Авторские статьи Троянизация на коленке

Discussion in 'Статьи' started by Elekt, 15 Feb 2006.

  1. Elekt

    Elekt Banned

    Joined:
    5 Dec 2005
    Messages:
    944
    Likes Received:
    427
    Reputations:
    508
    Intro

    Однажды, перед некоторыми из нас встаёт проблема впарить троян жертве, у которой конечно же стоит антивирус.
    Перед нами три шага к успеху: впарить, обойти антивирь, засесть в системе. Способы впаривания уже вполне рассмотрены на Ачате.
    Посполним пробелы =]

    Если ты продвинутый кодер, скрыть или написать троян для тебя не проблема. Или у тебя много WMZ ?
    В разделе объявлений куча соответсвующих предложений(если, конечно, не кинут).
    Однако не все мы дети банкира, и не у всех имеется талант и время на языки программирования.

    Сейчас мы рассмотрим, как можно скрыть трояна(или ещё какого виря), пользуясь лишь популярными прогами и гуглом для их поиска.

    Infected!

    1) Азы троянизации.
    2) Кручу-верчу, Кинуть хочу.
    - трояны
    - упаковщики
    - криптовальщики
    - защита
    - хекс-редактор
    - редактор иконок
    - клей
    - инсталятор

    3) Полезные ссылки.



    =============..:: Азы троянизации ::..===============

    Протроянивание жертвы - один из самых эффективных методов в достижении различных целей.
    Однако, сейчас только у самого ленивого юзверя не стоит антивируса.
    А уж если ты хочешь кидануть админа или вражину-хакерюгу, то задача серьёзно осложняеться.
    Рассмотрим особенности, которые полезно знать любому кулл-хацкеру в создании троев.

    Намба_1_
    Чем больше ты знаешь о жертве - тем лучше. Разводи его(её) как хочешь, но узнай, какой у неё:
    - антивирус
    - фаервол
    - аська-клиент
    - почтовик
    - браузер
    и остальное по вкусу.

    Зачем? Зная ПО компа жертвы, мы заложим в троян именно нужные функции и обеспечим гладкость всего процесса.
    Об особенностях софта далее и пойдёт речь.

    Намба_2_
    Многофункциональные трои, имеющие билдер(Pinch, Xinch, A-311), позволяет включать и исключать различные способности в создаваемом коне.
    Способность есть код, а код может быть в базе сигнатур антивируса. Следовательно, троян, при различных комбинациях заложенных в него функциях может как палиться, так и не палиться ОДНИМ И ТЕМ ЖЕ ативирём. А значит, надо делать всё по минимуму и проверять антивирусом до полной беспалевности.
    Вот, сами смотрите. Берём ксинч. Указывем ему тащить пароли - компилим - проверяем нодом - "бла-бла-модифиц.-Pinch".
    А теперь компилим с функцией ирка-бота - проверяем Нодом - "бла-бла-ирка-бот..."
    Вот так вот.
    Мне достаточно одного бэкдора+отключение фаервола. Благо, Аутпост любезно предоставил список (защита у него такая от конкурентов =] ).
    Названия процессов популярных фаерволов, спасибо Аутпосту!.. :

    iamapp=atguard
    LoadBlackD=black
    blackice=black
    blackd=black
    TrueVector=za
    vsmon=za
    Symantec Core LC=nis
    SndSrvc=nis
    KPF4=kerio
    Look 'n' Stop=lns
    looknstop=lns
    ARMOR2NET=armor
    SmcService=sygate
    mpfexe=mcafee
    mpfservice=mcafee
    mpfagent=mcafee
    mpftray=mcafee
    mpfconsole=mcafee
    Secuties Personal Firewall=buhl
    ;bdlite=bitdefender
    ;bdmcon=bitdefender
    bdoesrv=bitdefender
    rfw=R-Firewall
    SophosFirewall=sophos


    Конект на порт при знании консольных команд - это по хакерски =] Да, это долго и гемор, но обычно того стоит.
    При желании можно собрать аналогичный список антивирей.

