Domanda Malware Backdoor persistente detectata

[Sekmet]

Salve, questo problema mi affligge da qualche giorno e spero siate in grado di aiutarmi.
Da premettere che utilizzo Kali Linux per fare tutto, uso pacchetti come Metasploit.
Una backdoor riesco a crearla, funziona benissimo e mi sono studiato molto in merito. So anche creare una persistenza (non che sia difficile utilizzando tools che lavorano al posto tuo), ma il problema è che non riesco a creare una persistence backdoor non detectabile dall'antivirus.
Preciso che la backdoor (non persistente) l'ho creata in parallelo al pacchetto Veil-Evasion che mi permette di criptare il payload cosicché non sia facilmente segnalabile dagli antivirus.
La backdoor persistente, invece, viene detectata. Dopo l'esecusione del comando "run persistence" tutto viene eseguito in modo corretto, figuriamoci che ho persino provato a fare tutto dopo aver bypassato il UAC, però dopo pochi secondi l'antivirus Microsoft Security Essentials trova la mia persistenza e la elimina.

Come posso quindi creare una backdoor persistente non detectabile?

 

[ScriptMan]

Salve, questo problema mi affligge da qualche giorno e spero siate in grado di aiutarmi.
Da premettere che utilizzo Kali Linux per fare tutto, uso pacchetti come Metasploit.
Una backdoor riesco a crearla, funziona benissimo e mi sono studiato molto in merito. So anche creare una persistenza (non che sia difficile utilizzando tools che lavorano al posto tuo), ma il problema è che non riesco a creare una persistence backdoor non detectabile dall'antivirus.
Preciso che la backdoor (non persistente) l'ho creata in parallelo al pacchetto Veil-Evasion che mi permette di criptare il payload cosicché non sia facilmente segnalabile dagli antivirus.
La backdoor persistente, invece, viene detectata. Dopo l'esecusione del comando "run persistence" tutto viene eseguito in modo corretto, figuriamoci che ho persino provato a fare tutto dopo aver bypassato il UAC, però dopo pochi secondi l'antivirus Microsoft Security Essentials trova la mia persistenza e la elimina.

Come posso quindi creare una backdoor persistente non detectabile?

provato a encodare il payload on xor o shikata? (da aggiungere al comando se è per 64 bit il payload -e x64/xor se è per 32 bit -e x86/shikata_ga_nai se non sbaglio)

 

[Sekmet]

provato a encodare il payload on xor o shikata? (da aggiungere al comando se è per 64 bit il payload -e x64/xor se è per 32 bit -e x86/shikata_ga_nai se non sbaglio)

Il payload criptato con encoder shikata_ga_nai viene segnalato da Microsoft Security Essentials (che è costantemente aggiornato).
In ogni caso, il problema non è il payload detectato in quanto, nei miei test citati nel mio primo post, il mio payload era criptato con AES e non segnalato da alcun antivirus, ma la mia difficoltà consiste nella persistenza che, come ben sappiamo, consiste nella creazione di un altro file backdoor con estensione .vbs che viene avviato all'avvio del pc e tenta la connessione ogni X secondi, questo file però viene segnalato come trojan SwortA


Aggiunta :

Ho pensato a una piccola soluzione che consiste nel creare la persistenza manualmente. Dal momento che questa di basa sulla modifica del registro e della sua concreta esistenza nel pc della vittima ho pensato di fare così :

1) Utilizzo il comando run persistence sul mio stesso pc test (con windows) e metto da parte il file interessato
2) Appena ho una connessione con il pc vittima procedo bypassando il UAC
3) Avendo tutti i permessi fattibili inizio modificando il registro per inserire chiavi che determinino l'autorun del file persistenza all'avvio del pc
4) Utilizzando ik comando "upload" sposto il file persistenza precedentemente creato e manualmente criptato, nel pc vittima

Il gioco dovrebbe esser fatto, ovviamente ecco delle precisazioni :

Il file persistenza, dopo averlo creato sul mio test pc con windows, lo cripto con AES e lo inserisco nella corretta directory che vado a indicare nel registro della vittima quando devo aggiungere una nuova voce per l'autorun

