Конкурс Злая GIF-ка или веселое заражение "клиентуры"

Всем привет, решил описать как мне кажется веселый метод заражения наших с вами "любимых клиентов" Все будет как Мы любим, весело, легко и без палевно)
Тема была предназначена для Грей-секции но она по каким то причинам упорно не хотела туда ложится по этому и было принято решение выложить сюда, хотя бы на конкурс и статья для него не последняя! Надеюсь..

Поехали!)

Идем искать картинку (живую) то есть gif-ку .. была выбрана ) далее нам по требуется код:

генерируем powershell в Empire или Metasploit я выбрал ..

Screenshot_9.png



>>><<<

и вставляем в 37 строчку, между)

Screenshot_1.png


далее переходим на очень полезный онлайн иногда кстати выручает для различного рода задач, например кодировке IP адреса в бинарник для последущего его скрытия, не множечко отступлю от темы покажу: например скрываем 127.0.0.1

127 = 1111111, 0 = 0 и 1 = 1 преобразовываем точки и получаем 01111111000000000000000000000001 = 2130706433 ИТОГ http: // 2130706433

так вот переводим нашу GIF-ку в формат base64, копируем полученную кодировочку и вставляем в

Screenshot_10.png



Screenshot_2.png


как видите в 17 строку)

Осталось последнее действие конвертировать, а точнее обфусцировать, то есть спрятать вредный код от антивирусов в этой замечательной

Screenshot_3.png


сохраняем полученный код в блокноте, под любым именем но в формате .hta < -- что это за формат, у нас написано здесь Пингвиныч, привет!)) "Решил я продолжит твою темку)"

Заключение: При запуске у жертвы появится Ваша злая GIF-ka c котикам или c ..уем), а к Вам прилетит заветная сессия) при желании можно иконку навесить (не знаю как, если кто знает, подскажите) и


ДЕТЕКТА НЕТ!!!

просьба) не тестить!


Без имени-1.jpg
 
Последнее редактирование:
O

OneDollar

Зашёл, увидел, оценил, пошел тестить.. Типичная последовательность действий при заходе на кодеби)) Ондрик, это то что я хотел найти прям, от души!) Как всегда в общем))
 
  • Нравится
Реакции: explorer_traveler

ghostphisher

местный
07.12.2016
2 602
3 413
BIT
0
слушай подскажи а для метасплойта чем лучше генерить
Я тут отметил такую ситуацию - обработка скрипта SEP - вот в чем вся соль. На win - где он должен работать норм все как бы прошло хорошо, но не срабатывает. На Linux - идет итог. Не 100%, а как писал выше.

---- Добавлено позже ----

да - и еще. Это конечно глупо, но когда мы создаем лист в Империи, стоит не забывать сделать 3 вещи
set Port 8888
set BindIp айпилиста
set Host ip:8888

некоторые ограничиваются только первыми двумя и потом ищут проблему =)

Обратить внимание на вставку строчки с павершелом в SEP, ваша строчка должна быть полной ( проверяйте копию ) и заканчиваться коментарием --> ; <-- - а не камент на отдельной строчке. Обращать внимание на ошибки при конвертации.
 
Последнее редактирование:

arees

Green Team
08.10.2017
37
28
BIT
0
только в империи тестил ? каким стэйжером пользовался? у меня на 7 винде.. хоть убей сессия не прилетает.. тестил чисто полезную нагрузку..всё работает..может есть какие то ньюансы. Я делал и для метасплойта и для империи

все прилетает и на семерке и на десятки элита троит)))
 
  • Нравится
Реакции: Tihon49 и Ondrik8

kot-gor

Well-known member
07.09.2016
529
705
BIT
0
всем добрый вечер. хочу добавить от себя по данной технике..Спасибо Одрик , реально прикольный метод ..при тестировании столкнулся с тем ,что срабатывает он не на всех машинах с 7 максимальной виндой, тестировался на 4 машинах,на двух отработал , на двух нет.(не знаю с чем это связано)в виндовс 10 отработал нормально.
 
  • Нравится
Реакции: Anubis_ и ghostphisher
O

OneDollar

Это что-то из области фантастики, бро!)
 

ghostphisher

местный
07.12.2016
2 602
3 413
BIT
0
,что срабатывает он не на всех машинах с 7 максимальной виндой, тестировался на 4 машинах,на двух отработал , на двух нет.(не знаю с чем это связано)

На моем опыте с 7 версией:

1) Не работает на скаченном образе для ВМ с оф сайта для разработчиков от MS (образ IE8)
2) Не работает на пустой ( SP1 )
3) Прекрасно работает на всяких Интерпрайзах и Фул эдишинах

Подобный случай и с простым HTA, а вот на версии для ВМ IE11 работала
 

ghostphisher

местный
07.12.2016
2 602
3 413
BIT
0
Вообщем скрипт энкодер прекрасно работает на Виндах - 1 минута и все готово. Как писал уже ранее, запуская его в Linux под wine он зависал при попытке всавить в него строчку с base64 картинкой. Тогда я грещил на косяк Линукс и систему. Сегодня закончилась триалка скрипта, создавать новую виртуалку с виндой ради этого мне на захотелось, тем более система под рукой новая с свежим Пэррот и довольно приличными объмами по железу. Ок, ставим скрипт энкодер, конвер картинки и при попытке вставить...система виснет, проц загружен на полную, растет температура, затем нет отклика от программы. Мне стало интересно, и я решил просто скопировать этот base64 от картинки в пустой файл ( тоже в Линукс ) и опять зависло все, значит дело не скрипт энкодер.