    Намба_3_
    При пассивном просканивании антивирусом трой может не палиться, но будет обнаружен, будучи запущенным.
    Как проверить? Только эмпирически(те опытом).
    Создадим аналогичного троя, только без автозапуска и прочих остаточных явлений для системы.
    Включим антивирь и запускаем. Так и не заорал - значит точно всё путём.

    Намба_4_
    Антивирус антивирусу рознь. То, что нашёл один - не заметит другой.
    В нашем случаем вирус известен и внесён в базы, а значит придётся его прятать.
    Здесь нам и потребуеться точно знать фирму антивиря жертвы, чтобы учесть его инидивидуальные особенности(читай, глюки).
    Ну, например, Нод плохо понимает MEW, и *.dll c изменённой точкой входа. А Доктор Веб испытывает трудности с AsProtect.

    Намба_5_
    Самой важной проблемой являеться проверка троя на работоспособность после упаковки. Проверить можно только на себе, запустив его.
    Как правило, троян теряет работоспособность после нескольких упаковок\криптовок\защит. Есть очень много несовместимых комбинаций.
    Подход к каждому трою сугубо индивидуальный. На выяснение всех комбинаций и проверку уходит львиная доля времени.
    Это самая сложная и долгая часть в скрытии троя. Иногда потратив часы так и не добиваешься беспалевности, испробовав все варианты.
    Терпение - самое важное ПО =]



    =============..:: Кручу-верчу, Кинуть хочу. ::..===============

    1) Трояны
    Выбирают обычно по функциям:
    Pinch, A-311, Xinch, Lamers Death, Netbus, GST, Anti-Lamer BackDoor и др.
    Важно помнить, что не все трояны легко спрятать. Чем функциональней билдер, тем больше комбинаций и шансов на успех.

    2) Упаковщики
    Это программы вроде винрара или 7-зипа, только предназначены для особых типов файлов (*.exe, *.dll) сохраняя их работоспособность.
    После упаковки троян становиться меньше. Так же видоизменяеться его код.
    Важно то, что не каждый антивирус может распаковать упаковщик. А значит не может востановить исходный код и сравнить с вирусными сигнатурами.
    В рекламе на сайтах можно найти, какие упаковщики поддерживает конкретный антивирь(и запаковать теми, которые не поддерживает =] )
    Pklite, Lzexe, Diet, Exepack, CPAV, UPX, AsPack, FSG, MEW, Petite, Neolite, eXPressor, ARM Protector, SLVc0deProtector, WinUpack

    Узнать,чем запакована прога, можно PEiD
    Если требуеться наоборот распаковать, можно воспользоваться хорошим и универсальным Quick Unpack, или найти что-либо ещё.
    Практически на все простые упаковщики есть распаковщики.

    3) Криптование
    Крипторы шифруют код программы, видоизменяют его, часто путают, усложняют, "замусоривают", делают невозможным определение типа упаковщика.
    Одни и теже команды можно расписать совершенно непохоже.
    После обработки трой может стать больше по размеру, но перестать палиться.

    AFIX!, topo, Morphine, HidePE, Stealth PE

    4) Защита
    Защитные программы, как правило, включают в себя и упаковщики, и крипторыи, и разные анти-крякерские приёмы.
    Они же позволяют встроить в прогу триальные ограничения и привязку к железу. (хыхы, триальный трой =] "У вас осталось 10 дней!")
    Вобщем, тоже вариант шифрования трояна.
    Аrmadillo, AsProtect, DotFix FakeSigner, Obsidium, ORiEN, PE_Compact, SoftwarePassport, , VMProtect

    Не на все протекторы есть распаковщики. Но крутые крякеры рулят)

