Hola a tod@s
HaCoder.py es herramienta Python para generar troyanos
totalmente imperceptibles para la gran mayoría de los antivirus, a día de hoy
detectado tan sólo por el 3,3% de los cuales no son lo más conocidos del
mercado. El ordenador víctima tendrá una puerta trasera sin percatarse de nada.
Antes de comenzar, vamos a analizar exactamente lo que vamos
a realizar. Queremos generar .py backdoor y convertir a archivo ejecutable
independiente (.exe), iniciar el controlador para coger todas las llamadas
entrantes de tráfico víctima, para ello la víctima debe ejecutar nuestro archivo
de backdoor, ¿cómo? pues por ejemplo sitios de seriales, en pendrive un poco de
ingeniería social, etc.
Esta es muy buena técnica ya que utiliza cifrado AES, se
cifra todo el tráfico de comunicación entre agresor y víctima. No hay
dispositivo o aplicación que pueda leer sin la clave secreta de AES.
Utilice bajo propia responsabilidad. Esta herramienta está
creada únicamente con fines educativos, al igual que informamos en nuestro disclosure con el resto de post de la web.
Comencemos, lanzamos HaCoder.py, una herramienta muy
intuitiva similar a Metasploit o SET. En tan sólo 4 pasos tenemos nuestro
backdoor creado:
- Introducir nuestra IP.
- El puerto, el 8080.
- Copiar y pegar la AES Key que se ha generado.
- Guardar en la ruta que se desee el .py creado.
Automáticamente quedará el handler a la escucha, esperando
que se ejecute nuestro troyano.
Imagen 1: Generar Backdoor con HaCoder.py
Me he decantado por un nombre atractivo como serial :p, a
continuación copiamos nuestro archivo serial.py en una maquina Windows para la
segunda fase en la que convertiremos el .py en .exe. Para ello es necesario
instalar la herramienta pyinstaller.py.
Procedemos con la siguiente sentencia:
pyinstaller.py serial.py --onefile --noconsole
Imagen 2: Convertir .py a .exe
Como se puede observar en la siguiente imagen se ha creado
el archivo ejecutable.
Imagen 3: serial.exe creado con éxito
A continuación ejecutamos el troyano camuflado en la máquina
víctima, en cuestión de segundos ya tenemos a la víctima.
Imagen 4: Información de la víctima infectada
Entramos en la primera víctima, como vemos tenemos un abanico
de posibilidades, desde descargar archivos, subir archivos, keylog o una utilidad
muy importante como es la persistencia.
Imagen 5: Opciones disponibles del troyano
Pienso que lo más importante en un test de penetración es
poder crear persistencia. Aunque la víctima reinicie el PC se ha creado una puerta
trasera y el atacante se paseará como perro por sus casa. Por ello lo primero
que haremos es agarrarnos al PC como si fuéramos una garrapata :-), con el
siguiente comando:
persist
Imagen 6: Crear persistencia
También, porque no, vamos a ver qué archivos nos interesa
para la descarga, con el siguiente comando:
download archivo
Imagen 7: Download de archivos
Lo más interesante es que es prácticamente indetectable a
los antivirus, para muestra un botón.
Imagen 8: Analizar el troyano con Virus Total
Tan sólo 6/55 han detectado al troyano, es decir el 3,3% una
cifra muy pobre, además ninguno son de los más usados y conocidos en el mercado
por los usuarios. Por otro lado, otro dato importante a aportar es que cuando
sea detectable por la mayoría de antivirus tan sólo cambiando el AES secreto y otra
vez a correr. Sin duda una muy buena alternativa a Metasploit y su encodeado
con shitaka ga nai.
No seáis malos.
Más info aquí: https://github.com/LukaSikic/HaCoder.py
Hola a tod@s
