Discussione Malware FUD backdoor msfvenom

wesker1998

Utente Electrum
17 Gennaio 2022
138
44
86
124
Ultima modifica da un moderatore:
ho startato un progetto su GitHub per creare backdoor .exe (windows) irrilevabili dagli AV generate da msfvenom, e il tool sembra funzionare
L'app è molto semplice e in realtà da sola non basta, perché si limita a generare una firma digitale nuova (falsa) per la backdoor. Solo fare questo ha ridotto un bel po' la possibilità di rilevamento, ma gli av non si basano solo sulle firme digitali, quindi per renderla ancora più irrintracciabile ho prima codificato con shikata ga nai e poi criptato in aes256, il risultato è stato soddisfacente :)

la mia repository è questa https://github.com/martdev123/RapidFUD e ho nominato il tool "rapidFUD" in quanto si tratta di un semplice executable (.elf) compatibile solo con kali linux (x64) , in x86 ho provato a farlo ma ci sono problemi...

non testate i sample su virustotal delle backdoor generate, altrimenti poi non sono più fud
se volete mettervi una sera ad aiutarmi a testarlo su altre distro linux ne sarei contento. il progetto è puramente a scopo informativo ed educativo, non si intende promuovere alcuna attività illecita.

per altre informazioni su come creare backdoor fud vi rimando a thefatrat, una suite di pre e post-exploitation in grado di generare artefatti ancora oggi dalle capacità di evasione abbastanza soddisfacenti (anche se i codici delle backdoor sono statici e ormai ben conosciuti dagli av) ma con un po' di skill in C language possono essere rinnovate

un feedback sarebbe gradito!
 
  • Mi piace
Reazioni: Anon0984

JunkCoder

Moderatore
5 Giugno 2020
1,024
19
860
428
Ho dato un'occhiata al repo, al momento c'è solo un readme ma prendendo i file dalla history ho potuto provare il py e gli elf. I binari negli zip sono stati flaggati da Defender senza cloud in modo statico. Non ho trovato la versione .exe per Windows, la ottieni dal python? Su quali AV hai provato? Con firma digitale falsa cosa intendi esattamente? Per quanto ne so gli antivirus si arrabbiano molto quando vedono una firma non valida su un eseguibile, peggio di non averne affatto. Scusa la fila di domande, solo curiosità.
 
  • Mi piace
Reazioni: Helplease e 0xbro

wesker1998

Utente Electrum
17 Gennaio 2022
138
44
86
124
I file usano path già noti dagli AV perché sono sinceramente geloso di dare una ventata d'aria nuova, sapendo che la gente carica su VirusTotal come niente fosse. Il tool non è inteso per funzionare da solo, lo script binda effettivamente un certificato falso ma valido all'artefatto e rimuove la firma originale di Metasploit. Al momento è inteso per funzionare in combo con msfvenom; e infatti ci sto lavorando per cercare di automatizzare il processo, senza dover fare tutto manualmente. Richiederà la creazione di più script.
 
  • Mi piace
Reazioni: Anon0984