La puerta trasera GCAT es un backdoor con todas las funciones que puede ser controlado mediante el uso de Gmail como servidor de comando y control con múltiples ventajas para los atacantes.
Establecer una puerta trasera es una de las principales metas para un atacante con el fin de lograr persistencia en las máquinas de destino. Hay muchas herramientas de hacking que permiten fácilmente crear puertas traseras, muchas de estas herramientas son utilizadas a diario por pruebas de penetración profesionales cuando tratan de explotarlos para comprometer un objetivo o para mantener el control total sobre ellos.
La creación de una puerta trasera permite a un atacante conectarse a la máquina de la víctima con el fin de enviar y ejecutar algunos comandos, enviar y manipular archivos y la configuración de administración de acceso del sistema.
Hoy les presentamos GCAT que es una puerta trasera con todas las funciones que puede ser controlada mediante el uso de Gmail como servidor de comando y control, esto significa que el atacante puede enviar instrucciones al sistema remoto a través de una cuenta de Gmail.
Como puedes imaginar fácilmente esta característica es muy importante porque ayuda a mantener oculta la puerta trasera para así evadir los mecanismos de detección clásicos basados en el análisis del tráfico.
El tráfico desde una cuenta de Gmail nunca levantaría sospechas a los administradores de la red y nunca se disparará una alarma, también considera que la arquitectura de comando y control será siempre y accesible, un factor vital para los botmasters.
El código relacionado con la puerta trasera GCAT está disponible en GitHub, el repositorio incluye los dos archivos siguientes:
Los archivos anteriores incluyen las variables gmail_user y gmail_pwd que deben ser editados con el nombre de usuario y la contraseña de la cuenta de Gmail utilizada como servidor C&C.
Para llevar a cabo un ataque basado en la puerta trasera GCAT, un atacante tiene que hacer los siguientes pasos.
GCAT backdoor permite realizar las siguientes acciones:
A continuación un video del funcionamiento de GCAT:
Establecer una puerta trasera es una de las principales metas para un atacante con el fin de lograr persistencia en las máquinas de destino. Hay muchas herramientas de hacking que permiten fácilmente crear puertas traseras, muchas de estas herramientas son utilizadas a diario por pruebas de penetración profesionales cuando tratan de explotarlos para comprometer un objetivo o para mantener el control total sobre ellos.
La creación de una puerta trasera permite a un atacante conectarse a la máquina de la víctima con el fin de enviar y ejecutar algunos comandos, enviar y manipular archivos y la configuración de administración de acceso del sistema.
Hoy les presentamos GCAT que es una puerta trasera con todas las funciones que puede ser controlada mediante el uso de Gmail como servidor de comando y control, esto significa que el atacante puede enviar instrucciones al sistema remoto a través de una cuenta de Gmail.
Como puedes imaginar fácilmente esta característica es muy importante porque ayuda a mantener oculta la puerta trasera para así evadir los mecanismos de detección clásicos basados en el análisis del tráfico.
El tráfico desde una cuenta de Gmail nunca levantaría sospechas a los administradores de la red y nunca se disparará una alarma, también considera que la arquitectura de comando y control será siempre y accesible, un factor vital para los botmasters.
El código relacionado con la puerta trasera GCAT está disponible en GitHub, el repositorio incluye los dos archivos siguientes:
- gcat.py - una secuencia de comandos que se utiliza para enumerar y enviar comandos a los bots.
- implant.py - que es la puerta trasera.
Los archivos anteriores incluyen las variables gmail_user y gmail_pwd que deben ser editados con el nombre de usuario y la contraseña de la cuenta de Gmail utilizada como servidor C&C.
 |
| Configuración de cuenta Gmail |
- Crear una cuenta dedicada Gmail
- Encender "Permitir aplicaciones menos seguras" en la configuración de seguridad de la cuenta
- Habilitar IMAP en los ajustes de la cuenta
GCAT backdoor permite realizar las siguientes acciones:
- Ejecutar un comando del sistema
- Descargar un archivo desde el sistema de un cliente
- Subir un archivo al sistema de los clientes
- Ejecutar código shell suministrado en un cliente
- Tomar una captura de pantalla
- Bloqueo de pantalla los clientes
- Forzar un equipo a reportarse con el servidor
- Iniciar/Detener el keylogger (captura de teclas)
A continuación un video del funcionamiento de GCAT:
