• Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

  • CTF с учебными материалами Codeby Games

    Обучение кибербезопасности в игровой форме. Более 200 заданий по Active Directory, OSINT, PWN, Веб, Стеганографии, Реверс-инжинирингу, Форензике и Криптографии. Школа CTF с бесплатными курсами по всем категориям.

Статья Evil-Droid [Обход AV APK]

3.PNG

[ИНТРО]

Доброго времени суток коллеги. Сегодня хочу обратить ваше внимание на один из видов автоматизации обхода проверки антивирусов для андроид приложений (APK файлов).
И так , речь пойдет сегодня а так званом Evil-Droid, который написан на языке BASH и любой смертный сможет заглянуть в исходник скрипта.На момент написания этой статьи скрипту было 6-дней, и посему я не могу гарантировать что через полгода антивирусник не будет палить АПК-файлы созданые с его помощью.

0.PNG


Мы же с вами сегодня проверим его работоспособность и действительно ли он обходит АВ.

Возможности:
  • Создавать простую нагрузку meterpreter
  • Создавать обфусцированую нагрузку meterpreter
  • Инжектиться в другие андроид приложения (Не всегда работает "обычно это работает на простеньких приложениях типо калькулятор")
  • Клонировать страницы, делать фейк веб страницы ( play market например )
  • Запускать листенер метасплоита
Зависимости:
  • metasploit-framework (нужен для создание вредоносного апк файла и для бек коннекта " поднять листенер)
  • xterm ( терминальная среда для запуска консольных приложений в отдельном окне)
  • Zenity ( Менеджер диалоговых окон в линукс )
  • Aapt ( Android Asset Packaging Tool - составляющая Android SDK , нужна для работы с ZIP архивами и т.д )
  • Apktool ( Нужно для декомпиляции APK файлов )
  • Zipalign (Средство оптимизации APK файлов )


И еще одно очень важное!!!!
Автор очень просит не тестировать апк файлы на вирустотале, надеюсь все знают почему! Если кто не знает - пишите в комментариях - вам обьяснят.
2.PNG



[УСТАНОВКА]
1. Качаем с гитхаба:
2. Заходим в папку и делаем наш баш скрипт исполняемым
  • cd Evil-Droid
  • chmod +x evil-droid
При старте скрипт проверяет зависимости , но не бойтесь если у вас чего то не установленно , в случае отсудствия необходимой утилиты скрипт сам ее установить. ( Как это было у меня )
1.PNG

3. Запускаем скрипт и знакомимся с функционалом:
  • ./evil-droid
3.PNG



[ТЕСТИРУЕМ]

Сперва давайте просто создадим вредонос апк файл и проверим работу аваспа для андроид:
4.PNG

Zenity у нас спрашивает IP адрес и порт , тип полезной нагрузки и т.д. для бекконекта. Я тестирую в условиях локальной сети, так что буду ставить локальный адрес и порт
5.PNG

6.PNG

После генерации апк файла предлагает поднять листенер метасплоита, я соглашаюсь ( это удобно ) :
7.PNG

Далее качаем наш вредонос и смотрем на работу АВ (быстро поднять веб сервер на машине с кали линукс можно командой python -m SimpleHTTPServer 1337 ) :
8.PNG
9.PNG


И при попытке скачать файл мы сразу же видим алерт программы авасп...
10.PNG

Ну что ж давайте попробуем обойти его )
11.PNG


В этом случае скрипт создает самоподписный сертификат , который мы интерактивно заполняем , и ним же подписывает приложение.

12.PNG


Пробуем скачать, и вуаля , загрузка проходить тихо без алертов )

13.PNG


Проверяем:

14.PNG


Хех)) АВ говорит что приложение безопасно)))
15.PNG


Но после установки вылетает алерт что за приложением замечено подозрительную активность, думаю это из-за того что АВ проверяет разрешение приложения , но тем не мение приложения успешно устанавливаеться и сессия метерпретер прилетает. ))
16.PNG

17.PNG



[ИТОГИ]

+(ПЛЮС):
  • Скрипт умеет обходить АВ
- (МИНУС):
  • АВ палит подозрительную активность прилолежения , скорее всего из-за большого ко-тва разрешений при установке...
Материал для написания статьи был взят из



Ах да , Evil-Droid умеет клонировать веб страницы , как это работает покажу в видео.
 
Последнее редактирование:
R

red_cyber

это конечно всё гуд!но как это пофиксить?
 

Вложения

  • Снимок экрана в 2017-10-13 18-20-26.png
    Снимок экрана в 2017-10-13 18-20-26.png
    14,4 КБ · Просмотры: 402

<~DarkNode~>

~^M1st3r_Bert0ni^~
Platinum
19.10.2016
722
3 099
BIT
0
мне надо отправить файл который создал,в итоге запускаю exploit выхлоп не есть гуд
смотри сам
Ну так он же тебе уже говорит что адрес и порт уже занят, зачем ты два раза запускаешь сплойт???
Команды :
Run и Exploit это одно и тоже действие.
 

<~DarkNode~>

~^M1st3r_Bert0ni^~
Platinum
19.10.2016
722
3 099
BIT
0
А где проблема?? Файл же не запуском метасплоита создается, метасплоит все го лишь выступает для бекконекта, путь к файлу тебе должно показать notify-send (всплывающие окно перед запуском метасплоита)
 
R

red_cyber

А где проблема?? Файл же не запуском метасплоита создается, метасплоит все го лишь выступает для бекконекта, путь к файлу тебе должно показать notify-send (всплывающие окно перед запуском метасплоита)
чё то туплю, давай подробнее расскажи, а потом тестану на мобиле подруги xD
 
O

OneDollar

На счет подозрительной активности, я установил dr web и ему вообще фиолетово на этот процесс:) Так что не все антивирусы выдают предупреждение:) Или мне надо было поюзать дольше? Вирус около часу был в моем телефоне и никаких сообщений не наблюдалось, статья огонь:) То всякие билды того же spynote довольно хорошо палятся) В общем, всем рекомендую, кто хочет за женой последить:D И не сливайте билды на VT! Ибо для таких людей отдельное место в аду, но эт не точно)
 

<~DarkNode~>

~^M1st3r_Bert0ni^~
Platinum
19.10.2016
722
3 099
BIT
0
На счет подозрительной активности, я установил dr web и ему вообще фиолетово на этот процесс:) Так что не все антивирусы выдают предупреждение:) Или мне надо было поюзать дольше? Вирус около часу был в моем телефоне и никаких сообщений не наблюдалось, статья огонь:) То всякие билды того же spynote довольно хорошо палятся) В общем, всем рекомендую, кто хочет за женой последить:D И не сливайте билды на VT! Ибо для таких людей отдельное место в аду, но эт не точно)
Спасибо за тест на Dr.WEB , я на нем не тестировал, написал статью по факту тестирования на Авасп антивирусе, кто еще на каких то АВ протестирует - прошу оставить коммнтарий о результатах тестирования) Так сказать общими силами и общим опытом )))

Так же в силу свободного времени попытаюсь дописать функционал выбора картинки для скрипта , возможно не как у SpyNote с ресайзом картинки и т.д а банальную ico картинку можно будет вставить ( ну если речь идет про жену , то например что бы это было иконка от goole music или что то подобное)
[doublepost=1508148825,1507981875][/doublepost]Возможно кому то будет полезно:
Русифицировал данный фреймворк для нашего форума.
https://github.com/CorpOfHack/Evil-Droid-RU/
3.PNG

[doublepost=1508152435][/doublepost]Добавлю функционал выбора иконки и опубликую пожалуй его в ресурсах, по ходу палева АВешками буду пытаться его модернизировать.
 

Вложения

  • 1.PNG
    1.PNG
    91,6 КБ · Просмотры: 264
  • 2.PNG
    2.PNG
    75,9 КБ · Просмотры: 273

yarr

Red Team
05.10.2017
311
620
BIT
0
Очень перспективная штука. Я использовал инъекцию в другое приложение. Палева AV при инъекции 0% пока, думаю стоит развивать тему.
 
O

OneDollar

Уже активно на ютубе сливается, вот думаю что не долго протянет ..(
 
  • Нравится
Реакции: yarr

DSCH

Green Team
07.12.2016
27
1
BIT
0
Спасибо за тест на Dr.WEB , я на нем не тестировал, написал статью по факту тестирования на Авасп антивирусе, кто еще на каких то АВ протестирует - прошу оставить коммнтарий о результатах тестирования) Так сказать общими силами и общим опытом )))

Так же в силу свободного времени попытаюсь дописать функционал выбора картинки для скрипта , возможно не как у SpyNote с ресайзом картинки и т.д а банальную ico картинку можно будет вставить ( ну если речь идет про жену , то например что бы это было иконка от goole music или что то подобное)
[doublepost=1508148825,1507981875][/doublepost]Возможно кому то будет полезно:
Русифицировал данный фреймворк для нашего форума.
***Скрытый текст***
Посмотреть вложение 12105
[doublepost=1508152435][/doublepost]Добавлю функционал выбора иконки и опубликую пожалуй его в ресурсах, по ходу палева АВешками буду пытаться его модернизировать.
Привет.. Прошу тебя сними видос про твой консоль ? какие утилити использоваал на такой консоль .. просто прошу очень интересно .. с таким консолом приятон будет че то делать... ну пжж
 

<~DarkNode~>

~^M1st3r_Bert0ni^~
Platinum
19.10.2016
722
3 099
BIT
0
Ну там в начале скрипта инициализируеться десяток перемен с рандомными именами длиною в 10 ланинских символов, тоесть каждый новый запуск скрипта инициализируеться новые сигнатуры.
Если АВ начнет палить то уже по другим ключевым словам... Ну я допилю функционал и буду развивать тему.
[doublepost=1508226956,1508216291][/doublepost]
Привет.. Прошу тебя сними видос про твой консоль ? какие утилити использоваал на такой консоль .. просто прошу очень интересно .. с таким консолом приятон будет че то делать... ну пжж
Сниму) Сейчас у самого после обновления полетели зависимости, буду на днях ковыряться в конфигах.
 

DSCH

Green Team
07.12.2016
27
1
BIT
0
Ну там в начале скрипта инициализируеться десяток перемен с рандомными именами длиною в 10 ланинских символов, тоесть каждый новый запуск скрипта инициализируеться новые сигнатуры.
Если АВ начнет палить то уже по другим ключевым словам... Ну я допилю функционал и буду развивать тему.
[doublepost=1508226956,1508216291][/doublepost]
Сниму) Сейчас у самого после обновления полетели зависимости, буду на днях ковыряться в конфигах.
воо я буду ждать.... подписался на канал.. спс..
 

ghost

Grey Team
12.05.2016
1 636
3 286
BIT
0
Спасибо. Затестим.
Зачем на трубу? Может на vimeo лучше видео залить...
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!