Introduksjon
USB Switchblade er en kjekk liten hack som lar deg hente ut mye sensitiv informasjon fra en datamaskin, blant annet LM-hashen, helt stille og usynlig i løpet av et par sekunder.. Denne hacken benytter seg av teknologien i en U3-kompatibel minnepenn. Disse minnepennene har nemlig en egen partisjon som emulerer en cd-rom, noe som betyr at man kan autokjøre programmer, noe som en vanlig minnepenn ikke kan.. Med autokjør på laget kan vi legge inn mange fine scripts som går automatisk, helt stille og usynlige i bakgrunnen, og dumper mye informasjon fra maskinen.. Men det krever selvfølgelig fysisk tilgang til maskinen, samt den må kjøre Windows 2000, XP eller 2003 Server innlogget som administrator.. Her er hvordan du gjør det.


Hardware
Først må du ha en U3-kompatibel minnepenn. Finnes en del av disse etterhvert (se på pakken om det står U3). En veldig fin en er SanDisk Cruzer Micro (bildet) som jeg har sett blitt solgt for under hundrelappen. F.eks. hos Clas Ohlson.
[CENTER]
http://bilder.gamer.no/115/115664/Cruzer_Micro_4GB_angle-300x200.jpg
[SanDisk Cruzer Micro]
[/CENTER]

Payloaden
Så trenger du å laste ned filene MD1.0-loader.rar og MD1.0-payload.rar , som jeg har hostet på serveren min.

Så trenger vi å få flashet cd-rom-delen av minnepennen våres, og få lagt over payloaden med autorun-filen og vb-scriptet vårt. SanDisk har laget et program som heter LPinstaller.exe (ligger i MD1.0-loader.rar), som flasher partisjonen med en iso-fil fra en av deres servere eller noe.. Men om man legger iso-filen i samme mappe som exe-filen og kaller den cruzer-autorun.iso, vil den bruke den til å flashe partisjonen. Vidre må vi legge del to av payloaden på minnepenn-delen av USB-sticken. Kopier over innholdet i MD1.0-load.rar til minnepennen. Mappene bør gjøres skjulte, så ingen snoker rundt og finner filene. I mappen /WIP/CMD ligger det en del .exe-filer samt et batch-script som vil kjøre helt stille og hente ut informasjonen.. Innholdet blir lagret i mappen /Documents/logfiles, med en text-fil med navnet på maskinen informasjonen kommer fra.. Det hele skal så være klart..


Hvordan fungerer det?
Prosessen vil fungere ved at autorun.inf på cd-rom-partisjonen vil autokjøre. Den åpner så go.vbe, som igjen starter go.cmd som ligger på minnepenn-delen. Du må gjerne fjerne eller legge til elementer i scriptet for å optimalisere for din bruk..

Prosessen å hente ut informasjonen tar rundt 30sek, og skal ikke være merkbart ved at noe dukker opp på skjermen etc. Det går fint å kjøre scriptet med offeret ved skjermen.. Men desverre vil mange av de nyere antivirus-programmene oppdage blant annet pwdump som vi benytter til å hente ut LM-hashen..

Man kan fint eksperimentere med disse scriptene blant annet ved å legge inn en bakdør ved å opprette en admin-bruker på maskinen, eller f.eks. et script som sender infoen til deg via mail.. Bare å starte å eksperimentere..

Når du kommer til din egen PC henter du enkelt ut filene ved å kjøre RUN, så skrive XDocuments\logfiles. Du kan nå f.eks. kjøre bruteforce mot LM-hashen, eller slå opp mot en rainbowtable..


Erfaring
Jeg har en slik Switchblade, som den har blitt døpt, i nøkkelknipet mitt.. Hvor en jeg kommer over en maskin jeg har mulighet til å gjøre mitt offer, plugger jeg den raskt inn og ut.. Har samlet mange passord på denne måten.. Det er heller ikke noe vanskelig til å få folk til å bruke minnepennen din f.eks. til å sjekke ut en film eller et program du har, overføre musikk, whatever...

Virker det ikke på Vista? Eller kommer det opp en sånn irriterende advarsel om tillatelse til å kjøre programmet da?

VIRKELIG fin guide btw. Hadde jeg hatt noen KP å gi vekk, hadde du fått.

