Dumper une Clé USB...en toute tranquilité

Dumper une clé USB (comprendre copier / coller le contenu du média amovible vers un répertoire cible) n'est pas nouveau. En effet, des traces remontent facilement en 2006 (Cf Secuobs) sur la possibilité de récupérer l'intégralité du contenu d'une clé USB:

• Sans action manuelle, la copie est automatique et instantanée dès l'insertion de la clé USB
• Silencieux aux antivirus...(qui a dit qu'on ne pouvait pas copier / coller des fichiers de sa clé USB !?)
• Non visible, si ce n'est dans les processus lancés USBDumper.exe

Il n'en fallait pas plus pour qu'un programme soit initialement crée, à savoir USBDumper, aujourd'hui dans sa version 2.2.
La copie des fichiers se faisant obligatoirement dans le répertoire de lancement de USBDumper, et peut être à cause d'autres facteurs ralentissant le projet, USBDumper laissa sa place à USB HackSaw.
ce dernier embarque la fonction d'USBDumper en lui rajoutant plusieurs autres fonctionnalités. On peut citer par exemple l'envoi chiffré sur Email, FTP, etc du contenu du média amovible, l'installation automatique du programme sbs.exe à partir d'une clé U3 porteuse du Dumper, etc.

Pour aller plus loin, vous pouvez lire l'article original de la Team Hack5 http://wiki.hak5.org/wiki//USB_Hacksaw

Quelques précisions quant à la protection de vos clés USB:

• Évitez les exécutions automatiques (fonction autorun)
• Ne faites pas confiance aux fichiers présents sur une clé USB, n'hésitez pas à la scanner avec votre antivirus préféré
• soyez vigilants avec les clés de type U3, leur possibilité d'embarquer des programmes autonomes permet de déclencher une exécution automatique de ces derniers. 
• Au pire des cas, désactivez l'utilisation des connectiques USB...
  

L'exploit SMBv2 en action ...

Dans la vie des exploits, il n'y a pas que le Framework Metasploit. Et oui, il y a aussi un outil séduisant mais payant! connu sous le nom d'Immunity Canvas. La team Immunity a d'ailleurs produit un des premiers exploits lié à smbv2. En remplacement de grandes phrases, ci dessous la video de démo:

Vidéo

Exploit SMBv2, une nouvelle bombe dans les OS Microsoft

Une faille en cache toujours une autre. Il y a quelques années un exploit appelé "smbshellv2"  permettait d'ouvrir un Shell à distance grâce à une faille dans le protocole SMB. Je ferais un article sur cette faille un peu plus tard.
Intéressons nous aujourd'hui à un exploit affectant... des OS M$ bien sûr!, et plus particulièrement le protocole smbv2 implémenté (http://www.securite-informatique.gouv.fr/gp_article701.html). D'ou le lien avec l'introduction de mon article.
A savoir que le protocole smbv2 est uniquement utilisé sur des OS de type Windows 7 ou Windows Server 2008.

On arrive donc encore une fois, à partir du réseau, à déposer gentillement et sans authentification particulière des payloads (comprenez charge) sur les machines distantes (des vers par ex. http://secuobs.com/revue/news/145323.shtml).

Je détallerais la procédure dans mon prochain article et vous laisse cependant vérifier par vous même:
Pour le code Ruby c'est ici ==> http://trac.metasploit.com/browser/framework3/trunk/modules/exploits/windows/smb/smb2_negotiate_func_index.rb

PING

Salut à tous, et bienvenue sur mon Blog.
Ce dernier n'a pas pour vocation d'être à l'affut des toutes les news en sécurité Informatique, mais de référencer quelques news bien salées, histoire de partager mes connaissances avec les autres Sécu-internautes !

A très vite sur mon blog;

Lylian.L.