# GWS - Persistenza

{{#include ../../banners/hacktricks-training.md}}

> [!CAUTION]
> Tutte le azioni menzionate in questa sezione che modificano le impostazioni genereranno un **avviso di sicurezza all'email e persino una notifica push a qualsiasi dispositivo mobile sincronizzato** con l'account.

## **Persistenza in Gmail**

- Puoi creare **filtri per nascondere** le notifiche di sicurezza da Google
- `from: (no-reply@accounts.google.com) "Security Alert"`
- Questo impedirà che le email di sicurezza raggiungano l'email (ma non impedirà le notifiche push al mobile)

<details>

<summary>Passaggi per creare un filtro gmail</summary>

(Istruzioni da [**qui**](https://support.google.com/mail/answer/6579))

1. Apri [Gmail](https://mail.google.com/).
2. Nella casella di ricerca in alto, fai clic su Mostra opzioni di ricerca ![photos tune](https://lh3.googleusercontent.com/cD6YR_YvqXqNKxrWn2NAWkV6tjJtg8vfvqijKT1_9zVCrl2sAx9jROKhLqiHo2ZDYTE=w36).
3. Inserisci i tuoi criteri di ricerca. Se vuoi controllare che la tua ricerca abbia funzionato correttamente, guarda quali email appaiono facendo clic su **Cerca**.
4. In fondo alla finestra di ricerca, fai clic su **Crea filtro**.
5. Scegli cosa vuoi che faccia il filtro.
6. Fai clic su **Crea filtro**.

Controlla il tuo filtro attuale (per eliminarli) in [https://mail.google.com/mail/u/0/#settings/filters](https://mail.google.com/mail/u/0/#settings/filters)

</details>

<figure><img src="../../images/image (331).png" alt=""><figcaption></figcaption></figure>

- Crea **un indirizzo di inoltro per inoltrare informazioni sensibili** (o tutto) - Hai bisogno di accesso manuale.
- Crea un indirizzo di inoltro in [https://mail.google.com/mail/u/2/#settings/fwdandpop](https://mail.google.com/mail/u/2/#settings/fwdandpop)
- L'indirizzo ricevente dovrà confermare questo
- Poi, imposta per inoltrare tutte le email mantenendo una copia (ricorda di cliccare su salva modifiche):

<figure><img src="../../images/image (332).png" alt=""><figcaption></figcaption></figure>

È anche possibile creare filtri e inoltrare solo email specifiche all'altro indirizzo email.

## Password per le app

Se sei riuscito a **compromettere una sessione utente di Google** e l'utente aveva **2FA**, puoi **generare** una [**password per l'app**](https://support.google.com/accounts/answer/185833?hl=en) (segui il link per vedere i passaggi). Nota che **le password per le app non sono più raccomandate da Google e vengono revocate** quando l'utente **cambia la password del suo account Google.**

**Anche se hai una sessione aperta, dovrai conoscere la password dell'utente per creare una password per l'app.**

> [!NOTE]
> Le password per le app possono **essere utilizzate solo con account che hanno attivato la Verifica in due passaggi**.

## Cambiare 2-FA e simili

È anche possibile **disattivare 2-FA o registrare un nuovo dispositivo** (o numero di telefono) in questa pagina [**https://myaccount.google.com/security**](https://myaccount.google.com/security)**.**\
**È anche possibile generare chiavi di accesso (aggiungere il proprio dispositivo), cambiare la password, aggiungere numeri di telefono per telefoni di verifica e recupero, cambiare l'email di recupero e cambiare le domande di sicurezza).**

> [!CAUTION]
> Per **prevenire le notifiche push di sicurezza** che raggiungono il telefono dell'utente, potresti **disconnettere il suo smartphone** (anche se sarebbe strano) perché non puoi riconnetterlo da qui.
>
> È anche possibile **localizzare il dispositivo.**

**Anche se hai una sessione aperta, dovrai conoscere la password dell'utente per cambiare queste impostazioni.**

## Persistenza tramite app OAuth

Se hai **compromesso l'account di un utente**, puoi semplicemente **accettare** di concedere tutti i permessi possibili a un **OAuth App**. L'unico problema è che Workspace può essere configurato per **non consentire app OAuth esterne e/o interne non revisionate.**\
È abbastanza comune che le organizzazioni di Workspace non si fidino per impostazione predefinita delle app OAuth esterne ma si fidino di quelle interne, quindi se hai **sufficienti permessi per generare una nuova applicazione OAuth** all'interno dell'organizzazione e le app esterne sono vietate, generala e **usa quella nuova app OAuth interna per mantenere la persistenza**.

Controlla la seguente pagina per ulteriori informazioni sulle app OAuth:

{{#ref}}
gws-google-platforms-phishing/
{{#endref}}

## Persistenza tramite delega

Puoi semplicemente **delegare l'account** a un altro account controllato dall'attaccante (se ti è consentito farlo). In **Organizzazioni** di Workspace questa opzione deve essere **abilitata**. Può essere disabilitata per tutti, abilitata per alcuni utenti/gruppi o per tutti (di solito è abilitata solo per alcuni utenti/gruppi o completamente disabilitata).