Potrebbe funzionare penso

 

[ScriptMan]

Il payload criptato con encoder shikata_ga_nai viene segnalato da Microsoft Security Essentials (che è costantemente aggiornato).
In ogni caso, il problema non è il payload detectato in quanto, nei miei test citati nel mio primo post, il mio payload era criptato con AES e non segnalato da alcun antivirus, ma la mia difficoltà consiste nella persistenza che, come ben sappiamo, consiste nella creazione di un altro file backdoor con estensione .vbs che viene avviato all'avvio del pc e tenta la connessione ogni X secondi, questo file però viene segnalato come trojan SwortA


Aggiunta :

Ho pensato a una piccola soluzione che consiste nel creare la persistenza manualmente. Dal momento che questa di basa sulla modifica del registro e della sua concreta esistenza nel pc della vittima ho pensato di fare così :

1) Utilizzo il comando run persistence sul mio stesso pc test (con windows) e metto da parte il file interessato
2) Appena ho una connessione con il pc vittima procedo bypassando il UAC
3) Avendo tutti i permessi fattibili inizio modificando il registro per inserire chiavi che determinino l'autorun del file persistenza all'avvio del pc
4) Utilizzando ik comando "upload" sposto il file persistenza precedentemente creato e manualmente criptato, nel pc vittima

Il gioco dovrebbe esser fatto, ovviamente ecco delle precisazioni :

Il file persistenza, dopo averlo creato sul mio test pc con windows, lo cripto con AES e lo inserisco nella corretta directory che vado a indicare nel registro della vittima quando devo aggiungere una nuova voce per l'autorun

Potrebbe funzionare penso

Ottima intuizione anche io penso che funzioni

 

[Sekmet]

Ottima intuizione anche io penso che funzioni

L'idea era buona, ma non ne sono arrivato a capo.
Sinceramente non so come potrei criptare la backdoor persistente. Lo strumento che ho usato per criptare il payload (backdoor non persistente) è stato Veil-Evasion. Però questo strumento non mi permette di criptare con AES un file già creato (in questo caso la backdoor persistente). Inoltre se decidessi di utilizzare un modulo proposto dallo stesso strumento, criptabile e simile alla backdoor persistente dovrei selezionare il bind_tcp, questo però non tenta di stabilire una connessione con l'IP del pc attaccante ogni X secondi come fa una backdoor persistente, bensì tenterebbe solo una volta e vale a dire appena il PC della vittima viene caricato e la voce registro che determina l'autorun del programma viene eseguita.

Ho provato a usare un programma chiamato AESCrypt che permette di criptare file esistenti in AES e con successo il file non viene trovato dall'antivirus, ma purtroppo appena il PC viene acceso e il programma automaticamente eseguito, questo giustamente chiede la password di sicurezza (che si imposta nella GUI del programma per essere usata come chiama di cifratura) per poter avviare il programma.

Qualcuno è in grado di aiutarmi? Perché la mia idea illustrata nella risposta precedente è corretta :

Ho pensato a una piccola soluzione che consiste nel creare la persistenza manualmente. Dal momento che questa di basa sulla modifica del registro e della sua concreta esistenza nel pc della vittima ho pensato di fare così :

1) Utilizzo il comando run persistence sul mio stesso pc test (con windows) e metto da parte il file interessato
2) Appena ho una connessione con il pc vittima procedo bypassando il UAC
3) Avendo tutti i permessi fattibili inizio modificando il registro per inserire chiavi che determinino l'autorun del file persistenza all'avvio del pc
4) Utilizzando ik comando "upload" sposto il file persistenza precedentemente creato e manualmente criptato, nel pc vittima

Il gioco dovrebbe esser fatto, ovviamente ecco delle precisazioni :

Il file persistenza, dopo averlo creato sul mio test pc con windows, lo cripto con AES e lo inserisco nella corretta directory che vado a indicare nel registro della vittima quando devo aggiungere una nuova voce per l'autorun

ma la problematica ora è criptare la backdoor persistence e so di essere vicino alla situazione o persino di averla davanti, ma attualmente sono bloccato.
Ho cercato online una qualsiasi soluzione ma è stato vano e se risolvessi il problema potrei creare una guida per tutti coloro che si ritrovassero nella mia situazione.

