Come configurare un Cavo O.MG e successiva estrazione forense del firmware per analisi.
Il cavo O.MG è disponibile commercialmente da un po' di tempo con una nuova versione e alcuni nuovi firmware che sono stati rilasciati. Abbiamo iniziato questa analisi ed ora pubblichiamo i dettagli concentrandoci sul lato del Blue Team.
Questo articolo sarà diviso in tre parti:
1. Parte Uno: Analisi del cavo e delle sue capacità con un esempio di configurazione.
2. Parte Due: Come estrarre il firmware dal cavo, le payloads e i dettagli sulla rete Wi-Fi.
3. Parte Tre: Analisi della rete Wi-Fi con alcune scansioni NMAP per una maggiore precisione.
Parte 1: Il cavo
Il cavo O.MG è progettato per assomigliare e funzionare come un normale cavo di ricarica per smartphone, corrispondendo alle dimensioni dei cavi ufficiali come i cavi Lightning per iPhone e i cavi USB-C per dispositivi Android.
L'apparenza può ingannare, sotto il 'guscio di plastica economica' si trova un piccolo ma potente chip in grado di iniettare comandi nel dispositivo host a cui è collegato. Offre anche connettività Wi-Fi, il che significa che può essere controllato a distanza.
Il cavo O.MG non è un semplice cavo USB, si tratta di un sistema HID (Human Interface Device), ovvero un dispositivo USB per interagire con una persona, è come una tastiera o un mouse .
“È come essere seduti di fronte al computer della vittima senza essere davvero lì”
Ci sono molti articoli che approfondiscono i dettagli su come configurare e utilizzare un cavo O.MG, quindi ci concentreremo solo sui fondamentali.
Iniziamo collegando il cavo al Chip Box e collegando il Chip Box al laptop
Successivamente, possiamo clonare il repository Git ufficiale per ottenere l'ultimo firmware e caricarlo sul nostro cavo
Come puoi vedere nella terminale sopra, abbiamo impostato i dettagli della rete Wi-Fi come parte dell'installazione del firmware.
Per semplificare questa spiegazione abbiamo impostato il cavo in modalità Acess Point, in modo da poter utilizzare il nostro telefono o il nostro laptop per connetterci alla rete wireless trasmessa dal cavo.
Questo cavo può anche essere configurato in modalità client, dove è possibile fornire le credenziali per una rete Wi-Fi esistente e il cavo si connetterà a quella rete. In tal caso, dovrai scansionare l'intervallo IP per individuare il cavo o, se la rete lo supporta, connetterti a http://OMG_LASTSIXOFMACID.local.
Con la nostra versione personalizzata del firmware, ora possiamo inviare alcune payloads. A questo punto, è necessario alimentare il cavo senza il programmatore e attendere alcuni secondi affinché il punto di accesso diventi visibile.
Una volta che il Punto di Accesso sta trasmettendo, possiamo connetterci ad esso utilizzando le credenziali che abbiamo impostato durante l'installazione del dispositivo e da qui connetterci all'interfaccia Web su http://172.16.0.4/ per accedere a tutte le funzionalità del cavo O.MG.
Con accesso all'interfaccia principale possiamo installare alcune payloads ed impostarle anche come predefinite, in modo da eseguirle ogni volta che il cavo viene collegato a un host.
Una volta distribuito nell'ambiente di destinazione, possiamo connetterci allo stesso punto di accesso e selezionare quali payloads desideriamo eseguire sul computer ospite.
È importante notare che il cavo eseguirà solo comandi sul computer a cui è collegato.
Parte 2: Come scaricare il firmware dal cavo
In questa sezione, assumeremo il ruolo di un analista del CIRT (Computer Incident Response Team). Abbiamo identificato che il laptop di un utente si comporta in modo strano quando viene collegato ad un cavo specifico. Supponiamo di aver recuperato il cavo e iniziato la nostra analisi.
Tutti i dettagli relativi al cavo si trovano nel firmware, compresi le credenziali Wi-Fi e tutte le payloads. Per fare ciò, abbiamo usato uno script personalizzato usato per estrarre il firmware dal cavo e recuperare dati utili dal firmware. Puoi trovare lo script a questo link Github.
Con i dettagli del Wi-Fi, possiamo anche alimentare il cavo localmente e accedere all'interfaccia web per recuperare le payloads e qualsiasi altra configurazione personalizzata che potrebbe non essere stata rilevata dall'analisi del firmware.
Opzione Autodistruzione
Una delle azioni che l'hacker può compiere è quella di avviare l'autodistruzione del cavo. Se attivata, le opzioni possono essere 2.
SELF_DESTRUCT 1: vengono cancellati tutti i dati e il cavo smette di funzionare (come fosse rotto)
SELF_DESTRUCT 2: vengono cancellati tutti i dati e il cavo funziona come un cavo normale.
In queste caso, nonostante il messaggio indichi "cancellare tutti i dati", il nostro strumento di recupero del firmware è comunque in grado di recuperare il firmware e tutte le payloads memorizzate.
Parte 3: Rilevamento del Wi-Fi
Esistono alcune tecniche che possiamo utilizzare per determinare se un cavo O.MG è in funzione nella nostra rete. Alcune tecniche possono fornire un accesso completo al cavo, mentre altre possono solo informarci della sua presenza.
Auditing Wireless (Controllo della rete wireless)
Se hai la capacità e l'autorità per effettuare un controllo della tua rete wireless, questo può essere un buon punto di partenza. Tutti i dispositivi wireless hanno un indirizzo MAC e, senza entrare nei dettagli, una parte di questo indirizzo MAC (le prime 6) è utilizzata per identificare il produttore del chip wireless.
Qui possiamo vedere il nostro cavo in modalità Access Point. La parte del venditore dell'indirizzo MAC è leggermente diversa da quella che appare nel video "firmware" precedente, infatti abbiamo 00:0D:65 invece di DC:4F:22.
Verificando i dettagli del venditore, possiamo vedere che DC:4F:22 è assegnato a Espressif Inc, un venditore ben noto per il chip ESP8266 utilizzato nei cavi O.MG.
L'indirizzo 00:0D:65 non appare in una ricerca di fornitori MAC, ma una rapida ricerca su WiGLE (in foto), mostra che questo ID è comunemente associato al vendor CISCO.
In modalità Station (Stazione), possiamo vedere che l'indirizzo MAC DC:4F:22 si è connesso alla nostra rete Wi-Fi come client.
Se il cavo è collegato in modalità Station (Stazione), possiamo verificare i registri DHCP, identificare l'indirizzo IP assegnato a questo cavo e accedere all'interfaccia web in remoto nello stesso modo in cui potrebbe farlo un attaccante.Per identificare a quale dispositivo il cavo è collegato, potresti considerare l'invio di un tuo Payload all'host. Di seguito, un esempio di Ducky Script che aprirà il Blocco note e inserirà un messaggio:
Scansione del Network
Se non è possibile effettuare un controllo della rete wireless, potresti essere in grado di eseguire una scansione Network e cercare eventuali cavi in modalità Station. Questo nmap scriptè in grado di eseguire la scansione delle reti locali ed estrarre dati tramite il Web Socket utilizzato dall'interfaccia O.MG.
Se ti senti particolarmente avventuroso, puoi acquisire una copia del web-socket CLI tool e raccogliere ulteriori informazioni dal cavo.