    5) Хекс-редактор
    Хекс-редактор это типа блокнот, только позволяет редактировать документ в 16-ти разрядных кодах.
    Это требуеться для корректного отображения содержимого файла.
    Нафиг оно надо? Многие антивири затыкаються, стоит лишь изменит пару байт на мусор вначале троя.
    Трой после этого обычно всё равно работает, а антивирус замолкает.
    Biew, Hiew, WinHex

    6) Редактор иконок
    Прилепить липовую иконку к трою? Да не вопрос!!!
    Можно выдать трой за прогу, на за новую аську к примеру.
    Часто делают так:
    "Текстовый документ.txt (100 пробелов) .exe"
    "Track_5.mp3 (100 пробелов) .exe"
    "Новая папка (100 пробелов) .exe"
    "readme.txt (100 пробелов) .exe"

    Самые эффективные - иконка от 7-зип архива или самораспаковавающегося рар-архива(расширение не надо подделывать, оно *.exe и так)
    Icon sushi, Icon+, Program Icon Changer

    7) Клей
    О, да! Один из самых популярных способов впарить трой под видом полезной проги. Склеивает *.exe и произвольные(ый) файлы.
    Поведую известную штуку, о которой не всем известно. Делом в том, что на выходе клея получаеться екзешник.
    Это не есть хорошо - опытный чел углядит расширение.
    Но! Прикол в том, что если склеить трой с скринсейвером и переименовать скленный файл в *.scr - всё будет работать!
    Да в жизни никто *.scr проверять на вири не станет!!! (хотя я бы и *.txt проверил =] )
    ARP, MicroJoiner, SuperGlue32(SG32), KL

    Фигово то, что некоторые клеи и их продукты считаються хак-тулзами и антивирусы их видят.

    8) Как сервис
    Все системы защиты давно научились мониторить ключевые места автозапуска троянов.
    Только самый ленивый пользователь не скачал какой-нить там Starter, выдающий список всех автозапускаемых программ.
    А вот в службы лезет не каждый. Многие даже и не знают как в них залезть и что это такое. (Алё! если ты один из них, тебе сюда: "Панель управления"->"Администрирование"->"Службы")
    Как создать службу? Да в реестре её надо прописать. По аналогии можно взять одну из служб и посмотреть все ключики.
    Вот программа помогающая создать запуск проги как сервис FireDaemon-Pro. Проследить операции рег-монитором и всё.

    В Хакере (сен 2005) есть офигенная статья по автозапуску троянских приложений. Слабонервным не читать!!! Я теперь побаиваюсь левых файлов.

    9) Инсталяторы
    Самый изящное впаривание трояна - через инсталятор. Т.е. создать инсталятор на какую-нить прогу и зарядить туда трояна.
    Бдительность жертвы при этом минимальна и обратно пропорциональна интересности встроенной проги.
    ExeShield Deluxe, Inno Setup, MAKEMSI, MSIBuilde, NetScat Installer, NSIS, Nullsoft Ins Sys, Wise Ins Sys


    =============..:: Полезные ссылки ::..===============

    Даёшь трояны в массы?!

    1) http://www.google.com =]
    2) http://kickme.to/armMUPs подборка софта
    3) http://www.compression.ru/ всё о упаковщиках
    4) http://www.team-x.ru/xforum/index.php?act=ST&f=40&t=3559 подборка софта
    5) http://www.wisesoft.ru Хакер(#080, #081, #082)
     
    #1 Elekt, 15 Feb 2006
    Last edited by a moderator: 6 Nov 2006
    6 people like this.
  2. KEZ

    KEZ Ненасытный школьник

    Joined:
    18 May 2005
    Messages:
    1,604
    Likes Received:
    754
    Reputations:
    397
    1 person likes this.
  3. tclover

    tclover nobody

    Joined:
    13 Dec 2005
    Messages:
    741
    Likes Received:
    682
    Reputations:
    287
    Всё круто конечно. Один вопрос только.
    А у тебя стоял Блэк айс? :) Ты видел как он реагирует на любой новый запущенный процесс? :)
    А так вроде ничего. В целом молодец.
     
