Discussione Malware Nascondere backdoor in jpg

Ordina per data Ordina commenti per reazioni
A

Angelom1

Utente Bronze
16 Dicembre 2017
9
7
0
26
Ciao a tutti,
Premetto che mi sono appena cimentato in questo mondo guardando su internet mi ha incuriosito molto l’argomento delle backdoor, ne ho creata una con unicorn e testata su un pc connesso alla mia rete e funziona senza essere rilevato dall’antivirus. Adesso volevo sapere come posso primo nascondere la backdoor in una foto e volevo anche capire come farla funziona su un pc connesso ad un altra rete ho letto che devo fare un port forwarding qualcuno potrebbe spiegarmi come farlo?

Grazie in anticipo
 
Il comando per bindare la backdoor in un immagine è questo:

"cat immagine.jpg backdoor.exe > backdoor.jpg"

Il port forwarding è molto semplice basta recarsi all'indirizzo del router (di solito 192.168.1.1) se hai fastweb devi richiedere l'IP pubblico (probabilmente questo accade anche con altri ISP quindi se la backdoor non funziona richiedi un IP pubblico , l'indirizzo di fastweb sarà 192.168.1.254).
Da qui loggati con le credenziali fornite dal router, e cerca la voce port forwarding o port mapping, (l'interfaccia sarà diversa da router a router quindi non posso spiegarti al dettaglio tutti i passaggi ma è abbastanza intuitivo) aggiungi una porta, inserisci l'IP della macchina, scegli TCP/UDP/ENTRAMBI a seconda di ciò di cui hai bisogno e fine, ora dovrebbe funzionare anche su reti esterne.

Inviata da CLT-L09 tramite app ufficiale di Inforge.net
 
Loris Simonetti ha detto:
Il comando per bindare la backdoor in un immagine è questo:

"cat immagine.jpg backdoor.exe > backdoor.jpg"

Il port forwarding è molto semplice basta recarsi all'indirizzo del router (di solito 192.168.1.1) se hai fastweb devi richiedere l'IP pubblico (probabilmente questo accade anche con altri ISP quindi se la backdoor non funziona richiedi un IP pubblico , l'indirizzo di fastweb sarà 192.168.1.254).
Da qui loggati con le credenziali fornite dal router, e cerca la voce port forwarding o port mapping, (l'interfaccia sarà diversa da router a router quindi non posso spiegarti al dettaglio tutti i passaggi ma è abbastanza intuitivo) aggiungi una porta, inserisci l'IP della macchina, scegli TCP/UDP/ENTRAMBI a seconda di ciò di cui hai bisogno e fine, ora dovrebbe funzionare anche su reti esterne.

Inviata da CLT-L09 tramite app ufficiale di Inforge.net
Clicca per espandere...
L'IP pubblico chiunque lo ha, sennò come fa a navigare in rete? Penso che tu volessi dire "richiedi un IP STATICO", ma non serve per forza. Se non vuoi pagare per avere un IP statico, puoi tenerti il tuo IP Dinamico e utilizzare servizi di Dynamic-DNS come DDNS per poter abbinare il tuo IP al DNS crato. Nelle opzioni del router c'è una funzione che ti chiede di inserire il DNS dinamico, lo inserisci, metti le credenziali di accesso del prodotto DNS e quando crei la backdoor anziché usare l'IP usi il DNS e ottieni lo stesso risultato di un IP Statico
 
Bl4ckD0t ha detto:
L'IP pubblico chiunque lo ha, sennò come fa a navigare in rete? Penso che tu volessi dire "richiedi un IP STATICO", ma non serve per forza. Se non vuoi pagare per avere un IP statico, puoi tenerti il tuo IP Dinamico e utilizzare servizi di Dynamic-DNS come DDNS per poter abbinare il tuo IP al DNS crato. Nelle opzioni del router c'è una funzione che ti chiede di inserire il DNS dinamico, lo inserisci, metti le credenziali di accesso del prodotto DNS e quando crei la backdoor anziché usare l'IP usi il DNS e ottieni lo stesso risultato di un IP Statico
Clicca per espandere...
Avendo avuto fastweb è diverso, ho provato con noip ma non andava lo stesso, cmq si forse hai ragione è l'ip statico nu sono confuso

Inviata da CLT-L09 tramite app ufficiale di Inforge.net
 
Loris Simonetti ha detto:
Il comando per bindare la backdoor in un immagine è questo:

"cat immagine.jpg backdoor.exe > backdoor.jpg"
Clicca per espandere...

Quel comando crea solo un'immagine contenente l'eseguibile, ma il codice non viene mai eseguito in quanto viene aperto da un visualizzatore di immagini che interpreta ogni byte come un dato e non come un'istruzione. Il file binding vero lascia l'estensione del file intatta, permettendo al codice di essere interpretato come tale e quindi viene eseguito correttamente.
 
  • Mi piace
Reazioni: BlackPhoenixOfDeath
Baud ha detto:
Quel comando crea solo un'immagine contenente l'eseguibile, ma il codice non viene mai eseguito in quanto viene aperto da un visualizzatore di immagini che interpreta ogni byte come un dato e non come un'istruzione. Il file binding vero lascia l'estensione del file intatta, permettendo al codice di essere interpretato come tale e quindi viene eseguito correttamente.
Clicca per espandere...
Allora come non detto

Inviata da CLT-L09 tramite app ufficiale di Inforge.net
 
Baud ha detto:
Quel comando crea solo un'immagine contenente l'eseguibile, ma il codice non viene mai eseguito in quanto viene aperto da un visualizzatore di immagini che interpreta ogni byte come un dato e non come un'istruzione. Il file binding vero lascia l'estensione del file intatta, permettendo al codice di essere interpretato come tale e quindi viene eseguito correttamente.
Clicca per espandere...
Ha ragione Baud, l'estensione indica al computer come interpretare il file stesso, quindi non potrai mai mettere del codice eseguibile sull'immagine stessa in estensione. jpg od ecc.. Un metodo efficace che ho visto per eseguire un file nascosto aprendo semplicemente un'immagine è creando un archivio winrar contenente sia il file eseguibile malevolo e l'immagine desiderata, dare l'istruzione a winrar modificando opportunamente le impostazioni così che all'avvio dell'archivio (camuffato da un'icona dell'anteprima dell'immagine stessa) apra l'immagine come jpg e il file che si vuole eseguire in modo stealth, così non si sospetta nulla. L'utente finale vedrà semplicemente un'immagine che si apre. Poi sta a voi come modificare il tutto per far sì che il payload funzioni.
Vi lascio a scopo informativo il link di uno YouTuber inglese da cui ho scoperto la tecnica.


Ripeto, tutto ciò è a scopo informativo, fatelo solo su computer di vostra proprietà per sperimentare, ma non mi assumo nessuna responsabilità se qualche lamer faccia uso improprio di ciò, ma tanto non c'è bisogno di ricordavi le sanzioni a cui si incorrono con dei reati informatici.


Inviata tramite app ufficiale di Inforge.net
 
  • Mi piace
Reazioni: 0xbro
Mi intrometto per evitare di creare un altro post sperando in una vostra risposta, si potrebbe fare la stessa cosa ma con una backdoor per android quindi con un ".apk" ??
 
Mikous ha detto:
Mi intrometto per evitare di creare un altro post sperando in una vostra risposta, si potrebbe fare la stessa cosa ma con una backdoor per android quindi con un ".apk" ??
Clicca per espandere...
No. Il binding di file apk si fa unendo due app diverse in uno (app maligna + app benigna da usare come copertura), non si può fare con immagini o altri tipi di file.
 
chricatanese46 ha detto:
Ha ragione Baud, l'estensione indica al computer come interpretare il file stesso, quindi non potrai mai mettere del codice eseguibile sull'immagine stessa in estensione. jpg od ecc.. Un metodo efficace che ho visto per eseguire un file nascosto aprendo semplicemente un'immagine è creando un archivio winrar contenente sia il file eseguibile malevolo e l'immagine desiderata, dare l'istruzione a winrar modificando opportunamente le impostazioni così che all'avvio dell'archivio (camuffato da un'icona dell'anteprima dell'immagine stessa) apra l'immagine come jpg e il file che si vuole eseguire in modo stealth, così non si sospetta nulla. L'utente finale vedrà semplicemente un'immagine che si apre. Poi sta a voi come modificare il tutto per far sì che il payload funzioni.
Vi lascio a scopo informativo il link di uno YouTuber inglese da cui ho scoperto la tecnica.


Ripeto, tutto ciò è a scopo informativo, fatelo solo su computer di vostra proprietà per sperimentare, ma non mi assumo nessuna responsabilità se qualche lamer faccia uso improprio di ciò, ma tanto non c'è bisogno di ricordavi le sanzioni a cui si incorrono con dei reati informatici.


Inviata tramite app ufficiale di Inforge.net
Clicca per espandere...

Scusa una cosa... avrei delle domande da farti riguardo al binding tra jpg.exe

1. Se scansiono il file viene rilevato malevolo?
2. Con l'estensione visibile dei file in windows si legge jpg.exe ?
3. il peso della foto è maggiore con il binding?

aprendo il presunto file jpg in una virtualmachine isolata senza internet credo proprio che l'attaccante rimanga a bocca asciutta.
 
key003 ha detto:
Scusa una cosa... avrei delle domande da farti riguardo al binding tra jpg.exe

1. Se scansiono il file viene rilevato malevolo?
2. Con l'estensione visibile dei file in windows si legge jpg.exe ?
3. il peso della foto è maggiore con il binding?

aprendo il presunto file jpg in una virtualmachine isolata senza internet credo proprio che l'attaccante rimanga a bocca asciutta.
Clicca per espandere...
1) La maggior parte delle volte si, ma dipende da quanto è sofisticato il malware e da quanto è aggiornato l'antivirus. La maggior parte dei malware viene comunque rilevata.

2) Si, apparirebbe come immagine_credibilissima_aprimi_pls.jpg.exe e nessuno ci cascherebbe

3) È MOLTO maggiore, un'immagine da sola può pesare da pochi KB fino a una manciata di MB in casi di immagini ad alta risoluzione, i malware sono programmi complessi che occupano di solito molti KB, anche di più quando scritti in linguaggi come il C#, quindi per usare il binding in maniera intelligente (e già ricorrere al binding metterebbe comunque a dubbio l'intelligenza o perlomeno la competenza di chiunque) uno dovrebbe unire un'immagine ad alta risoluzione e un programma molto snello come un dropper, che scaricherebbe poi indisturbato il malware vero, quello bello pesante. Questo è il modo più stealth per usare il binding, se l'eseguibile è FUD.

4) Se il programma non sa funzionare senza internet allora si, ma non tutti i malware necessitano di una connessione per operare.
 
  • Mi piace
Reazioni: sergio007sergio e key003
Baud ha detto:
1) La maggior parte delle volte si, ma dipende da quanto è sofisticato il malware e da quanto è aggiornato l'antivirus. La maggior parte dei malware viene comunque rilevata.

2) Si, apparirebbe come immagine_credibilissima_aprimi_pls.jpg.exe e nessuno ci cascherebbe

3) È MOLTO maggiore, un'immagine da sola può pesare da pochi KB fino a una manciata di MB in casi di immagini ad alta risoluzione, i malware sono programmi complessi che occupano di solito molti KB, anche di più quando scritti in linguaggi come il C#, quindi per usare il binding in maniera intelligente (e già ricorrere al binding metterebbe comunque a dubbio l'intelligenza o perlomeno la competenza di chiunque) uno dovrebbe unire un'immagine ad alta risoluzione e un programma molto snello come un dropper, che scaricherebbe poi indisturbato il malware vero, quello bello pesante. Questo è il modo più stealth per usare il binding, se l'eseguibile è FUD.

4) Se il programma non sa funzionare senza internet allora si, ma non tutti i malware necessitano di una connessione per operare.
Clicca per espandere...
Grazie, ora ho capito meglio.
 
Bl4ckD0t ha detto:
L'IP pubblico chiunque lo ha, sennò come fa a navigare in rete? Penso che tu volessi dire "richiedi un IP STATICO", ma non serve per forza. Se non vuoi pagare per avere un IP statico, puoi tenerti il tuo IP Dinamico e utilizzare servizi di Dynamic-DNS come DDNS per poter abbinare il tuo IP al DNS crato. Nelle opzioni del router c'è una funzione che ti chiede di inserire il DNS dinamico, lo inserisci, metti le credenziali di accesso del prodotto DNS e quando crei la backdoor anziché usare l'IP usi il DNS e ottieni lo stesso risultato di un IP Statico
Clicca per espandere...

