1. Требуются разработчики и тестеры для проекта codebyOS. Требования для участия в проекте: Знание принципов работы ОС на базе Linux; Знание Bash; Крайне желательное знание CPP, Python, Lua; Навыки системного администрирования. Подробнее ...

    Скрыть объявление

Evil-Droid [Обход AV APK]

Тема в разделе "Этичный хакинг и тестирование на проникновение", создана пользователем ~~DarkNode~~, 5 окт 2017.

  1. ~~DarkNode~~

    ~~DarkNode~~ ~^_Wired FaLc❍n_^~
    ELEET

    Репутация:
    6
    Регистрация:
    19 окт 2016
    Сообщения:
    573
    Симпатии:
    1.800
    Evil-Droid [Обход AV APK]
    [ИНТРО]

    Доброго времени суток коллеги. Сегодня хочу обратить ваше внимание на один из видов автоматизации обхода проверки антивирусов для андроид приложений (APK файлов).
    И так , речь пойдет сегодня а так званом Evil-Droid, который написан на языке BASH и любой смертный сможет заглянуть в исходник скрипта.На момент написания этой статьи скрипту было 6-дней, и посему я не могу гарантировать что через полгода антивирусник не будет палить АПК-файлы созданые с его помощью.

    Evil-Droid [Обход AV APK]

    Мы же с вами сегодня проверим его работоспособность и действительно ли он обходит АВ.

    Возможности:
    • Создавать простую нагрузку meterpreter
    • Создавать обфусцированую нагрузку meterpreter
    • Инжектиться в другие андроид приложения (Не всегда работает "обычно это работает на простеньких приложениях типо калькулятор")
    • Клонировать страницы, делать фейк веб страницы ( play market например )
    • Запускать листенер метасплоита
    Зависимости:
    • metasploit-framework (нужен для создание вредоносного апк файла и для бек коннекта " поднять листенер)
    • xterm ( терминальная среда для запуска консольных приложений в отдельном окне)
    • Zenity ( Менеджер диалоговых окон в линукс )
    • Aapt ( Android Asset Packaging Tool - составляющая Android SDK , нужна для работы с ZIP архивами и т.д )
    • Apktool ( Нужно для декомпиляции APK файлов )
    • Zipalign (Средство оптимизации APK файлов )


    И еще одно очень важное!!!!
    Автор очень просит не тестировать апк файлы на вирустотале, надеюсь все знают почему! Если кто не знает - пишите в комментариях - вам обьяснят.
    Evil-Droid [Обход AV APK]


    [УСТАНОВКА]
    1. Качаем с гитхаба:
    2. Заходим в папку и делаем наш баш скрипт исполняемым
    • cd Evil-Droid
    • chmod +x evil-droid
    При старте скрипт проверяет зависимости , но не бойтесь если у вас чего то не установленно , в случае отсудствия необходимой утилиты скрипт сам ее установить. ( Как это было у меня )
    Evil-Droid [Обход AV APK]
    3. Запускаем скрипт и знакомимся с функционалом:
    • ./evil-droid
    Evil-Droid [Обход AV APK]


    [ТЕСТИРУЕМ]

    Сперва давайте просто создадим вредонос апк файл и проверим работу аваспа для андроид:
    Evil-Droid [Обход AV APK]
    Zenity у нас спрашивает IP адрес и порт , тип полезной нагрузки и т.д. для бекконекта. Я тестирую в условиях локальной сети, так что буду ставить локальный адрес и порт
    Evil-Droid [Обход AV APK]
    Evil-Droid [Обход AV APK]
    После генерации апк файла предлагает поднять листенер метасплоита, я соглашаюсь ( это удобно ) :
    Evil-Droid [Обход AV APK]
    Далее качаем наш вредонос и смотрем на работу АВ (быстро поднять веб сервер на машине с кали линукс можно командой python -m SimpleHTTPServer 1337 ) : Evil-Droid [Обход AV APK] Evil-Droid [Обход AV APK]

    И при попытке скачать файл мы сразу же видим алерт программы авасп...
    Evil-Droid [Обход AV APK]
    Ну что ж давайте попробуем обойти его )
    Evil-Droid [Обход AV APK]

    В этом случае скрипт создает самоподписный сертификат , который мы интерактивно заполняем , и ним же подписывает приложение.