  4. virgoz

    virgoz Elder - Старейшина

    Joined:
    16 Sep 2004
    Messages:
    151
    Likes Received:
    28
    Reputations:
    15
    Полезно. Хорошо, что много пакеров привел. Раньше как-то не мог найти столько...
     
  5. podkashey

    podkashey С крышкой по жизни!

    Joined:
    18 Jun 2005
    Messages:
    756
    Likes Received:
    351
    Reputations:
    353
    Мне вот интересно, до сих пор много людей устраивают массовые рассылки троянов или только когда есть конкретная жертва?
     
  6. KEZ

    KEZ Ненасытный школьник

    Joined:
    18 May 2005
    Messages:
    1,604
    Likes Received:
    754
    Reputations:
    397
    Чувак, да ты крут. Незнаю как ты собрался вырубить Outpost 3.0 но ты гонишь. Даже если ты его вырубишь (например через дебаг-хендлы) то у тебя вообще сеть станет недоступна) офигеть ты сам то пробовал обойти аутпост? таких способов нету.
    а всякое гавно вроде пинча, "типа" обходит фаервол, просто работая через гейт, или внедрение кода в другой процесс доверенный. ну и что? даже если удастсья внедрить код (два способа - получение хендлов csrss.exe и анхук system service table) незаметно для контроля компонентов - ты думаешь фаервол не будет показывать соединения этих процессов с сервером где висит гейт? да у меня сосед каждую секунду смотрит в аутпост, и вручную все разрешает. если только каких то лохов так разводить.
    есть способ обойти фаервол но я ещё в паблике кода не видел (пытаюсь такой драйвер сделать).
    аутпост ставит дофига хуковэ

    а ну конечно ещё способ такой что vbs скриптом вырубить аутпост или поставить его в режим бездействия. да работает, только если мой сосед увидит что у него аутпост в режиме бездействия он просто сразу провод выдернет из сетевухи.
    а если уж увидит что какойто левый троян пытается вырубить аутпост - вообще питание от системника выдернет. вот такие у нас соседи.

    жалко конечно что люди занимаются поиском всяких "хакерских" троянов, чужих пакеров а не пытаются скажем, поотлаживать аутпост, попробовать написать дровишки, и т д...

    Как понять не станет? Это обычный EXE файл.
    Если у жертвы нет мозгов то она с детства инвалид и ему трояны не надо впаривать. Можно просто пароли так попросить...
     
    #6 KEZ, 16 Feb 2006
    Last edited: 16 Feb 2006
    2 people like this.
  7. Falcon

    Falcon New Member

    Joined:
    20 Jan 2006
    Messages:
    4
    Likes Received:
    3
    Reputations:
    0
    Не обязательно иметь жертвую. Некоторые просто практикуются, некоторые веселятся. Очень хороший способ позларадствовать.
     
  8. DRON-ANARCHY

    DRON-ANARCHY Отец порядка

    Joined:
    4 Mar 2005
    Messages:
    713
    Likes Received:
    142
    Reputations:
    50
    Вцелом неплохо. Кез тоже местами прав.
    Хорошие списки прог.
    вывод: маладца
     
  9. Nasfiratus

    Nasfiratus Banned

    Joined:
    25 Feb 2006
    Messages:
    3
    Likes Received:
    2
    Reputations:
    0
    Познавательно... весьма весьма... вот только хочу заметить... после 2х -3х пакеров трой уже не пашет... =( Если параметры сжатия и криптования не совместимы... и чаще всего все это палится на раз два....