Если исползовать другие сервисы по конвертации base64 ( не тот, что указан в топике ) в 90% получаем завис браузера и серьезную нагрузку на систему. К примеру сервис. Если все делать в виндах ( как основная или на виртуалке все норм )

После закрытия приложения которое использовало кодировку система не успокаивается, идет нагрузка на проц.

Если в виндах создать простой файл куда разместить кодировку base64 картинки, при отркытие оного Линукс напрягается и виснет, снимаем приложение - все ок. Размер гифки 5 мб.
Взял шаблон, в виндах в него закинул base64 код, код империи, сохаринл, перекинул на систему с живыд parrot - открываем Скрипт Энкодером и тачка виснет


Ответа на эту проблему не нашел. Пэррот крутит на виртуалке Виртуал Бокс.Если есть у кого возможность проверить - пишите. Очень похоже на баг. Если система стоит как основная - все ок
 

Вложения

  • 88888888.png
    88888888.png
    5,3 КБ · Просмотры: 163
Последнее редактирование:

Ondrik8

prodigy
Green Team
08.11.2016
1 129
3 188
BIT
0
не знаю как у Вас, НО на WIndows отрабатывает на ура много кто писал благодарности в личку и т.д. пруфы не предоставлю НО это факт)! и используйте с виндой там где установл. NET.Frameworke а он кстати стоит уже почти у всех судя по стате и еще маленький намек заметил почти у каждого юзера уже стоит среда Python)))
 

ghostphisher

местный
07.12.2016
2 602
3 413
BIT
0
не знаю как у Вас, НО на WIndows отрабатывает на ура много кто писал благодарности в личку и т.д. пруфы не предоставлю НО это факт)!


Все отличное работает! Я не с претензией =) Замечен факт при работе с копипастой картинки в Base64 в среде Линукс на виртульной машине лаги. Интересно как у других. Сама тема качает, рекомендую всем :)

PS Энкодер ставлю на Win и с него работаю, когда триал заканчиваться, ставлю новую виртуалку и туда энкодер. Все норм с реализацией.
 
M

maureen

все протестил, все работает! но ведь hta файлы по почте не летают !
 
M

maureen

неужели так трудно найти этому применение ?)
так вот я про это и говорю, вариантов спрятать нагрузку хоть в картинку хоть в pdf , rtf ..... но какой в этом смысл если нет возможности качественно доставить эту нагрузку , ! не в обиду всем .. но многие сдесь продвинутые ребята и видно что есть что то в голове , так может стоит подумать о том какие сейчас есть варианты доставки ( мыло , уязвимости , андроиды .... )
 

ghostphisher

местный
07.12.2016
2 602
3 413
BIT
0
так может стоит подумать о том какие сейчас есть варианты доставки ( мыло , уязвимости , андроиды .... )

все ПУБЛИЧНО доступные вaрианты обсуждаются на данном форуме. Варианты, которые попадают под свежие на публику не понесут иначе теряется актуальность :)
 
Последнее редактирование:
  • Нравится
Реакции: dominikanec

Tihon49

Green Team
06.01.2018
193
120
BIT
0
Вот на этом этапе не понятно:
Шаг 3: скрываем вредоносный файл от антивирусов

в программе Script Encoder Plus в часть "before" что вставлять-то??? Тестовик со скриптом?
Почему спрашиваю, просто в скрипте один текст а на скрине в "before" совсем другой код...
 
K

kamaz

Вот на этом этапе не понятно:
Шаг 3: скрываем вредоносный файл от антивирусов

в программе Script Encoder Plus в часть "before" что вставлять-то??? Тестовик со скриптом?
Почему спрашиваю, просто в скрипте один текст а на скрине в "before" совсем другой код...
эту часть из программы скопировать и вставить не тхт а код!
 

mCstl

Green Team
08.08.2017
83
71
BIT
0
кто следит за моими изречениями, а именно по поводу загрузки шелла на сайт)

Посмотреть вложение 16877

кому надо тот поймет))
не понимаю, добавляется графа DocumentName или вставляется в существующую, у меня такой нету в jpg, только FileName похожа. Но команда ни так ни так не выполняется выдает "Нет такого файла или каталога". Просто название файла командой
Код:
 exiftool -FileName=imeg.jpg" imegy1.jpg
меняется нормально. Можешь помочь?
 

mCstl

Green Team
08.08.2017
83
71
BIT
0
не понимаю, добавляется графа DocumentName или вставляется в существующую, у меня такой нету в jpg, только FileName похожа. Но команда ни так ни так не выполняется выдает "Нет такого файла или каталога". Просто название файла командой
Код:
 exiftool -FileName=imeg.jpg" imegy1.jpg
меняется нормально. Можешь помочь?

попробовал команду на выведение информации php info файл меняется. -__-
есть какие ни будь ограничения по размеру?
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!