Статья Umbrella - Phishing, Pentest

Снова привет всем. На сей раз хочу продемонстрировать работу инструмента, по словам разработчиков, целиком и полностью посвященного пентесту, фишингу, склейке файлов и прочим забавным вещам.

Имя ему Umbrella. (Ниже должна была быть фотка обычного зонтика, но я подумал, что так будет круче)

upload_2017-3-22_22-43-43.png


Еще в описании есть информация о том, что его файлы загрузки в целевой системе выполняются без двойного исполнения .exe, только встраивание в файл. Чтобы снова скомпрометировать одну и ту же цель, вам нужно удалить эту папку в целевой системе: - C: \ Users \ Public \ Libraries \ Intel - поскольку dropper проверяет существование ее для принятия решения о том, что делать далее.

Сразу опишу особенности:

· Загрузка исполняемого файла в целевую систему.

· Тихое выполнение.

· Загрузка и выполнение исполняемого файла один раз.

· Если exe уже загружен и запущен, откройте только файлы pdf / docx / xxls / jpg / png.

· Некоторые методы фишинга включены.

· Несколько сеансов отключено.

· Обход UAC.

Необходимые зависимости:

> apt

> wine

> wget

> Linux

> sudo access

> python2.7

> python 2.7 on Wine Machine

Протестировано на:

· Kali Linux – SANA

· Kali Linux – ROLLING

· Ubuntu 14.04-16.04 LTS

· Debian 8.5

· Linux Mint 18.1

· Black Arch Linux

На этом пока все, нужно установить программу, для дальнейшего знакомства, клонируем ее с github:

> git clone https://github.com/4w4k3/Umbrella

> cd /Umbrella

upload_2017-3-22_22-44-30.png


Запускаем исполняемый файл ./umbrella.py и ждем установки всех зависимостей:

upload_2017-3-22_22-44-56.png


Важно установить все правильно:

upload_2017-3-22_22-45-9.png


После успешной установки всех необходимых компонентов, вас приветствует такой экран:

upload_2017-3-22_22-45-23.png


Нажав клавишу, попадаем в главное меню инструмента:

upload_2017-3-22_22-45-36.png


Попробуем что-то из предложенного функционала в деле, например, склеить картинку с полезной нагрузкой и запустить ее на целевом хосте. Я выбрал Veil-Evasion для быстрого создания полезной нагрузки.

upload_2017-3-22_22-45-58.png


Затем берем картинку и вместе с нагрузкой отправляем на свой web-сервер.

upload_2017-3-22_22-46-13.png


Указываем программе путь к нашим файлам, сначала к .exe потом к картинке:

>

>

upload_2017-3-22_22-46-34.png


В результате получаем изображение с полезной нагрузкой:

upload_2017-3-22_22-46-46.png


Находим его, переносим на целевой хост и запускаем. Перед этим настраиваем соответственно multi/handler.

upload_2017-3-22_22-47-5.png


Как результат, активная сессия meterpreter:

upload_2017-3-22_22-47-21.png


Сама картинка открылась, но только один раз:

upload_2017-3-22_22-47-38.png


На этом пока все, возможно чуть позже опробую остальной функционал и отпишу, что-то в новой статье.

Спасибо за внимание.
 

ghostphisher

местный
07.12.2016
2 602
3 413
BIT
0
Благодарность ТС за обзор!
От себя добавлю: ОС Пэррот 3.5 - зависимости ставить не пришлось, все было.
./umbrella.py и ждем установки всех зависимостей:
- у меня запустилось все сразу =)
 
  • Нравится
Реакции: Vertigo

z3RoTooL

Grey Team
28.02.2016
803
697
BIT
10
как раз хотел на днях кое-что с картинкой склеить :))) ты как знал!
 
N

neofit

На днях, мы на r00tw0rm лет пять их клеили, но тут алгоритм свеженький спаибо!
 
N

neofit

Этого ресурса , уже нет(((
[doublepost=1490258502,1490256281][/doublepost]Но, я уверен, что вы знаете мемберов таких как Онтар, сатсура химикат акк воланди, neofit varik собственно я) многих других
 

z3RoTooL

Grey Team
28.02.2016
803
697
BIT
10
Этого ресурса , уже нет(((
[doublepost=1490258502,1490256281][/doublepost]Но, я уверен, что вы знаете мемберов таких как Онтар, сатсура химикат акк воланди, neofit varik собственно я) многих других
я никого не знаю, я тут первый раз, просто мимо проходил...
 

valerian38

Grey Team
20.07.2016
662
764
BIT
83
Спасибо. Инструмент интересный. Установил, запустил, склеил картинку с полезной нагрузкой(python/meterpreter/reverse_https), отправил по яндексу и по mail.ru, AV не палится, но вот на целевом хосте почему то не запускается, выскакивает окно - Фатальная ошибка. Не удалось выполнить сценарий D. На целевом хосте ОС Windows 8.1. В чём может быть проблема?
 

Vander

CodebyTeam
Gold Team
16.01.2016
1 420
4 353
BIT
2
Спасибо. Инструмент интересный. Установил, запустил, склеил картинку с полезной нагрузкой(python/meterpreter/reverse_https), отправил по яндексу и по mail.ru, AV не палится, но вот на целевом хосте почему то не запускается, выскакивает окно - Фатальная ошибка. Не удалось выполнить сценарий D. На целевом хосте ОС Windows 8.1. В чём может быть проблема?
Столкнулся с такой же проблемой, не знаю пока, как решить
 

kot-gor

Well-known member
07.09.2016
529
705
BIT
0
кто решил проблему отпишитесь пожалуйста..
 
A

a113

Прошу прощения, но кто-нибудь может объяснить, как это работает? :D
 
B

BuTaluK

Добрый вечер, подскажите где взять свой веб-сервис? Или как его сделать? Пожалуйста
 

arbaiten

Green Team
03.12.2017
13
9
BIT
0
Какие АВ обходит? Кто-то тестировал? Есть паблик сервис для тестирования FUD, который не сливает результаты АВ компаниям?
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!