    А так статья хорошый! =) мне лично понравилась... главное идею уловили... =)
     
    1 person likes this.
  10. Tikson

    Tikson Elder - Старейшина

    Joined:
    9 Oct 2005
    Messages:
    263
    Likes Received:
    42
    Reputations:
    14
    Я как-то читал итервью создателя антивируса касперского, так вот он сказал что если кто-то обнаружил вирус то он делится этой инфрмацией с другими создаелями анивирусников(колегами) все фишка втом что разный антивирусы иногда поразному датют названия вирусам + способы поиска и лечения иногда отличатся => так что лидирущие антивирусы всегда(99.9%) находят
     
  11. utilizator

    utilizator New Member

    Joined:
    27 Dec 2005
    Messages:
    15
    Likes Received:
    3
    Reputations:
    0
    пасс+линк

    ::Полный набор инструментов::.
    ==========================================================================================
    Analysis:
    OllyDbg 1.10 & Plugins - Modified by SLV *NEW*
    W32Dasm 8.93 - Patched *NEW*
    PEiD 0.93 + Plugins *NEW*
    RDG Packer Detector v0.5.6 Beta - English *NEW*


    Rebuilding:
    ImpRec 1.6 - Fixed by MaRKuS_TH-DJM/SnD *NEW*
    Revirgin 1.5 - Fixed *NEW*
    LordPE De Luxe B *NEW*


    Packers:

    FSG 2.0
    MEW 11 1.2 SE
    UPX 1.25 & GUI *NEW*
    SLVc0deProtector 0.61 *NEW*
    ARM Protector v0.3 *NEW*
    WinUpack v0.31 Beta *NEW*



    Patchers:

    dUP 2 *NEW*
    CodeFusion 3.0
    Universal Patcher Pro v2.0
    Universal Patcher v1.7 *NEW*
    Universal Loader Creator v1.2 *NEW*
    aPatch v1.07
    PMaker v1.2.0.0 *NEW*
    Tola's Patch Engine v2.03b
    ABEL Loader v2.31
    Yoda's Process Patcher *NEW*
    Registry Patch Creator *NEW*
    ScAEvoLa's PatchEngine v1.33 *NEW*
    Dogbert's Genuine Patching Engine v1.41 *NEW*
    Graphical-PatchMaker v1.4 *NEW*
    The aPE v0.0.7 BETA *NEW*
    Liquid2 *NEW*
    PELG v0.3 *NEW*
    PrincessSandy v1.0 *NEW*


    HEX Editor:
    Biew v5.6.2
    Hiew v7.10 *NEW*
    WinHex v12.5 *NEW*


    Decompilers:
    DeDe 3.50.04
    VB Decompiler Lite v0.4 *NEW*
    Flasm


    Unpackers:
    ACProtect - ACStripper
    ASPack - ASPackDie
    ASProtect > Stripper 2.07 Final & Stripper 2.11 RC2 *NEW*
    DBPE > UnDBPE
    FSG 1.33 > Pumqara's Dumper
    FSG 2.00 > UnFSG
    MEW > UnMEW
    PeCompact 1.x > UnPecomp
    PEncrypt > UnPEncrypt
    PeSpin 0.3 > DeSpinner 0.3
    tELock 0.98-1.0 > UntELock
    EXEStealth > UnStealth
    Xtreme-Protector / Themida > XprotStripper v1.1 *NEW*
    Morphine Killer 1.1 by SuperCracker/SND *NEW*
    ASPR Dumper v0.1 *NEW*
    Armadillo Process Detach v1.1 *NEW*
    Armadillo Dumper v1.0 *NEW*
    Armadillo Nanomite Fixer *NEW*
    Armadillo Distance Decryptor aka Jump Table Fixer *NEW*
    ArmTools (Translated!) *NEW*
    ArmInline v0.1 *NEW*
    Quick Unpack v1.0b3 *NEW*
    Procdump v1.6.2 *NEW*


    Keygenning: *NEW*
    TMG Ripper Studio 0.02 *NEW*

    Other:

    FileMon v7 (Patched) *NEW*
    RegMon v7 (Patched) *NEW*
    RSATool 2
    DAMN HashCalc
    EVACleaner 2.7
    Process Explorer
    Resource *Sansьrlendi*
    PUPE 2002
    PointH Locator *NEW*
    ASPR CRC Locator 1.2 *NEW*
    PE Tools 1.5 RC5 *NEW*
    API Address Finder *NEW*
    Jump to Hex Convertor *NEW*
    PE GeNeRaToR 1.2.1 *NEW*
    Quick File Viewer v1.0.1 *NEW*
    PE Insight 0.3b *NEW*
    Crypto Searcher *NEW*
    PE Editor v1.7 *NEW*
    bkslash's Inline Patcher *NEW*
    Stud_PE v2.1 *NEW*
    Injecta v0.2 *NEW*
    PE Rebuilder v0.96b *NEW*
    PE Optimizer v1.4 *NEW*
    ToPo v1.2 *NEW*
    NFO Builder 2000 v1.02 *NEW*
    NFO File Maker v1.6 *NEW*
    TMG NFOmakeR v1.0 *NEW*
    hCalc *NEW*


    Pereb'е и ToPo 1.2 --из пакета удалите

    Пароль на архив: www.spynet.ru
    Скачать
     
    #11 utilizator, 5 May 2006
    Last edited: 14 Sep 2006
    2 people like this.
  12. +toxa+

    +toxa+ Smack! SMACK!!!

    Joined:
    16 Jan 2005
    Messages:
    1,674
    Likes Received:
    1,029
    Reputations:
    1,228
    Чё-то я в посте ни одной ссылки не нашёл...
     
    _________________________
  13. W!nd

    W!nd New Member

    Joined:
    31 May 2005
    Messages:
    20
    Likes Received:
    1
    Reputations:
    1
    Вот только есть одно большое НО. Серьёзно метод данной статьи не поиспользуешь. Друга-соседа попугать... и то слабовато... Всё усложняется тем, что каждый нелам ставит солидную защиту: фаервол+антиспай+антивирус+заплатки(есле винда или онавления ядер для лина)+новейшие обновления прог, работающих с сеткой.... Да... Против лома нет приёма... если нет другого лома :)))
     
  14. h3ro1n

    h3ro1n New Member

    Joined:
    7 Feb 2006
    Messages:
    7
    Likes Received:
    0
    Reputations:
    -4
    :)

    2KEZ http://pinch3.ru/static/update.html

    2Elekt Статья щит.
     
  15. 9822

    9822 Banned

    Joined:
    3 Aug 2005
    Messages:
    273
    Likes Received:
    29
    Reputations:
    8
    podkashey - допустим тебе нужны уины для флуда в асе (это конечно тупо)[ я личнок до 5 к собрал] или карты пособерать(только мало кто хчоет риссковать свободой своей) =)) вот тогда и впаривают трояны всем кому не трудно открыть окошко click there :)
     
  16. back0rifice

    back0rifice Active Member

    Joined:
    16 Mar 2006
    Messages:
    327
    Likes Received:
    106
    Reputations:
    19
    2 Elekt: полезно.
    2 Utilizator: сделай link'и на весь этот софт (будет куда веселее ;) ).
     
  17. St__one

    St__one Elder - Старейшина

    Joined:
    5 Jul 2006
    Messages:
    24
    Likes Received:
    6
    Reputations:
    6
    Пароль забыл сказать www.spynet.ru :mad:
     
  18. *SiM*

    *SiM* Banned

    Joined:
    1 Jun 2006
    Messages:
    4
    Likes Received:
    0
    Reputations:
    -1
    Статья для новичков, а так список прог хороший
     
  19. Розовый Кот

    Розовый Кот Elder - Старейшина

    Joined:
    3 Sep 2006
    Messages:
    37
    Likes Received:
    6
    Reputations:
    0


    Полный набор инструментов - это две руки и голова... А пользоваться готовой софтиной - сакс полный (мало ли, что можно написать, не всему же можно верить). Изучив PE - структуру того же xincha, можно обнаружить, что у него три секции, при чем с павильным подходом можно изменить сам PE так, что все три секции станут доступными для записи (включая код и данные..) А вот тут-то и открываются безмерные горизонты для любителей кодинга... Пиши - не хочу....
     
    1 person likes this.