<details>

<summary>Se sei un amministratore di Workspace controlla qui per abilitare la funzione</summary>

(Informazioni [copiate dalla documentazione](https://support.google.com/a/answer/7223765))

Come amministratore della tua organizzazione (ad esempio, il tuo lavoro o la tua scuola), controlli se gli utenti possono delegare l'accesso al loro account Gmail. Puoi consentire a tutti di avere l'opzione di delegare il proprio account. Oppure, consentire solo a persone in determinati dipartimenti di impostare la delega. Ad esempio, puoi:

- Aggiungere un assistente amministrativo come delegato sul tuo account Gmail in modo che possa leggere e inviare email per tuo conto.
- Aggiungere un gruppo, come il tuo dipartimento vendite, in Gruppi come delegato per dare a tutti accesso a un account Gmail.

Gli utenti possono delegare l'accesso solo a un altro utente nella stessa organizzazione, indipendentemente dal loro dominio o dalla loro unità organizzativa.

#### Limiti e restrizioni della delega

- **Consenti agli utenti di concedere accesso alla loro casella di posta a un gruppo Google** opzione: Per utilizzare questa opzione, deve essere abilitata per l'OU dell'account delegato e per l'OU di ciascun membro del gruppo. I membri del gruppo che appartengono a un'OU senza questa opzione abilitata non possono accedere all'account delegato.
- Con un uso tipico, 40 utenti delegati possono accedere a un account Gmail contemporaneamente. Un uso superiore alla media da parte di uno o più delegati potrebbe ridurre questo numero.
- I processi automatizzati che accedono frequentemente a Gmail potrebbero anche ridurre il numero di delegati che possono accedere a un account contemporaneamente. Questi processi includono API o estensioni del browser che accedono frequentemente a Gmail.
- Un singolo account Gmail supporta fino a 1.000 delegati unici. Un gruppo in Gruppi conta come un delegato verso il limite.
- La delega non aumenta i limiti per un account Gmail. Gli account Gmail con utenti delegati hanno i limiti e le politiche standard degli account Gmail. Per dettagli, visita [Limiti e politiche di Gmail](https://support.google.com/a/topic/28609).

#### Passo 1: Attivare la delega di Gmail per i tuoi utenti

**Prima di iniziare:** Per applicare l'impostazione a determinati utenti, metti i loro account in un ['unità organizzativa](https://support.google.com/a/topic/1227584).

1.  [Accedi](https://admin.google.com/) alla tua [console di amministrazione Google](https://support.google.com/a/answer/182076).

Accedi utilizzando un _account amministratore_, non il tuo attuale account CarlosPolop@gmail.com

2.  Nella console di amministrazione, vai su Menu ![](https://storage.googleapis.com/support-kms-prod/JxKYG9DqcsormHflJJ8Z8bHuyVI5YheC0lAp)![e poi](https://storage.googleapis.com/support-kms-prod/Th2Tx0uwPMOhsMPn7nRXMUo3vs6J0pto2DTn)![](https://storage.googleapis.com/support-kms-prod/ocGtUSENh4QebLpvZcmLcNRZyaTBcolMRSyl) **App**![e poi](https://storage.googleapis.com/support-kms-prod/Th2Tx0uwPMOhsMPn7nRXMUo3vs6J0pto2DTn)**Google Workspace**![e poi](https://storage.googleapis.com/support-kms-prod/Th2Tx0uwPMOhsMPn7nRXMUo3vs6J0pto2DTn)**Gmail**![e poi](https://storage.googleapis.com/support-kms-prod/Th2Tx0uwPMOhsMPn7nRXMUo3vs6J0pto2DTn)**Impostazioni utente**.
3.  Per applicare l'impostazione a tutti, lascia selezionata l'unità organizzativa principale. Altrimenti, seleziona un'unità organizzativa secondaria [organizational unit](https://support.google.com/a/topic/1227584).
4.  Fai clic su **Delega email**.
5.  Seleziona la casella **Consenti agli utenti di delegare l'accesso alla loro casella di posta ad altri utenti nel dominio**.
6.  (Facoltativo) Per consentire agli utenti di specificare quali informazioni del mittente sono incluse nei messaggi delegati inviati dal loro account, seleziona la casella **Consenti agli utenti di personalizzare questa impostazione**.
7.  Seleziona un'opzione per le informazioni del mittente predefinite incluse nei messaggi inviati dai delegati:
- **Mostra il proprietario dell'account e il delegato che ha inviato l'email**—I messaggi includono gli indirizzi email del proprietario dell'account Gmail e del delegato.
- **Mostra solo il proprietario dell'account**—I messaggi includono solo l'indirizzo email del proprietario dell'account Gmail. L'indirizzo email del delegato non è incluso.
8.  (Facoltativo) Per consentire agli utenti di aggiungere un gruppo in Gruppi come delegato, seleziona la casella **Consenti agli utenti di concedere accesso alla loro casella di posta a un gruppo Google**.
9.  Fai clic su **Salva**. Se hai configurato un'unità organizzativa secondaria, potresti essere in grado di **Eredita** o **Sovrascrivere** le impostazioni di un'unità organizzativa principale.
10. (Facoltativo) Per attivare la delega di Gmail per altre unità organizzative, ripeti i passaggi 3–9.

Le modifiche possono richiedere fino a 24 ore, ma di solito avvengono più rapidamente. [Scopri di più](https://support.google.com/a/answer/7514107)

#### Passo 2: Fai impostare agli utenti i delegati per i loro account

Dopo aver attivato la delega, i tuoi utenti vanno nelle impostazioni di Gmail per assegnare i delegati. I delegati possono quindi leggere, inviare e ricevere messaggi per conto dell'utente.

Per dettagli, indirizza gli utenti a [Delegare e collaborare via email](https://support.google.com/a/users/answer/138350).

</details>

<details>

<summary>Da un utente normale, controlla qui le istruzioni per provare a delegare il tuo accesso</summary>

(Info copiate [**dalla documentazione**](https://support.google.com/mail/answer/138350))

Puoi aggiungere fino a 10 delegati.

Se stai utilizzando Gmail tramite il tuo lavoro, scuola o altra organizzazione:

- Puoi aggiungere fino a 1000 delegati all'interno della tua organizzazione.
- Con un uso tipico, 40 delegati possono accedere a un account Gmail contemporaneamente.
- Se utilizzi processi automatizzati, come API o estensioni del browser, alcuni delegati possono accedere a un account Gmail contemporaneamente.

1. Sul tuo computer, apri [Gmail](https://mail.google.com/). Non puoi aggiungere delegati dall'app Gmail.
2. In alto a destra, fai clic su Impostazioni ![Settings](https://lh3.googleusercontent.com/p3J-ZSPOLtuBBR_ofWTFDfdgAYQgi8mR5c76ie8XQ2wjegk7-yyU5zdRVHKybQgUlQ=w36-h36) ![e poi](https://lh3.googleusercontent.com/3_l97rr0GvhSP2XV5OoCkV2ZDTIisAOczrSdzNCBxhIKWrjXjHucxNwocghoUa39gw=w36-h36) **Vedi tutte le impostazioni**.
3. Fai clic sulla scheda **Account e importazione** o **Account**.
4. Nella sezione "Concedi accesso al tuo account", fai clic su **Aggiungi un altro account**. Se stai utilizzando Gmail tramite il tuo lavoro o scuola, la tua organizzazione potrebbe limitare la delega delle email. Se non vedi questa impostazione, contatta il tuo amministratore.
- Se non vedi Concedi accesso al tuo account, allora è limitato.
5. Inserisci l'indirizzo email della persona che desideri aggiungere. Se stai utilizzando Gmail tramite il tuo lavoro, scuola o altra organizzazione, e il tuo amministratore lo consente, puoi inserire l'indirizzo email di un gruppo. Questo gruppo deve avere lo stesso dominio della tua organizzazione. I membri esterni del gruppo non possono accedere alla delega.\
\
**Importante:** Se l'account che delegi è un nuovo account o la password è stata reimpostata, l'amministratore deve disattivare il requisito di cambiare la password quando accedi per la prima volta.

- [Scopri come un amministratore può creare un utente](https://support.google.com/a/answer/33310).
- [Scopri come un amministratore può reimpostare le password](https://support.google.com/a/answer/33319).

6. Fai clic su **Passo successivo** ![e poi](https://lh3.googleusercontent.com/QbWcYKta5vh_4-OgUeFmK-JOB0YgLLoGh69P478nE6mKdfpWQniiBabjF7FVoCVXI0g=h36) **Invia email per concedere accesso**.

La persona che hai aggiunto riceverà un'email chiedendo di confermare. L'invito scade dopo una settimana.

Se hai aggiunto un gruppo, tutti i membri del gruppo diventeranno delegati senza dover confermare.

Nota: Potrebbe richiedere fino a 24 ore affinché la delega inizi a prendere effetto.

</details>

## Persistenza tramite app Android

Se hai una **sessione all'interno dell'account Google della vittima** puoi navigare nel **Play Store** e potresti essere in grado di **installare malware** che hai già caricato nel negozio direttamente **sul telefono** per mantenere la persistenza e accedere al telefono della vittima.

## **Persistenza tramite** App Scripts

Puoi creare **trigger basati sul tempo** in App Scripts, quindi se lo Script dell'app è accettato dall'utente, verrà **attivato** anche **senza che l'utente vi acceda**. Per ulteriori informazioni su come fare questo controlla:

{{#ref}}
gws-google-platforms-phishing/gws-app-scripts.md
{{#endref}}

## Riferimenti

- [https://www.youtube-nocookie.com/embed/6AsVUS79gLw](https://www.youtube-nocookie.com/embed/6AsVUS79gLw) - Matthew Bryant - Hacking G Suite: The Power of Dark Apps Script Magic
- [https://www.youtube.com/watch?v=KTVHLolz6cE](https://www.youtube.com/watch?v=KTVHLolz6cE) - Mike Felch e Beau Bullock - OK Google, come faccio a Red Team GSuite?

{{#include ../../banners/hacktricks-training.md}}