Grazie in anticipo

 

[ScriptMan]

L'idea era buona, ma non ne sono arrivato a capo.
Sinceramente non so come potrei criptare la backdoor persistente. Lo strumento che ho usato per criptare il payload (backdoor non persistente) è stato Veil-Evasion. Però questo strumento non mi permette di criptare con AES un file già creato (in questo caso la backdoor persistente). Inoltre se decidessi di utilizzare un modulo proposto dallo stesso strumento, criptabile e simile alla backdoor persistente dovrei selezionare il bind_tcp, questo però non tenta di stabilire una connessione con l'IP del pc attaccante ogni X secondi come fa una backdoor persistente, bensì tenterebbe solo una volta e vale a dire appena il PC della vittima viene caricato e la voce registro che determina l'autorun del programma viene eseguita.

Ho provato a usare un programma chiamato AESCrypt che permette di criptare file esistenti in AES e con successo il file non viene trovato dall'antivirus, ma purtroppo appena il PC viene acceso e il programma automaticamente eseguito, questo giustamente chiede la password di sicurezza (che si imposta nella GUI del programma per essere usata come chiama di cifratura) per poter avviare il programma.

Qualcuno è in grado di aiutarmi? Perché la mia idea illustrata nella risposta precedente è corretta :



ma la problematica ora è criptare la backdoor persistence e so di essere vicino alla situazione o persino di averla davanti, ma attualmente sono bloccato.
Ho cercato online una qualsiasi soluzione ma è stato vano e se risolvessi il problema potrei creare una guida per tutti coloro che si ritrovassero nella mia situazione.

Grazie in anticipo

Guarda a questo ti aiuto io quando sono a casa..... Ho trovato online razorcrypt v2 crackato se vuoi te lo passo

 

[Sekmet]

Guarda a questo ti aiuto io quando sono a casa..... Ho trovato online razorcrypt v2 crackato se vuoi te lo passo

Ho sentito di razorcrypt v2 guardando threads qui su inforge, ho anche letto che potrebbe non essere affidabile, ma spero lo sia. Spero però possa :

Criptare con cifratura AES
Non chieda la password una volta che provo ad aprire un file criptato con AES

 

[ScriptMan]

Ho sentito di razorcrypt v2 guardando threads qui su inforge, ho anche letto che potrebbe non essere affidabile, ma spero lo sia. Spero però possa :

Criptare con cifratura AES
Non chieda la password una volta che provo ad aprire un file criptato con AES

Allora ti spiego: un crypter aes è prevalentemente usato per coodificare foto che non vuoi siano aperte da Altre persone... invece razorcrypt è creato apposta per cryptare virus (non è proprio così ma più o meno...) quindi offre buona affidabilità con la possibilità di omettere chiave di decriptazione... il file è solamente cryptato in modo da essere fud o ud

 

[Sekmet]

Allora ti spiego: un crypter aes è prevalentemente usato per coodificare foto che non vuoi siano aperte da Altre persone... invece razorcrypt è creato apposta per cryptare virus (non è proprio così ma più o meno...) quindi offre buona affidabilità con la possibilità di omettere chiave di decriptazione... il file è solamente cryptato in modo da essere fud o ud

Allora cerco razorcrypt v2 cracked e se lo trovo lo scarico. In caso di esisto positivo lo faccio sapere in questo thread, ma nel caso in cui non dovessi trovare risposta e tu fossi possibilitato a mandarmelo, saresti gentilissimo a procurarmelo e ti ringrazio in anticipo

 

[ScriptMan]

Allora cerco razorcrypt v2 cracked e se lo trovo lo scarico. In caso di esisto positivo lo faccio sapere in questo thread, ma nel caso in cui non dovessi trovare risposta e tu fossi possibilitato a mandarmelo, saresti gentilissimo a procurarmelo e ti ringrazio in anticipo

