USB Rubber Ducky: Mr. Robot style !

ATTENTION: Je ne suis en aucun cas responsable de vos actes. Cet article est purement à but informatif et éducatif. Merci.

Salut à tous et à toutes, bande de geeks!

Maintenant que vous comprenez les bases de l’utilisation de l’attaque par vecteur USB, les choses sérieuses vont pouvoir commencer. Beaucoup d’entre vous ont l’air intéressés par le fonctionnement de l’USB Rubber Ducky, et souhaitent passer au niveau supérieur.

La très -bonne et- célèbre série Mr. Robot fait rêver des milliers de Hackers partout dans le monde en montrant des Hacks dans chacun de ses épisodes. Un des plus célèbres Hacks étant celui où Angela (un des personnages principaux) utilise l’USB Rubber Ducky pour extraire tous les mots de passes d’un PC en moins de 15 secondes! Impressionnant non? Ce Hack est d’autant plus incroyable qu’il est réalisable très facilement pour quiconque possédant ce Canard USB!

Vous l’aurez deviné, aujourd’hui nous allons nous attaquer à créer un Payload permettant de voler tous les mots de passes d’un PC en moins de 15 secondes.

Prêts? C’est parti!

Commençons d’abord par définir le principe de fonctionnement du Payload:

  1. Le Payload utilise un script Powershell nommé Mimikatz qui permet d’extraire les mots de passes de l’ordinateur.
  2. La particularité de Mimikatz est qu’il est totalement codé en script powershell. Ce qui veut dire qu’il ne touche en aucun cas aux fichiers de l’ordinateur. Il reste seulement chargé dans la RAM pendant son exécution, puis s’arrête sans laisser de traces. Seul inconvénient, Mimikatz à besoin d’un accès administrateur pour pouvoir fonctionner correctement.
  3. Nous allons donc utiliser la méthode d’envoi de mails, apprise dans le précédent article pour évacuer les mots de passes.
  4. Et pour finir, je vais vous expliquer comment effacer toutes traces après l’exécution du Payload.

Nous devons donc commencer par lancer un invite de commande en administrateur. Voici le code détaillé:

Et voilà, le cmd admin est à nous! Maintenant, nous devons télécharger le script invoquant Mimikatz. Pour ce faire, nous devons initialiser une instance powershell qui va télécharger et exécuter Mimikatz.

Vous l’aurez donc compris, vous aurez besoin d’uploader le script Invoke-Mimikatz.ps1 sur un de vos serveur. (Le HTTPS est recommandé)

Et maintenant, il n’y a plus qu’à exporter le résultat par Mail! Un vrai jeu d’enfant.

Dernière partie: effacer ses traces. Je sais que beaucoup d’entre vous se tâtent de connaître comment faire disparaître toutes les preuves, et pour cause, pour le moment tous nos Payloads étaient complètement traçables en regardant simplement l’historique du cmd.

La manière la plus radicale est de toucher à la base de registre Windows. Cette dernière contient en effet l’historique de toutes les commandes exécutées sur la machine. Une seule commande suffit pour tout supprimer:

Si vous ne comprenez pas ce que signifie cette commande, je vous recommande d’apprendre à utiliser l’invite de commande pour interagir avec le registre Windows. (NOTE: Pour exécuter cette commande, les droits administrateurs sont requis.)

Et voilà, notre Payload est prêt! Il ne reste plus qu’à l’encoder et à le déployer!

Si cet article vous a plu, n’hésitez pas à le partager et à me le faire savoir! 😀

Je vous donne rendez-vous à la prochaine, et d’ici là: Stay Tuned!

Lien pour télécharger Invoke-Mimikatz.ps1

 

8 commentaires sur “USB Rubber Ducky: Mr. Robot style !”

  1. Je comprend pas , a certain moment y a marquer ‘https://VotreServeur/mimi.ps1’ et je ne sais pas par quoi remplacer le votre serveur.
    Moyen de m’aider svp ?

  2. Cela m’intérresse beaucoup mais j’ai beaucoup de mal, pourrez tu passer skype ou teamspeak m’aider quelques minute, quitte à ce que je te paye si cela te prend du temps dans ta journée !

  3. Salut, j’ai essayer avec duckytoolkit via l’application web et duckyencoder.py
    Le script ne marche pas ou ne marche plus je ne sais pas

    Something went wrong with the encoding of your duck script. Please check and try again or report this issue

    Cordialement

    1. Salut,
      C’est sûrement un problème de copier/coller. Tu as dû copier des caractères spéciaux dans ton script !
      Essaye de le recopier à la main 😉

  4. Salut bon tuto mais sur quelle OS windows???
    sachant que sur windows 10 il faut desactiver l’UAC et WIN defender qui fait tres bien son travail…pour lancer Mimikatz..

    1. Bonsoir,
      Ce payload est fait pour Windows.
      Effectivement, depuis l’écriture de l’article Windows Defender s’est amélioré et peut désormais détecter Mimikatz sous certaines conditions…

Laisser un commentaire