Har ikke lest noe rundt forsøk på Vista-maskiner.. Har heller ikke fått sjangsen til å prøve selv, men regner med at Microsoft har klart å sperre mot dette angrepet i Vista..

det måten her funker ikke hvis pc'en er "lock by user", en work around for den er og bruke en firewire disk (ikke usb disk) winxp sp3 har ikke sperret autorun på firwire, så du kan bruke den måte en og unlocke screen saver og "coputer lock" i windows.
NB: det funker IKKE med usb det blei fixsa i sp1.

Så vidt jeg kan se så skal det fungere for alle versjoner av windows etter 2000, ser ingen ting om at det ikke vil starte i vista. Antar det vil fungere, bare en måte og finne det ut på i allefall.

Anyways et flott verktøy, kp til deg.

kilder: http://wiki.hak5.org/wiki//USB_Switchblade

Så har man da også overinterresserte eller paranoide mennesker som ikke har passordet liggende som lm-hash på maskinen, for det er jo gammelt nytt at det ikke er til nytte for andre en de som vil hacke boksen din. Nt hashen er eneste du trenger til passord. Fin guide forresten.

Har tatt og kopiert oppstartsfilene fra en u3-pinnn nå, skal se om jeg får lagt de på en usbpinn som ikke har originalt, og om det virker. Skal i teorien gå det, mener jeg..

Har lest om folk som har laget flere slike usb pinner og lagt dem utenfor inngangsdøren til et selskap de ønsker å hacke seg inn i. Alltids noen som finner en slik en og forsøker å plugge den inn i maskinen sin.

Da har maskinene helt latterlig dårlig sikkerhet på maskinene sine... Altså ikke nyeste service pack, eller sikkerhetsoppdateringer, samt fravær av virusprogram som oppdager pwdump.exe..

Nedlastings linkene funker ikke hos meg :S

Selv bruker jeg ikke pwdump fordi det blir oppdaget av veldig mange antivirus.

Passord kan derimot finnes mange andre steder også.
Du kan finne nettverkspassord, MSN-passord, logger, og alt mulig rart.

Et program som laster opp de siste åpende dokumentene via Internet Explorer er også vanskelig å oppdage, selv med brannmur.

Nei, feilen er på den menneskelige delen. Skru av autorun som default! (Har ikke Vista gjort det?)

Jeg fikk et par lignende meldinger fra MS Windows Defender når jeg lasta ned filene også. Funker vel heller dårlig på Vista med andre ord, hvis ikke Defender er slått av, noe den ikke er by deafult.

Morsomt Desverre så klarer ihvertfall AVG å forstå hva som ligger bak. Den gir advarseler på .exe-verstingene.

Hva skal jeg bruke for å slå opp mot en rainbowtable, eller kjøre bruteforce..

Har fått til alt utenomdette.

Edit: jeg lurer også på om hva det skal stå i en batfil som skal flytte for eksempel en tekstfil fra C: ..

copy ctextfila.txt g

da vil den kopier fila til g hvis det er usb brikka da.

Hvor er filene?

Og hvis jeg vil bruke minnepennen til noe annet, kan jeg få den til "factory default" igjen?

kan noen forklare meg hva man skal med dette?
forsto ikke det helt

Er det noen som kan bekrefte om dette fungerer på Vista nå? Jeg kan kanskje prøve på lørdag / søndag, komme an på.

Men du må vel uansett få tilbake minnepinnen for og få informasjonen din?

Ellers, de fleste har ikke admin tilgang til Jobb PC-en sin.

Duger denne?
http://www.komplett.no/k/ki.aspx?sku...ed#ProductTabs

Ja, jeg har en slik Den funker ypperlig

Vil annbefale og lese litt på denne siden her, http://hak5.org/forums/index.php?showforum=20

Les den sticky posten som heter USB Pocket-Knife Development, der skal det være en payload som funker veldig bra

Du kan også gå på irc og spørre de som er der.
/j eu.mintirc.net
/j #usb-hacks

Bare en liten bump, nettopp bestilt en cruzer med U3
For å stoppe autokjør så holder man venstre skift-knapp inne helt til man har åpnet lagringsstasjonen fra "Min datamaskin" right? Ikke noe mer hokus pokus enn det for å unngå at man selv blir utsatt for denne type slurping?

I vista ble jeg spurt om jeg ville bruke autokjør eller åpne filene på en installasjons-CD med autorun. Regner med at den gjør det samme med USBpenner :P Men hvis man har tilgang til å putte pluggen inn, har man som regel tilgang til å trykke "ok" da

I en slik guide mener jeg absolutt at du bør inkludere måter å unngå å bli offer for slikt også, det skulle da vel ikke være for meget.

Og da, da er det gode gamle shift som funker. Hold nede "Shift", det dreper all autorun som starter når du setter inn cder eller minnepenner, bare slik at dette er sagt.

hahaha sånn har jeg aldri fått før :-/
jeg har fått mange som sier sånn som det her :

Hvor kan jeg finne slike programmer som nevnt? Trenger dette raskt...

den tingen der er ikke helt bra, for siden programmene som dumper passord ol. ligger på minnepenn-delen vil antivirus kunne slette de.
gonzor er bedre, for der ligger programmer på CD delen, og kun dumpet data og en config fil ligger på minnepenn-delen.
http://www.raymond.cc/blog/archives/...ate-hack-tool/

jeg har en plan om å lage en selv som ikke blir tatt av antivirus, men får se om jeg får tid.

Spennende.. Skal se om jeg får oppdatert selv til en nyere payload.. Gonzor hørtes spennende ut.. Skal oppdatere guiden når jeg har testet litt selv.

Kanskje på tide at noen lager et par guider om å beskytte seg, ikke bare hvordan man tar andre?

Skal prøve å inkludere det i den kommende oppdateringen..

Men det handler kun om å spre kunnskap. De som virkelig ønsker å gjøre noe med virkelig onde hensikter mot noen, ville klart det uansett. Her setter vi lys på det og gjør folk mer bevisste!

Fungerer ikke flashing med standard metoden lenger??

LPInstaller vil ikke innstalere de isoene jeg legger i mappa, selv den isoen fra tråden her fungerer ikke. Den laster ned filer uansett.

Napper jeg ut nettet nekter den å oppdatere.

Er det noe jeg gjør feil? Eller finnes det noen andre programmer jeg kan flashe med?

8gb sandisk cruzer u3

kan jeg ikke bare få ett "ja" eller "nei" ? er lei av å prøve å få LPInstaller til å funke.. litt bortkasta tid om det faktisk ikke kan gjøres sånn lenger

Idag kjøpte jeg meg den minnenpenner du sier der...

når jeg skal legge over de exe filene som ligger i CMD
får jeg bare "access denied" .....
noen som vet hvem dette er ? :S

Jeg finner ikke filene ?
var blir de av ??
Documents\logfiles finnes jo ikke :O

please svar !

Jeg har fått alt til å fungere men den vil ikke auto kjøre

va skal gjøres ?

De har fjernet støtten for autokjør i Windows XP siden SP1. I Vista og nyere versjoner av Windows tar UAC seg av alt og gjør det tilnærmet umulig å stjele innhold uten en brukers samtykke til å kjøre det.

okei.

Men det er en ting jeg lurte på. nå som jeg allerede har de scriptene inne på minnepennen min. går det annt at den stjeler msn logg i det jeg kjører lunch ?

Slik jeg tolker norsken din, så spør du om du kan få et skript til å kopiere/stjele msn-logger over til minnepennen ved at du fysisk starter skriptet.
Om det var det du spurte om, så er svaret ja.

Sweet

Er det mulighet å få tak i ett slik script ?`uten å måtte paye ?

Om du vet banen (mappen + filnavnet) filene ligger i, så kan du jo lage noe så enkelt som en .bat-fil som kopierer dem over.
Men å finne ut dette tar deg sikkert like lang tid som det tar å kopiere dem over uten skript, så jeg ser ikke helt hensikten.

Om du veit hva fila heter så lar du vel scriptet dit lete den opp? Å leite opp en fil med ett kjent navn klarer vel sjøl ett primitivt bat script skulle jeg mene.

Kan ikke noen hær bare være så grei å lage den til meg ?

send bare command så kan jeg gjøre resten

Noen som vet hvorfor jeg får dette?

http://img839.imageshack.us/img839/967/hmmh.png

Jeg har en Sandisk Cruzer, med U3

Hei lurer på en liten ting.

Har fulgt en guide om hvordan å innstallere Gonzor Switchblade til punkt og prikke. Men når jeg tester det vil den ikke hente noe informasjon.

Har gått igjennom guiden 2 ganger og det funker fortsatt ikke.

Loggene som skal lages skal dukke opp på "Fsystem\logs\"computername"\" Men det dukker aldri opp noe. Noen som aner hva som kan ha gått galt?