Io appena sono a casa se vuoi te lo mando non dovrebbe essere infetto da virus ho fatto la scansione sia su malwr sia su virusscan ed è tutto negativo

L`antivirus ti da problemi solo quando il crypter inizia a crypttare poiché riconosce Il Metodo di lavoro di razorcrypt ma se non ti fidi usalo in macchina virtuale quando te lo passo per me non c`è problema basta che Ti aiuti

 

[Sekmet]

Io appena sono a casa se vuoi te lo mando non dovrebbe essere infetto da virus ho fatto la scansione sia su malwr sia su virusscan ed è tutto negativo

Ho trovato il programma razorctypt v2, adesso lo provo sperando vada tutto bene

Ho utilizzato razorcrypt v2 e Microsoft Security Essentials mi segnala il file come "programma per creare virus o malware" livello virus : grave.
Quindi mi sa proprio che non è utile per il mio scopo, altre idee?

 

[ScriptMan]

Ho trovato il programma razorctypt v2, adesso lo provo sperando vada tutto bene

Ho utilizzato razorcrypt v2 e Microsoft Security Essentials mi segnala il file come "programma per creare virus o malware" livello virus : grave.
Quindi mi sa proprio che non è utile per il mio scopo, altre idee?

tranquillo se ti segnala razorcrypt non vuol dire che ti segnala il file che crypti con il tool poichè non è facile per gli antivirus decodificare l'algoritmo di crypt di razorcrypt

 

[Sekmet]

tranquillo se ti segnala razorcrypt non vuol dire che ti segnala il file che crypti con il tool poichè non è facile per gli antivirus decodificare l'algoritmo di crypt di razorcrypt

Con razorcrypt posso solo criptare .exe, ma io ho a che fare con un file .vbs. Sai dirmi una soluzione a ciò?
Da ignorante ho usato un convertitore da .vbs a .exe, ma questo semplicemente crea un .exe collegato al .vbs (file originale che se elimino, l'exe non va.più)

 

[ScriptMan]

Con razorcrypt posso solo criptare .exe, ma io ho a che fare con un file .vbs. Sai dirmi una soluzione a ciò?
Da ignorante ho usato un convertitore da .vbs a .exe, ma questo semplicemente crea un .exe collegato al .vbs (file originale che se elimino, l'exe non va.più)

ah questo è un problema..... potresti bindare il vbs con l'exe e poi cryptare l'exe

 

[Sekmet]

ah questo è un problema..... potresti bindare il vbs con l'exe e poi cryptare l'exe

Ho provato a binder il file con l'exe, ma in ogni caso l'exe viene detectato. Allora ho deciso di procedere in un altro modo.
Dopo aver stabilito la connessione con la vittima, utilizzo la funzione "upload" per caricare due file :

Eseguibile creato da me
Payload bind_tcp criptato con Veil-Evasion e cifratura AES

L'eseguibile creato da me lo posizionerò in autorun, cosicchè all'avvio del pc esso si esegua e svolga una semplice funzione, cioè quella di avviare il Payload bind_tcp ogni X secondi.
Il modulo bind_tcp ha il compito di inviare richiesta di connessione a un indirizzo IP di mia scelta. In questo modo appena avvierò il modulo multi/handler riceverò la richiesta di connessione e anche quando interromperò la connessione, la vittima continuerà a inviarmi la richiesta e io potrò sfruttarla quando vorrò.

Questo metodo lo applicherò domani, però sarei felice se tu fossi in grado di offrirmi altre vie.

