BeeLogger, la mezcla de un KeyLogger, Python y mailers.

En diferentes ocasiones hemos llegado a escuchar o mas común usar alguna herramienta que nos permita capturar las teclas presionadas en algun equipo, lo que a muchos detiene son diferentes factores, ya sea que el software solo opera de forma local, o que debido a que su código tiene un cierto índice de deteccion ante las diferentes plataformas de seguridad en los equipos, el cual resulta ser tan alto que incluso los navegadores web modernos pueden encontrarlos. Otro factor es que la recolección de información es mas complicada, ya que es común que se usen dispositivos HID con esta finalidad.

Para evitar situaciones o complicaciones de ese tipo, podemos usar malware con ciertas modificaciones que lo aproximan a lo FUD (Fully Undetectable), en donde lejos de depender de algo que funcione de forma local, podamos obtener esta información vía remota, recibiendo un itinerario en nuestra bandeja de entrada, como pueden ser passwords, tarjetas de crédito, credenciales de sitos bancarios ,etc.

Aquí es donde aparce BeeLogger

Estando escrito en Python, es una herrmaienta que nos permite generar «Stubs» o binarios, que estan disfrazados de archivos de uso común como los son documentos de Word, PDF’s, o algun otro ejecutable. La finalidad de BeeLogger es que mediante la ejecución del «Stub» generado se detonará una inyección de código la cual pondrá en función el KeyLogger y creará un alware persistente que residirá en el equipo, así no tendremos necesidad de que se lleve a cabo la ejecución de algun «Stub» nuevamente, mientras todo lo que se teclea, se envía a nuestra Bandeja de entrada en GMAIL.

NOTA: Esta herramienta funciona en conjunto con y solo con GMAIL, por lo que tendrás que tener 2 o una cuenta perteneciente a este dominio.

¿Como conseguirlo?

BeeLogger, no es un software que se encuentre dentro de alguna distro para pentesting,  al igual que otras excelentes herramientas), por lo que tendrás que instalarlo por tu cuenta. El sitio oficial de descarga es el siguiente:

https://github.com/4w4k3/BeeLogger

*La Distro para pentesting que se usará para esta demostración será Parrot Security OS versión 3.4

La forma de instalación será la común, mediante descarga por el comando «git clone«,  en una terminal dentro de Parrot ejecutamos el siguiente comando:

«git clone https://github.com/4w4k3/BeeLogger»

Hecho lo anterior se creará un folder nombrado «BeeLogger» en el directorio raiz «root«, el cual contiene un conjunto de objetos o «items» que forman parte de la funcionalidad del «BeeLogger«, dentro de ese conjunto, veremos un file con nombre «install.sh«, el cual es el instalador de «BeeLogger» y de las dependecias que este requiere, para iniciarlo usamos el comando «./ install.sh» :

IMPORTANTE: Si se va a usar «BeeLogger» es recomendable hacerlo desde una distro reciente o actualizada, de lo contrario no se podrá hacer la consulta y descarga a los mirrors y repertorios.

1

2

3

Una vez terminada de hacer la descarga de las dependencias requeridas, tendremos que realizar la instalación manual de algunas de ellas, como lo son Wine, Python y PyInstaller. La primera que traterémos será «Wine«, la cual nos permitirá la creación de binarios .exe (ejecutables) en Linux, lo unico que tendremos que cambiar, será la version de windows hacia la que estará orientada la genereación de estos ejecutables, por ello, seleccionaremos a «Windows 10»

4

Al Finalizar la instalación de «Wine» continuaremos con la de «Python» y «PyInstaller», para estas dejaremos la configuración tal cual en Default y solo seguiremos el instalador:

5

6

Cuando termine la instalación de todas las dependencias, se mostrará este Log en la terminal donde se ejecutó la instalación:

7

Finalizado lo anterior, iniciaremos «BeeLogger«, como esta hecho en «Python«, usaremos el comando «python bee.py» para inicializarlo, mostrandose así (puede variar):

8

Vemos que hay 3 opciones principales, la de la generación de un KeyLogger, la que nos permite actualizar a la herramienta y la de salir de ella. Al usar la primer opción podemos ver que contamos con 6 diferentes disfraces en con los que nos podemos presentar al equipo windows victima, para esta demostración usaremos la opción # 2.

