Hace no mucho eh hablado de Rubber Ducky USB, pero solamente explique el que era, como funciona, que código maneja, como compilar los payload's. Pero del "dicho al hecho, hay un largo trecho" decía mi abuelo. Y saben que tenia razón.
¿Por qué digo esto? Porque simplemente tuve la posibilidad de jugar con el, en un marco de investigación; Al probar payload's me mi autoría y otros que no, pero realmente interesantes. Empece con ejecutar código simple como abrir el editor de texto y escribir un típico "hola mundo". Fácil, muy fácil.
Luego seguí con deshabilitar el/los antivirus (diferentes tipos), y al parecer no era complicado, e incluso con darlo de baja en el administrador de tareas. Un poco rebuscado pero fácil también.
Hasta que me topé con extraer archivos, modificar, copiar y ejecutar código para poder guardar la información en una unidad extraíble. Esta problemática llegó por la pregunta, ¿Y si no esta conectada a internet la pc que quiero atacar?
Empecemos por extraer PDF's de una computadora windows y es bastante simple con el código de hak5 es tan simple como powershell ".((gwmi win32_volume -f 'label=''_''').Name+'d.cmd')", esta porción de código abre el powershell y busca en el pendrive con el nombre, que en este caso es "_", un archivo que se llama "d.cmd" donde este tiene un código que en su interior se ejecuta otro archivo llamado e.cmd. Es este el que hace la magia y utiliza comodines de windows y copia archivos.
El archivo "e" contiene en su interior
Podemos ver rápidamente que tiene un condicional IF y pregunta si existe un usuario que contenga una carpeta Documents, copiar todos los archivos pdf's que se encuentran en su interior al pendrive.
Claro que para poder extraer los archivos debemos tener en cuenta unos requisitos, como nombrar el pen de manera correcta y tener algunos archivos guardados dentro del mismo.
Ahora la pregunta que te debes estar haciendo es, ¿Solo extrae pdf? Si, solo este tipo de archivos, pero se modifica e.cmd y por medios de comodines nos re dirigirnos a otras carpetas, como otros tipo de archivos. Por ejemplo, si nos dirigimos a la carpeta Music/ y extraemos todos los audios con formato .mp3 .wma o usando el comodín (*) podemos copiar *.* todo tipo de archivos.
Solo ustedes tienen el limite en imaginar que se puede extraer y en donde. Aca les dejo un video de como funciona y que velocidad.
Se puede ejecutar software desde Rubber Ducky y guardar los datos en formato texto plano gracias a Programming/Flashing the Ducky podemos particionar la SD y mientras se ejecuta el payload.
Solamente debemos cambiar el Fireware original por uno especial, pero tranquilos hak5 explica como hacerlo. Esto nos permitirá usar el rubber como pendrive (irónicamente) y guardar archivos señuelos, o ejecutables que el mismo patito puede ejecutar.
Este codigo no es precisamente complicado ya que solo basta con una linea de comando como STRING START %ducky%/ejecutable.exe > %ducky%/texto.txt como se explica en este video.
este es una pequeña porción del payload para ejecutar una de las herramientas de nirsoft.
Empecemos por extraer PDF's de una computadora windows y es bastante simple con el código de hak5 es tan simple como powershell ".((gwmi win32_volume -f 'label=''_''').Name+'d.cmd')", esta porción de código abre el powershell y busca en el pendrive con el nombre, que en este caso es "_", un archivo que se llama "d.cmd" donde este tiene un código que en su interior se ejecuta otro archivo llamado e.cmd. Es este el que hace la magia y utiliza comodines de windows y copia archivos.
El archivo "e" contiene en su interior
Podemos ver rápidamente que tiene un condicional IF y pregunta si existe un usuario que contenga una carpeta Documents, copiar todos los archivos pdf's que se encuentran en su interior al pendrive.
Claro que para poder extraer los archivos debemos tener en cuenta unos requisitos, como nombrar el pen de manera correcta y tener algunos archivos guardados dentro del mismo.
Ahora la pregunta que te debes estar haciendo es, ¿Solo extrae pdf? Si, solo este tipo de archivos, pero se modifica e.cmd y por medios de comodines nos re dirigirnos a otras carpetas, como otros tipo de archivos. Por ejemplo, si nos dirigimos a la carpeta Music/ y extraemos todos los audios con formato .mp3 .wma o usando el comodín (*) podemos copiar *.* todo tipo de archivos.
Solo ustedes tienen el limite en imaginar que se puede extraer y en donde. Aca les dejo un video de como funciona y que velocidad.
Se puede ejecutar software desde Rubber Ducky y guardar los datos en formato texto plano gracias a Programming/Flashing the Ducky podemos particionar la SD y mientras se ejecuta el payload.
Solamente debemos cambiar el Fireware original por uno especial, pero tranquilos hak5 explica como hacerlo. Esto nos permitirá usar el rubber como pendrive (irónicamente) y guardar archivos señuelos, o ejecutables que el mismo patito puede ejecutar.
Este codigo no es precisamente complicado ya que solo basta con una linea de comando como STRING START %ducky%/ejecutable.exe > %ducky%/texto.txt como se explica en este video.
este es una pequeña porción del payload para ejecutar una de las herramientas de nirsoft.
Nota: Acá le dejos dejo un video que explica todo el procedimiento de cambiar el fireware y ejecutar ejecutables desde el rubber.Para concluir este post solo voy a repetir lo que dije antes, "la herramienta esta limitada por la imaginación del usuario", ya que se puede crear usuarios admin en windows, crear fishing en cualquier navegador, emitir por correo archivos de guardado de keylogger, entre otras a un usuario de windows básico.
En servidores es otra cosa pero de eso hablaremos en otro momento.
No hay comentarios.:
Publicar un comentario