Jump to content
¯\_( ツ)_/¯
  • TAD GROUP are currently hiring penetration testers. Please read the topic in Career Central subforum.
  • Sponsored Ad
ТУК НЕ СЕ ПРЕДЛАГАТ ХАКЕРСКИ УСЛУГИ ! ×
Sign in to follow this  
Kite

Undetectable backdoor за Windows 10

Recommended Posts

Здравейте,

 

радвам се да видя български форум за кибер сигурност. Начинаещ съм и карам курс в Udemy, но честно казано не съм изобщо доволен. Има лекция, заснета през 2016 година, за създаване на undetectable backdoor за Windows 10 и както може да предположите вече се разпознава от едно 80% от антивирусния софтуер. Използван е Veil Framework, който има известни актуализации от тогава, но явно вече не работи. Пробвах почти всички payload-и, но не можах да намеря някой, който да не се разпознава от Windows Defender. Опитвах и с EmpireProject, ама и там положението беше подобно, пък и вече няма поддръжка. Въпросът ми е има ли някакъв инструмент, който мога да използвам, и работи? Гледах нататък лекциите и видях, че може да се 'маскира' да изглежда като нормален документ, музика или какъвто да е файл, а да се изпълни в background-а. Не знам дали вече това е възможно, но се надявам да е, за да мога да пробвам! 😊 

Благодаря предварително!

Share this post


Link to post
Share on other sites
Преди 1 час, Pazuzu написа:

Пробвай нещо от сорта на:

https://github.com/BishopFox/sliver

https://github.com/cobbr/Covenant

Не са 100% "undetectable", но sliver имплантите  Windows Defender не ги разпознава (за сега).

Благодаря ти! Ще ги пробвам.

Edited by Kite

Share this post


Link to post
Share on other sites

Току-що опитах да направя payload със Sliver и ето го резултата:

DetectedByWindowsDefender.PNG.6cc0b7488d699f85bbe5fec6f526432f.PNG

generate --os windows --arch 64bit --http example.com

Edited by Kite

Share this post


Link to post
Share on other sites

Здравейте,

Ако наистина искате да направите нещо сериозно е добре преди това да се запознаете със стеганографията и как тя функционира.

Това, което познавате като Windows 10, няма нищо общо с професионалните версии, а още по-малко с това, което се тества в момента.

Дори да направите едно сравнително добро решение, то ще има кратък живот. Това се нарича "процедура на обезсмисляне на атаката".

Идеята е следната:

Вие желаете да имплементирате зловреден софтуер. За да направите това е нужно да използвате времеви ресур, а също така ще имате и редица амортизационни и експлотационни разходи.

Ако динамиката на една система е такава, че изисква ревърс инженерингът да се извършва през много кратки периоди от време, това ще струва по-скъпо от самата система. Яко, а? :)

Съвсем друг въпрос е как системата разпознава дали един код е вирус или не е?

Ако бяхте регистриран MIcrosoft разработчик и се бяхте запознали с документацията, кото се предосртавя напълно безплатно (повече от двадесет години Windows е с напълно отворен код, за разлика от Linux, който грижливо крие ядрото си), нямаше как да не знаете, че реално проверката се извършва въз основа на анализ на символни низове. 

Има и още нещо ... 

Всички съвременни вируси, които познавате са автоматично генерирани.

Софтуерното решение за това бе разработено много отдавна от един колега, който е арменец, но успешно се прилага и до днес (за справка дори Duqu - https://en.wikipedia.org/wiki/Duqu ) бе направен по този начин, независимо от глупостите, които после бяха изписани. Блаженнио са невежите защото тях им се въздава с фурнаджийската лопата.

Тази "машина за вируси" все още е достъпна в мрежата и с нейна помощ буквално се правят чудеса (не в Dark Net, a в светлата и изпълнена с ровозодупести херовимчета мрежа).

Проблемът при нея (а и при всички вируси) е че те се правят от хора, а това предполага субективизъм (колко научно звучи само, а). :)

Всеки прави нещата според собствените си познания и опит.

Хубавото обаче е, че познанията и опита масово се свеждат до програмни езици, базирани на c логика и синтаксис, с всички произтичащи от това последствия (дано дълго да остане така, че конкуренцията е страшно нещо, а монопоът си е жива благодат). :)

Още по-голяма грешкка е, когато някой реши, че ако направи нещо на assembler то ще е с пъти по-ефективно и незабележимо. Много млади програмисти са свършили професионалния си път, благодарение на тази велика заблуда.

Когато някой иска да разбере "как да се промъкне по терлици в някоя ОС", е добре първо да се заеме със стеганографията или "прикриването на една информация в друга".

Тук имаме различни подходи. 

Информацията обикновенно се крие в контейнер. Според един колега "контейнерите" биват 20, 40 и 50 футови, но той се занимава с логистика и не пие ракия.

