Discussione [Notizia speciale] - Prossimamente: Password Grabber + 2FA bypass Beta - Cracking Utility - Wesker1998 ft MoonD4rk

wesker1998

Utente Silver
17 Gennaio 2022
104
32
64
92
Fra qualche settimana completerò il progetto su HackBrowserData, un'utility per recuperare le password salvate nei browser di qualsiasi OS. L'utility è in grado di recuperare, decriptare e mostrare in plain text ogni password salvata in un qualsiasi browser che va da Mozilla Firefox a Internet Explorer (addirittura). Il progetto originale è scritto da un githubber chiamato MoonD4rk, interamente in Golang, e compilato cross-platform (Referenza: https://github.com/moonD4rk/HackBrowserData) . Funziona su ogni OS, eccetto iOS e Android. Passiamo al sodo, cosa sto facendo esattamente? Ecco le features della mia personale versione di HackBrowserData:

1. Il progetto originale in Golang sarà riscritto in Python e compilato con Python 3.9.8 a 64 bit (per l'executable a 64 bit). Verrà usato invece Python 2.7.15 (32 bit) per la compilazione della variante a 32 bit (garantisce l'abilità di funzionare sui vecchi OS con i vecchi processori);

2. VirusTotal shield e MotW bypass: l'utility è compressa in un archivio SFX con auto-run criptato con AES256 e una password che verrà fornita separatamente. Questo previene il verificarsi di situazioni scomode, come ad esempio l'applicazione del MotW. La crittografia inoltre, impedirà a qualsiasi antivirus di fare deep scan dei contenuti dell'archivio.

3. Smart Execution: Non è possibile estrarre il contenuto del SFX prima dell'esecuzione. Non appena si inserisce la password, l'archivio chiederà di droppare un agent chiamato "data.exe" in una directory a scelta dell'utente. Quest'app, appena droppata, entrerà in esecuzione automaticamente, spawnando 2 sub-process. Il primo processo è la versione a 32 bit del programma, il secondo processo è quella a 64 bit. Data.exe è impostato automaticamente per eseguire la versione adatta del programma in base all'arch dell'OS. In caso l'OS sia a 32 bit, non verrà mostrato nessun messaggio di errore infatti.

4. Profit: Il pogramma si interfaccia con Windows CMD, e mostra esattamente, passo dopo passo, quello che fa. Verrà creata una sub-folder chiamata "results", all'interno della quale saranno salvati tutte le password reperite dal programma;

5. [Beta] 2FA Bypass: questa feature non è inclusa nel progetto originale in Golang, e occorre ancora del tempo, molto tempo, per capire come implementarla, ma attualmente è ancora in versione Beta. Per testare questa feature, si deve navigare in un profilo realmente protetto da un fattore a doppia autenticazione a 6 cifre, e richiedere un codice. Lanciando data.exe, sarà effettuata semplicemente una query (attraverso una random high-port libera, perché su porta 443 la query fallisce, e ancora non ho capito come mai, dovrebbe essere il contrario) al server per vedere se ha leakato il PIN da qualche parte nel token del 2FA. In caso il codice sia reperito, lo ritornerà in pin.txt. Altrimenti, il programma si auto-terminerà silenziosamente. In altre parole, funziona solamente se è presente una falla nel target. Questa feature è più utile per testare la presenza di vulnerabilità nel sito in cui siete registrati, quindi più utile a scopi di Bug Bounty che altro (per ora).

Possibili domande:
posso ottenere il codice sorgente dell'app? No, il mio codice sarà open source, ma per modificarlo, saranno accettate solo delle pull request anche in privato su questo forum. Tuttavia, la fonte non sarà disponibile, perché non voglio assumermi alcuna responsabilità del modo in cui sarà utilizzata la mia variante in py. MoonD4rk ha deciso di rendere il codice open source, a suo rischio, io preferisco di no, per ragioni di sicurezza.

E' un virus?
Purtroppo sì, odio ammetterlo, ma il behaviour pattern conduce l'analisi forense a varie famiglie di trojan, ossia: dropper, downloader, ecc.

Se è un virus, perché dovremmo scaricarlo?
Al programma manca sostanzialmente la componente nefasta
: basterebbe che qualcuno, che metta le mani sul codice sorgente, inserisca delle funzioni anomale per inviare le credenziali in remoto e BOOM, questa roba da innoqua diventa pericolosissima, dal momento che RAZZIA tutti i dati salvati in ogni browser in una manciata di secondi. Quindi, almeno la mia versione (e quella di MoonD4rk), si possono definire come un "virus disarmato". Le credenziali che estrae saranno salvate in una sub-directory chiamata "result" all'interno del vostro OS, e rimarranno solamente lì. Se crediate che stia nascondendo qualcosa, potrete monitorare il traffico con wireshark mentre l'app è in esecuzione. Non c'è alcun pericolo di un data leak, se avete scaricato HackBrowserData da NOI.

Al momento è ancora work in progress, sarà tutto pronto fra circa 2 o 3 settimane. Buon proseguimento