Ovviamente queste soluzioni quasi barbare, sono temporanee. Mi piacerebbe utilizzare le mie conoscenze per creare un crypter privato che mi permetta di criptare i payload a mio piacere

 

[ScriptMan]

Ho provato a binder il file con l'exe, ma in ogni caso l'exe viene detectato. Allora ho deciso di procedere in un altro modo.
Dopo aver stabilito la connessione con la vittima, utilizzo la funzione "upload" per caricare due file :

Eseguibile creato da me
Payload bind_tcp criptato con Veil-Evasion e cifratura AES

L'eseguibile creato da me lo posizionerò in autorun, cosicchè all'avvio del pc esso si esegua e svolga una semplice funzione, cioè quella di avviare il Payload bind_tcp ogni X secondi.
Il modulo bind_tcp ha il compito di inviare richiesta di connessione a un indirizzo IP di mia scelta. In questo modo appena avvierò il modulo multi/handler riceverò la richiesta di connessione e anche quando interromperò la connessione, la vittima continuerà a inviarmi la richiesta e io potrò sfruttarla quando vorrò.

Questo metodo lo applicherò domani, però sarei felice se tu fossi in grado di offrirmi altre vie.

Ovviamente queste soluzioni quasi barbare, sono temporanee. Mi piacerebbe utilizzare le mie conoscenze per creare un crypter privato che mi permetta di criptare i payload a mio piacere

riguardo al modulo multihandler son d'accordo ma, oltre a quella di ricryptare ulteriormente il file bindato mi viene solo in mente una cosa che potresti fare cioè automatizzare l'upload dei virus che vuoi con un semplice script batch bindato che utilizza la funzione get di un server ftp.... in pratica avviato il file che starta la connessione parte anche il file bindato che tramite un codice bat facilissimo che se vuoi ti allego scarica automaticamente i file virus che vuoi scaricare da un server ftp di tua scelta per poi terminare il tutto con un semplice start nomevirus.exe in modo da far partire immediatamente i file scaricati non so se sono stato chiaro.... se non lo sono dimmelo e provo a spiegarti meglio

 

[Sekmet]

riguardo al modulo multihandler son d'accordo ma, oltre a quella di ricryptare ulteriormente il file bindato mi viene solo in mente una cosa che potresti fare cioè automatizzare l'upload dei virus che vuoi con un semplice script batch bindato che utilizza la funzione get di un server ftp.... in pratica avviato il file che starta la connessione parte anche il file bindato che tramite un codice bat facilissimo che se vuoi ti allego scarica automaticamente i file virus che vuoi scaricare da un server ftp di tua scelta per poi terminare il tutto con un semplice start nomevirus.exe in modo da far partire immediatamente i file scaricati non so se sono stato chiaro.... se non lo sono dimmelo e provo a spiegarti meglio

Quindi stai dicendo che ottimizzerei tempo e risorse con un sistema automatizzato basato su queste fasi eseguite passo dopo passo :

1) Mando alla vittima il payload di tipo reverse_tcp e un file bat, stabilisco una connessione meterpreter e automaticamente parte anche il file bat che ha il compito di scaricare (in questo caso) un altro modulo che è il bind_tcp e un altro .exe che si occupa di startare il modulo (bind_tcp) ogni X secondi
2) In modo automatico, dopo che ha scaricato il file, registra una nuova voce nel registro del pc della vittima impostando l'autorun per il file .exe (che ha il compito di avviare ogni X secondi il modulo bind_tcp), in questo modo io ho ottimizzato il tempo dovendo solo inviare il file .bat

Ho capito bene?

Inoltre se io non volessi usare il file .bat, ci sarebbe un modulo proposto proprio da Veil-Evasion e che ha il compito di scaricare file da un url (che farebbe riferimento al server FTP)

 

[ScriptMan]

Quindi stai dicendo che ottimizzerei tempo e risorse con un sistema automatizzato basato su queste fasi eseguite passo dopo passo :

1) Mando alla vittima il payload di tipo reverse_tcp e un file bat, stabilisco una connessione meterpreter e automaticamente parte anche il file bat che ha il compito di scaricare (in questo caso) un altro modulo che è il bind_tcp e un altro .exe che si occupa di startare il modulo (bind_tcp) ogni X secondi
2) In modo automatico, dopo che ha scaricato il file, registra una nuova voce nel registro del pc della vittima impostando l'autorun per il file .exe (che ha il compito di avviare ogni X secondi il modulo bind_tcp), in questo modo io ho ottimizzato il tempo dovendo solo inviare il file .bat

Ho capito bene?

Inoltre se io non volessi usare il file .bat, ci sarebbe un modulo proposto proprio da Veil-Evasion e che ha il compito di scaricare file da un url (che farebbe riferimento al server FTP)

si esatto! se ti permette di scaricare da un url utilizza allora una pagina di download automatico in php o direttamente il link del file e sei apposto

 

[Sekmet]

si esatto! se ti permette di scaricare da un url utilizza allora una pagina di download automatico in php o direttamente il link del file e sei apposto

Ottimo, quindi il mio ragionamento di usare un .exe a parte più il tuo consiglio per l'ottimizzazione del tempo, mi dovrebbero garantire un buon risultato.
Ovviamente utilizzo questo tipo di via secondaria (dover utilizzare un .exe avente il solo compito di avviare il modulo bind_tcp ogni X secondi) solo fino a quando non avrò trovato un crypter buono o fino a quando non ne avrò creato uno io

Non chiudo ancora la discussione perché voglio prima fare tutti i test, simulare più situazioni e magari arrivare ad avere un'idea per ottimizzare ancora di più il processo. Quindi lascio il thread aperto sia per altre persone che per mie ulteriori domande

 

[ScriptMan]

Ottimo, quindi il mio ragionamento di usare un .exe a parte più il tuo consiglio per l'ottimizzazione del tempo, mi dovrebbero garantire un buon risultato.
Ovviamente utilizzo questo tipo di via secondaria (dover utilizzare un .exe avente il solo compito di avviare il modulo bind_tcp ogni X secondi) solo fino a quando non avrò trovato un crypter buono o fino a quando non ne avrò creato uno io

Non chiudo ancora la discussione perché voglio prima fare tutti i test, simulare più situazioni e magari arrivare ad avere un'idea per ottimizzare ancora di più il processo. Quindi lascio il thread aperto sia per altre persone che per mie ulteriori domande

certo se hai altre domande ti aiuto tranquillamente!

 

[mek9999]

x

 

[Sekmet]

se non sai creare una backdoor il metodo alternativo a veil evasion e' thefatrat si basa anche lui su veil evasion, difficilmente potrebbe funzionare nel tuo caso ma farei un tentativo.
Essendo che i moduli di metasploit sono tutti riconosciuti dagli antivirus ormai sta diventando giornaliero il criptaggio tramite veil suppongo che gli antivirus stanno prendendo le l'oro precauzioni per me il metodo migliore da consigliarti escludendo "createne una": usa un ricompilatore sono pochi ma buoni in giro ce ne uno di python che costa 2.000 € ma ce ne sono anche gratuiti una volta che l'hai ricompilata e come se l'hai creata tu e non usi un modulo che usa quasi tutto il mondo dell'informatica potrai sincronizzare i pacchetti comunicanti in modo che siano il piu ritardatario possibile o inverso, incorporarla in altri software come una normale backdoor ma tutta nuova e non fare mai l'errore di provare la tuo nuova backdoor in virustotal altrimenti anche se risultera positiva da tutti gli antivirus cominceranno a studiarla in automatico e col passare del tempo diventera' rilevabile

Attualmente mi interessa arrivare a una soluzione per questo obiettivo/problema. Ho precisato che avrò modo di studiarmi la creazione di un crypter, ma al tempo stesso inizieró a crearmi backdoor custom proprio perché, siccome saranno utilizzate unicamente da me, saranno difficilmente rilevabili.
So anche che non bisogna usare siti come virustotal in quanto mandano reports scansione agli antivirus, infatti uso siti diversi.
Comunque leggerò un pó riguardo TheFatrat, grazie per la risposta

 

[Яǝʌǝɹsǝ]

Thefatrat funziona solo in LAN a quanto ne so(sempre se e fud ancora)

 

[Sekmet]

Thefatrat funziona solo in LAN a quanto ne so(sempre se e fud ancora)

Devo ancora informarmi su di esso sperando che non funzioni solo in lan

 

[mek9999]

x