    Evil-Droid [Обход AV APK]

    Пробуем скачать, и вуаля , загрузка проходить тихо без алертов )

    Evil-Droid [Обход AV APK]

    Проверяем:

    Evil-Droid [Обход AV APK]

    Хех)) АВ говорит что приложение безопасно)))
    Evil-Droid [Обход AV APK]

    Но после установки вылетает алерт что за приложением замечено подозрительную активность, думаю это из-за того что АВ проверяет разрешение приложения , но тем не мение приложения успешно устанавливаеться и сессия метерпретер прилетает. ))
    Evil-Droid [Обход AV APK]
    Evil-Droid [Обход AV APK]


    [ИТОГИ]

    +(ПЛЮС):
    • Скрипт умеет обходить АВ
    - (МИНУС):
    • АВ палит подозрительную активность прилолежения , скорее всего из-за большого ко-тва разрешений при установке...
    Материал для написания статьи был взят из

    Ах да , Evil-Droid умеет клонировать веб страницы , как это работает покажу в видео.
     
    #1 ~~DarkNode~~, 5 окт 2017
    Последнее редактирование: 6 окт 2017
    ghost, yarr, Ivan175 и 14 другим нравится это.
  2. SooLFaa

    SooLFaa Инквизитор
    ELEET

    Репутация:
    4
    Регистрация:
    15 июл 2016
    Сообщения:
    435
    Симпатии:
    696
    Шикарно.
     
    ~~DarkNode~~ нравится это.
  3. ~~DarkNode~~

    ~~DarkNode~~ ~^_Wired FaLc❍n_^~
    ELEET

    Репутация:
    6
    Регистрация:
    19 окт 2016
    Сообщения:
    573
    Симпатии:
    1.800
    Забыл поставить ограничение по возрасту - дали бан на 2 недели))) Снимут бан - перезалью)

    Evil-Droid [Обход AV APK]
     
    fysh, ShurikEEN, kot и ещё 1-му нравится это.
  4. red_cyber

    red_cyber Member

    Репутация:
    0
    Регистрация:
    19 сен 2017
    Сообщения:
    13
    Симпатии:
    0
    это конечно всё гуд!но как это пофиксить?
     

    Вложения:

  5. ~~DarkNode~~

    ~~DarkNode~~ ~^_Wired FaLc❍n_^~
    ELEET

    Репутация:
    6
    Регистрация:
    19 окт 2016
    Сообщения:
    573
    Симпатии:
    1.800
    MSF>>> jobs -K
    MSF>>> exploit -j
     
    OneDollar нравится это.
  6. red_cyber

    red_cyber Member

    Репутация:
    0
    Регистрация:
    19 сен 2017
    Сообщения:
    13
    Симпатии:
    0
    мне надо отправить файл который создал,в итоге запускаю exploit выхлоп не есть гуд
    смотри сам
     

    Вложения:

  7. ~~DarkNode~~

    ~~DarkNode~~ ~^_Wired FaLc❍n_^~
    ELEET

    Репутация:
    6
    Регистрация:
    19 окт 2016
    Сообщения:
    573
    Симпатии:
    1.800
    Ну так он же тебе уже говорит что адрес и порт уже занят, зачем ты два раза запускаешь сплойт???
    Команды :
    Run и Exploit это одно и тоже действие.
     
  8. red_cyber

    red_cyber Member

    Репутация:
    0
    Регистрация:
    19 сен 2017
    Сообщения:
    13
    Симпатии:
    0
    да я в курсе
     
  9. ~~DarkNode~~

    ~~DarkNode~~ ~^_Wired FaLc❍n_^~
    ELEET

    Репутация:
    6
    Регистрация:
    19 окт 2016
    Сообщения:
    573
    Симпатии:
    1.800
    А где проблема?? Файл же не запуском метасплоита создается, метасплоит все го лишь выступает для бекконекта, путь к файлу тебе должно показать notify-send (всплывающие окно перед запуском метасплоита)
     
  10. red_cyber

    red_cyber Member

    Репутация:
    0
    Регистрация:
    19 сен 2017
    Сообщения:
    13
    Симпатии:
    0
    чё то туплю, давай подробнее расскажи, а потом тестану на мобиле подруги xD
     
  11. ~~DarkNode~~

    ~~DarkNode~~ ~^_Wired FaLc❍n_^~
    ELEET

    Репутация:
    6
    Регистрация:
    19 окт 2016
    Сообщения:
    573
    Симпатии:
    1.800
    Сниму видос, возможно вечером залью)
     
    #11 ~~DarkNode~~, 14 окт 2017
    Последнее редактирование: 14 окт 2017
  12. red_cyber

    red_cyber Member

    Репутация:
    0
    Регистрация:
    19 сен 2017
    Сообщения:
    13
    Симпатии:
    0
    отпиши потом, просто есть кое что для тебя
     
