09 enero, 2016

Crea troyanos indetectables con HaCoder



Hola a tod@s

HaCoder.py es herramienta Python para generar troyanos totalmente imperceptibles para la gran mayoría de los antivirus, a día de hoy detectado tan sólo por el 3,3% de los cuales no son lo más conocidos del mercado. El ordenador víctima tendrá una puerta trasera sin percatarse de nada.

Antes de comenzar, vamos a analizar exactamente lo que vamos a realizar. Queremos generar .py backdoor y convertir a archivo ejecutable independiente (.exe), iniciar el controlador para coger todas las llamadas entrantes de tráfico víctima, para ello la víctima debe ejecutar nuestro archivo de backdoor, ¿cómo? pues por ejemplo sitios de seriales, en pendrive un poco de ingeniería social, etc.

Esta es muy buena técnica ya que utiliza cifrado AES, se cifra todo el tráfico de comunicación entre agresor y víctima. No hay dispositivo o aplicación que pueda leer sin la clave secreta de AES.


Utilice bajo propia responsabilidad. Esta herramienta está creada únicamente con fines educativos, al igual que informamos en nuestro disclosure con el resto de post de la web.


Comencemos, lanzamos HaCoder.py, una herramienta muy intuitiva similar a Metasploit o SET. En tan sólo 4 pasos tenemos nuestro backdoor creado:

  1. Introducir nuestra IP.
  2. El puerto, el 8080.
  3. Copiar y pegar la AES Key que se ha generado.
  4. Guardar en la ruta que se desee el .py creado.
Automáticamente quedará el handler a la escucha, esperando que se ejecute nuestro troyano.

Imagen 1: Generar Backdoor con HaCoder.py



Me he decantado por un nombre atractivo como serial :p, a continuación copiamos nuestro archivo serial.py en una maquina Windows para la segunda fase en la que convertiremos el .py en .exe. Para ello es necesario instalar la herramienta pyinstaller.py.

Procedemos con la siguiente sentencia:
pyinstaller.py serial.py --onefile --noconsole

Imagen 2: Convertir .py a .exe



Como se puede observar en la siguiente imagen se ha creado el archivo ejecutable.

  
Imagen 3: serial.exe creado con éxito



A continuación ejecutamos el troyano camuflado en la máquina víctima, en cuestión de segundos ya tenemos a la víctima.
 
Imagen 4: Información de la víctima infectada

Entramos en la primera víctima, como vemos tenemos un abanico de posibilidades, desde descargar archivos, subir archivos, keylog o una utilidad muy importante como es la persistencia.


Imagen 5: Opciones disponibles del troyano



Pienso que lo más importante en un test de penetración es poder crear persistencia. Aunque la víctima reinicie el PC se ha creado una puerta trasera y el atacante se paseará como perro por sus casa. Por ello lo primero que haremos es agarrarnos al PC como si fuéramos una garrapata :-), con el siguiente comando:
persist 

Imagen 6: Crear persistencia


También, porque no, vamos a ver qué archivos nos interesa para la descarga, con el siguiente comando:
download archivo

Imagen 7: Download de archivos




Lo más interesante es que es prácticamente indetectable a los antivirus, para muestra un botón.
 
Imagen 8: Analizar el troyano con Virus Total



Tan sólo 6/55 han detectado al troyano, es decir el 3,3% una cifra muy pobre, además ninguno son de los más usados y conocidos en el mercado por los usuarios. Por otro lado, otro dato importante a aportar es que cuando sea detectable por la mayoría de antivirus tan sólo cambiando el AES secreto y otra vez a correr. Sin duda una muy buena alternativa a Metasploit y su encodeado con shitaka ga nai.


No seáis malos.

Más info aquí: https://github.com/LukaSikic/HaCoder.py

1 comentarios: