenter eller endpointdetaljer (kan vara en bra metod för att blockera dåliga aktörer).
Jag skulle också vara medveten om den gräsliga stuff du kan göra på endpointen efter en kompromiss utan att faktiskt ha kompromissat de riktiga e-postuppgifterna. Du kan sitta i minnet, stanna utanför disken och använda mailklienten som C2 med C2 som väntar på ett specifikt e-postämne för att initiera. Du kan till och med leta efter nyckelord i e-post och skjuta ut saker för att försöka kompromissa e-postkedjan för att gå vidare till andra organisationer. Dessa saker är inte så vanliga, men genomförbara.
Anledningen till att jag nämnde dem är… det finns flera nivåer av komplexitet i attacker. Identifiera några av de enklaste vinsterna som gör störst påverkan. Vissa leverantörer kan ha funktioner inbyggda i deras produkt som hjälper dig med detta men kanske bara behöver aktiveras.
Lär dig hur VPN fungerar. Du frågar inte något genomförbart
Är inte det syftet med en vpn?
AFAIK om de inte har konfigurerat sin VPN korrekt eller använder en mindre säker leverantör finns det möjlighet till DNS-läckor som skulle exponera den informationen
En välkonfigurerad VPN kommer inte att läcka data. Du kanske kan hitta vissa sårbarheter för att ge information om närliggande WiFi BSSIDs eller Bluetooth-adresser, och korrelera det med en IP, men det skulle vara ofullständigt, svårt och opraktiskt. Det skulle också kräva att du har tillgång till ett antal populära tjänster för att ge dig den styrkorrigerande datan.
Du kan få målet att ladda ner en fil som får systemet att pinga tillbaka till dig med IP-adressen när VPN:t kanske inte är på
Har sett detta användas i de där YT-videorna där de går efter indiska call center-scamare
Bli inte tagen eller erkänn att du gjort #2 lol