Scusate ragazzi... Una domanda.
Non ho mai capito perchè tutte le persone creano backdoor facendo il port forwarding dal proprio router o usando dei Dynamic DNS...
Se la vittima di questo ipotetico attacco fa denuncia e si risale al vostro ip pubblico i giochi sono finiti...
Magari sbaglio io qualcosa ma mi sembra così stupido :boh:
 
FedericoFantiniDev ha detto:
Scusate ragazzi... Una domanda.
Non ho mai capito perchè tutte le persone creano backdoor facendo il port forwarding dal proprio router o usando dei Dynamic DNS...
Se la vittima di questo ipotetico attacco fa denuncia e si risale al vostro ip pubblico i giochi sono finiti...
Magari sbaglio io qualcosa ma mi sembra così stupido :boh:
Clicca per espandere...
Togliendo il fatto che fare una denuncia simile non è così semplice dal punto di vista giuridico, sono necessarie indagini vere e proprie, quindi l'intervento di un informatico forense in primis che raccolga le prove, poi devi sperare che l'ISP fornisca alla polizia i dati relativi alle connessioni considerate come prove che potrebbero ricondurre alla tua posizione di quel tempo. Comunque... non per nulla chi vuole fare queste cose e ha un cervello usa identità false e reti pubbliche con VPN e altre misure di sicurezza, e non il proprio computer di casa, a volte persino computer usa e getta o macchine precedentemente compromesse. I DNS dinamici vengono preferiti per comodità, non di certo per la sicurezza.
 
  • Mi piace
Reazioni: Utente cancellato 25902254
Baud ha detto:
Togliendo il fatto che fare una denuncia simile non è così semplice dal punto di vista giuridico, sono necessarie indagini vere e proprie, quindi l'intervento di un informatico forense in primis che raccolga le prove, poi devi sperare che l'ISP fornisca alla polizia i dati relativi alle connessioni considerate come prove che potrebbero ricondurre alla tua posizione di quel tempo. Comunque... non per nulla chi vuole fare queste cose e ha un cervello usa identità false e reti pubbliche con VPN e altre misure di sicurezza, e non il proprio computer di casa, a volte persino computer usa e getta o macchine precedentemente compromesse. I DNS dinamici vengono preferiti per comodità, non di certo per la sicurezza.
Clicca per espandere...

Non me ne intedo di diritto ma in ogni caso è un rischio troppo alto per arrivare a pensare "va beh siamo in Italia, c'è troppa burocrazia prima che mi facciano qualcosa".
Comunque mi era già chiaro il concetto del port forwarding, della sicurezza e tutto il resto, ma non mi sono mai spiegato perchè un sacco di persone mettano il proprio router o DDNS... (l'esempio classico sono tutti quei video dove impostano l'ip con metasploit e compagnia bella).

Grazie per avermi chiarito questo dubbio!
:ole:
 
FedericoFantiniDev ha detto:
non mi sono mai spiegato perchè un sacco di persone mettano il proprio router o DDNS... (l'esempio classico sono tutti quei video dove impostano l'ip con metasploit e compagnia bella).
Clicca per espandere...
Posso pensare a due motivi:

1) Il tutto è a puro scopo illustrativo o educativo, e gli attacchi vengono lanciati verso macchine di cui si è proprietari o dove è stato almeno garantito permesso per effettuare test di sicurezza
2) L'utente in questione non ha la minima idea di quello che sta facendo

Purtroppo fin troppo spesso il punto numero due è quello a prevalere.
 
  • Mi piace
Reazioni: Utente cancellato 25902254
FedericoFantiniDev ha detto:
Scusate ragazzi... Una domanda.
Non ho mai capito perchè tutte le persone creano backdoor facendo il port forwarding dal proprio router o usando dei Dynamic DNS...
Se la vittima di questo ipotetico attacco fa denuncia e si risale al vostro ip pubblico i giochi sono finiti...
Magari sbaglio io qualcosa ma mi sembra così stupido :boh:
Clicca per espandere...
Vpn no logs e il problema non sussiste.
Niente logs, nessuna prova di quello che hai fatto.
E in caso che vedono l'ip della backdoor come hanno già scritto sopra, serve che il pc venga dato alla polizia per analizzarlo, quando viene fatta richiesta alla vpn di avere chi si è connesso al determinato ip, loro si rifiutano.
Poi, prova a pensare che le vpn ora usano ip condivisi, quindi in quello stesso ip si sono connessi 15, 20 utenti da tutto il mondo, diventa praticamente impossibile risalire.
 