Има обаче и друго мнение, към което ние ще се придържаме. :)

Контейнерите могат да бъдат аудио или видеофайлове, текстови файлове (текстова стеганография, която ми е любима, най-вече при т.н. "системи с отворен код", които никой не проверява), използване на цифрови изображения (не само в meta данните, а направо в пикселите на BMP, PNG, GIF и каквото там се сетиш ), пакетна стеганография (инжектиране на зловреден код в TCP/IP пакетите) и пр. и пр..

Хубаво, обаче тези, които противодействат на подобни "решения", не са глупаци и определено се радват на астрономически бюджети (само в САЩ има над три института, всеки един с бюджет, колкото този на България). А ние сме бедни и както се знае хлябът срува скъпо.

Та колегите там знаят какво е анализ по празен контейнер, анализ на деформиран контейнер, сравнителен анализ и пр. и пр. и пр.. И една много интересна матиматика знаят гадовете, дето не се учи в университетите. И други неща знаят, то и за това им плащат заплати.

Но ... 

Всеки един себеуважаващ се аналитик (така наричам хакерите) ползва собствена електронна поща, която когато получи цифрово изображение (примерно) не го отваря директно (както правят пощите на лузърите), а предвидливо го мащабира, ротира и пр, про запазване на качеството та да може де що е гадост вътре да бъде изцедена до капка. Това аналитиците са го възприели от онези в институтите. Това го нарича "да ручнеш контейнера". Тези гадове нямат вярва на дефендери, защити и антивирусни, което обаче не им пречи да ги ползват.

Ние винаги трябва да се учим от онези, които знаят и могат пповече от нас самите. 

Ако проявяваш интерес по темата не е зле да се заемеш със задълбочено изучаване на Exchangeable Image File Format (EXIF) и какви прекраснио възможности предоставя това изчадие адово (родено от алчността на маркетолозите) на всеки, който иска да остане незабелязан.

Благодарение на EXIF чудеса ще постигнеш по пътя, който си поел, но ... това е само началото. :D

Все пак първо не е зле да се опоотърсиш от редица заблуди, като тази че JPEG е формат на графично изображение, а не начин за компресиране на графична информация, предоставящ ни огромни възможности да се надсмиваме на човешкото невежество. 

След като преминеш през това начално обучение е време да изучиш що е това аудио и как се ползва целесъобразно за пренос не само на звук. Там ще добиеш сили и самочувствие, но ...

Най-важно е да се научиш как да имплементираш код в текстови файлове. Това вече е от сферата на черната магия. :D

При имплементирането на текст в текст никога не бива да забравяш за размера на файла.

Когато достигнеш до висините, да направиш проверка като набереш съобщението с обикновен текстови редактор и файла ти е със същата дължина като "обработения" може да ни се обадиш за да те приемем в групата на тези, които пият ракия и не се бръснат редовно. :D

Там ще да те научим що е това пакетна обработка и колко е хубаво да се познават основите на информатиката и числените методи. И тогава ...

Няма да има ОС, която да ти се опре.

Нека силата бъде с теб.

Дерзай и не забравяй, че никога не бива да правиш глупости, защото НПК е нещо сериозно и към него трябва да изпитваме боязън и преклонение. :D

 

 

  • Like 1

Share this post


Link to post
Share on other sites

и да и не, стеганография няма свърши работа при зловреден код и антивирусни програми в 2019г. Каквото и да обфускираш в крайна сметка ще трябва да го заредиш в паметта и ще започне да вика някоя стандартна функция. При windows от ws2_32.dll , например WSAStartUp, WSASocketA, CreateProcessW,  а в случая на линукс - socket, accept, accept4, fopen. При модерните АВ продукти освен signature based, съществуват hooks които заместват споменатите стандартни фунцкии за да се проверява за abuse, и най-накрая някои анти-вирусни програми имат и така наречените heuristics, някакви специални техни си логики.  И за жалост вече всичко се прави и в runtime на кода. За WinDef не знам, но румънците от BitDefender го правят.  

Анти вирусни програми са си доброномерени root-китове. Те се стартират при boot (SERVICE_BOOT_START) на PCто като проверяват всички драйвъри които се зареждат, за да няма persistent rootkits. И следователно се изпълняват с достатъчно високи привилегии за да не могат да изключват толкова лесно, и за могат да изпълняват гореспоментатите задачи. 

Та стеганография наистина ще ти помогне при static analysis където се анализира само ControlFlowGraph (CFG), exports, imports, и signatures, но в 2019г. AV вендорите, както и Майкрософт, са поумнели бая от точно такива случаи като Дуку.  Може и да същестуват някакви частни случай за които аз да не съм информиран, така че ако има такива простете невежеството ми ;)

Стеганографията е готина за covert channel за комуникация, но може да се замести лесно с едно добро криптиране. Все още никои не може да чупи силно крипто. Най модерното в момента е DNS over HTTPs, естествено може да бъде засечено но не и декриптирано. 

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use. We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.