  13. OneDollar

    OneDollar Well-Known Member
    Премиум

    Репутация:
    0
    Регистрация:
    7 сен 2017
    Сообщения:
    62
    Симпатии:
    11
    На счет подозрительной активности, я установил dr web и ему вообще фиолетово на этот процесс:) Так что не все антивирусы выдают предупреждение:) Или мне надо было поюзать дольше? Вирус около часу был в моем телефоне и никаких сообщений не наблюдалось, статья огонь:) То всякие билды того же spynote довольно хорошо палятся) В общем, всем рекомендую, кто хочет за женой последить:D И не сливайте билды на VT! Ибо для таких людей отдельное место в аду, но эт не точно)
     
    WebWare Team и ~~DarkNode~~ нравится это.
  14. ~~DarkNode~~

    ~~DarkNode~~ ~^_Wired FaLc❍n_^~
    ELEET

    Репутация:
    6
    Регистрация:
    19 окт 2016
    Сообщения:
    573
    Симпатии:
    1.800
    Спасибо за тест на Dr.WEB , я на нем не тестировал, написал статью по факту тестирования на Авасп антивирусе, кто еще на каких то АВ протестирует - прошу оставить коммнтарий о результатах тестирования) Так сказать общими силами и общим опытом )))

    Так же в силу свободного времени попытаюсь дописать функционал выбора картинки для скрипта , возможно не как у SpyNote с ресайзом картинки и т.д а банальную ico картинку можно будет вставить ( ну если речь идет про жену , то например что бы это было иконка от goole music или что то подобное)
    --- Добавлено 16 окт 2017. Первое сообщение размещено 14 окт 2017 ---
    Возможно кому то будет полезно:
    Русифицировал данный фреймворк для нашего форума.

    Evil-Droid [Обход AV APK]
    --- Добавлено 16 окт 2017 ---
    Добавлю функционал выбора иконки и опубликую пожалуй его в ресурсах, по ходу палева АВешками буду пытаться его модернизировать.
     

    Вложения:

    • Evil-Droid [Обход AV APK]
      1.PNG
      Размер файла:
      413,3 КБ
      Просмотров:
      7
    • Evil-Droid [Обход AV APK]
      2.PNG
      Размер файла:
      405,4 КБ
      Просмотров:
      7
    Max2, MrWolf, yarr и 4 другим нравится это.
  15. yarr

    yarr Member

    Репутация:
    0
    Регистрация:
    5 окт 2017
    Сообщения:
    9
    Симпатии:
    10
    Очень перспективная штука. Я использовал инъекцию в другое приложение. Палева AV при инъекции 0% пока, думаю стоит развивать тему.
     
  16. OneDollar

    OneDollar Well-Known Member
    Премиум

    Репутация:
    0
    Регистрация:
    7 сен 2017
    Сообщения:
    62
    Симпатии:
    11
    Уже активно на ютубе сливается, вот думаю что не долго протянет ..(
     
    yarr нравится это.
  17. DSCH

    DSCH Member

    Репутация:
    0
    Регистрация:
    7 дек 2016
    Сообщения:
    12
    Симпатии:
    1
    Привет.. Прошу тебя сними видос про твой консоль ? какие утилити использоваал на такой консоль .. просто прошу очень интересно .. с таким консолом приятон будет че то делать... ну пжж
     
  18. ~~DarkNode~~

    ~~DarkNode~~ ~^_Wired FaLc❍n_^~
    ELEET

    Репутация:
    6
    Регистрация:
    19 окт 2016
    Сообщения:
    573
    Симпатии:
    1.800
    Ну там в начале скрипта инициализируеться десяток перемен с рандомными именами длиною в 10 ланинских символов, тоесть каждый новый запуск скрипта инициализируеться новые сигнатуры.
    Если АВ начнет палить то уже по другим ключевым словам... Ну я допилю функционал и буду развивать тему.
    --- Добавлено 17 окт 2017 в 10:55. Первое сообщение размещено 17 окт 2017 в 07:58 ---
    Сниму) Сейчас у самого после обновления полетели зависимости, буду на днях ковыряться в конфигах.
     
    yarr и DSCH нравится это.
  19. DSCH

    DSCH Member

    Репутация:
    0
    Регистрация:
    7 дек 2016
    Сообщения:
    12
    Симпатии:
    1
    воо я буду ждать.... подписался на канал.. спс..
     
  20. ghost

    ghost penetration testing
    Grey Team

    Репутация:
    7
    Регистрация:
    12 май 2016
    Сообщения:
    474
    Симпатии:
    608
    Спасибо. Затестим.
    Зачем на трубу? Может на vimeo лучше видео залить...
     
Загрузка...

Поделиться этой страницей