  • Mi piace
Reazioni: Utente cancellato 25902254
key003 ha detto:
Vpn no logs e il problema non sussiste.
Niente logs, nessuna prova di quello che hai fatto.
E in caso che vedono l'ip della backdoor come hanno già scritto sopra, serve che il pc venga dato alla polizia per analizzarlo, quando viene fatta richiesta alla vpn di avere chi si è connesso al determinato ip, loro si rifiutano.
Poi, prova a pensare che le vpn ora usano ip condivisi, quindi in quello stesso ip si sono connessi 15, 20 utenti da tutto il mondo, diventa praticamente impossibile risalire.
Clicca per espandere...
è possibile aprire le porte con una vpn, non toccando il router
 
Baud ha detto:
Posso pensare a due motivi:

1) Il tutto è a puro scopo illustrativo o educativo, e gli attacchi vengono lanciati verso macchine di cui si è proprietari o dove è stato almeno garantito permesso per effettuare test di sicurezza
2) L'utente in questione non ha la minima idea di quello che sta facendo

Purtroppo fin troppo spesso il punto numero due è quello a prevalere.
Clicca per espandere...
Ora mi è chiaro, e non sono io che magari mi ero perso un pezzo.
Ti ringrazio.
Messaggio unito automaticamente:

key003 ha detto:
Vpn no logs e il problema non sussiste.
Niente logs, nessuna prova di quello che hai fatto.
E in caso che vedono l'ip della backdoor come hanno già scritto sopra, serve che il pc venga dato alla polizia per analizzarlo, quando viene fatta richiesta alla vpn di avere chi si è connesso al determinato ip, loro si rifiutano.
Poi, prova a pensare che le vpn ora usano ip condivisi, quindi in quello stesso ip si sono connessi 15, 20 utenti da tutto il mondo, diventa praticamente impossibile risalire.
Clicca per espandere...

Ho capito quello che vuoi dire, potresti fare qualche esempio?
Ne ho provate diverse di vpn ma tutte le politiche no logs non mi danno mai una tranquillità completa.
Credo ci sia sempre qualcuno che debba guadagnarci, no?
 
FedericoFantiniDev ha detto:
Ora mi è chiaro, e non sono io che magari mi ero perso un pezzo.
Ti ringrazio.
Messaggio unito automaticamente:



Ho capito quello che vuoi dire, potresti fare qualche esempio?
Ne ho provate diverse di vpn ma tutte le politiche no logs non mi danno mai una tranquillità completa.
Credo ci sia sempre qualcuno che debba guadagnarci, no?
Clicca per espandere...
usa nordvpn ma devi usare anche un altra tipo airvpn o torguard o pia , nordvpn è senza log le altre hanno il portforwarding
 
Baud ha detto:
No. Il binding di file apk si fa unendo due app diverse in uno (app maligna + app benigna da usare come copertura), non si può fare con immagini o altri tipi di file.
Clicca per espandere...
No, è possibile ingannare Android a prendere per valido il file APK + immagine, aggiungendo un secondo EOCD [End Of Central Directory].

Qua un esempio di concept code

https://github.com/cryptax/angeapk
 
AUT0PSY ha detto:
No, è possibile ingannare Android a prendere per valido il file APK + immagine, aggiungendo un secondo EOCD [End Of Central Directory].

Qua un esempio di concept code

https://github.com/cryptax/angeapk
Clicca per espandere...
Quoto dalla presentazione stessa:

The PoC has been sent to the Android Security Team on May 27, 2014, accepted and will be fixed in future releases.
Clicca per espandere...

A meno che tu trovi un telefono Android che abbia quasi 5 anni e che non è mai stato aggiornato da allora quella vulnerabilità non funzionerà.
 

DISCUSSIONI SIMILI

T
Discussione Legge Chat control 2.0, la nostra privacy è a rischio?
  • 1
  • 422
1
422
Privacy Online e Anonimato
0xbro
0
Guida I migliori libri per studiare l'Ethical Hacking e Penetration Testing nel 2024
  • Release
  • In evidenza
  • 29
  • 8K
29
8K
Pentesting e Ethical Hacking Guide e Tools
0xbro
D
Guida Tutte le tipologie di connessione e le differenze: Adsl, Vdsl, Fibra FTTC o FTTH?
  • 6
  • 891
6
891
Manuali di Informatica e Reti
DjCanigia
0
Discussione Ufficiale I migliori siti dove praticare Ethical Hacking nel 2024
  • Release
  • In evidenza
  • 10
  • 6K
10
6K
Pentesting e Ethical Hacking
MRPants
T
Guida Reti Cos'è un attacco DNS cache poisoning o DNS spoofing
  • In evidenza
  • 3
  • 2K
3
2K
Manuali di Hacking e IT-Security
TheWorm91
Top Bottom
Indietro