IMPORTANTE: Esta herramienta solo funciona con GMAIL, y para ello tenemos que habilitar el uso de apps «no tan seguras» para ello entrarémos al enlace que se muestra y habilitaremos el uso de estas, es recomendable usar un email no personal para esto, al habilitar eso, recibiremos un correo que notifica lo anterior:

11

12

Hecho lo anterior, proporcionarémos el email con dominio de GMAIL al cual queremos que lleguen los registros de las teclas capturadas, tambien tendremos que porporcionar el password de este, cabe mencionar que solo llegarán los registros de cada 50 teclas presionadas o cada 120 seg de actividad en el equipo victima:

9

Verificaremso las info proprocionada y continuaremos afirmado con «y»:

10

Al hacerlo, comenzará el proceso de elaboración y compilación de nuestro binario, cabe mencionar que el funcionamiento de este malware es similar al de un troyano de acceso remoto, ya que puede operar fuera de la red local  aun así hacernos llegar la información. Cuando temrine el proceso de compilación, el malware será guardado en el directorio «/root/BeeLogger/dist».  

13

Una vez que tengamos el Binario, lo haremos llegar al equipo de la forma preferida que tengamos, queda a tu imaginación como hacerlo llegar hasta allá. Si se llega a ejecutar, a simple vista no pasará nada, solo el cursor tendra su animación de proceso, para esta prueba lo ejecuté en un equipo del lugar de servicio social de mi universidad:

14

Hagamos una prueba de concepto (PoC); supongamos que en el equipo victima, el o un usuario ingresa al sitio de «PayPal», en donde decide ingresar a su cuenta desde el sitio oficial:

17

Otra prueba de concepto es con el sitio de «Bancomer«, en donde se tiene que ingresar el número de tarjeta y el password configurado para este sitio, como no se ingresó una tarjeta real, no puede obtenerse el password puesto a que no hay como ingresarlo, en el caso de que fuese lo contrario, lo obtendríamos.

19

Una ultima prueba que haremos constará en la obtención de las crendiciales en un ultimo sitio web, en este caso FB, en donde simplemente se ingresa un email y un password:

18

Hecho las pruebas de conecepto (PoC) anteriores, dentro de la bandeja de entrada del correo de GMAIL proporcionado en la configuración de «BeeLogger» veremos que hay 3 registros diferentes, con diferencia de un par de minutos (a veces mas), esto fue así por que en la demostración se visito un sitio cada 2 min, en el caso de que fuese diferente, los registros o logs llegrán por número de teclas o por tiempo transcurrido. Podemos notar que los emails recibidos, provenienen de nosotros mismos, ya que para eso lo configuramos en «BeeLogger» al comienzo.

loggsrecived

Dentro de cada email recibido, viene un log referente a las teclas que se pulsaron en el paso de tiempo de 120 seg, mostrandosé de la siguiente forma:

logging

Como se vió en esta demostración, «BeeLogger» resulto ser bastante eficciente para el simple proceso de configuración que se tiene que llevar a cabo para poder ponerlo en función, además de que nos permite la obtención de inforamción de forma remota, sin tener que depender de algun malware que funcione de forma local. «BeeLogger» puede ayudarnos a obtener información aun más sensible como lo son credenciales para plataformas de trabajo, tarjetas de crédito junto con los 3 dígitos de atrás, NIPs, o simplemente leer conversaciones que son ajenas a nosotros.

Todo el contenido de este escrito fue hecho con fines educativos.

2 thoughts on “BeeLogger, la mezcla de un KeyLogger, Python y mailers.”

  1. hola, seguí todos los pasos, pero al querer usar el archivo en otra maquina, loguear en varios sitios
    no me manda nada de información al correo que proporcioné en beelogger, a que se debe esto?
    Gracias

    1. Asegurate de seguir bien los pasos, al momento de proporcionar el correo y password, y de haber deshabilitado la función «Less Secure Apps» de Gmail, de lo contrario no van a llegar los Logs (:

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *