Truva Atı nasıl yapılır? (detaylı anlatım)

#1029   2019-09-25 20:16 GMT        

Hepimiz onları tanıyoruz. Bilgisayarlarımızı rahatsız ediyorlar. Fakat virüsler nasıl üretilir?

Genel olarak, kötü amaçlı yazılım oluşturma hakkında konuşmak, siber güvenlik alanında nadirdir, çünkü durdurma konusunda kararlı olmadığınız sürece, kötü amaçlı yazılım geliştirmeyi bilmeniz için etik bir neden yoktur.

Yoksa öyle mi? Ne de olsa, bir bilgisayar korsanı elinde olanı sınıra zorlamaya çalışıyor. Bugün bir Truva atımız var. Biraz PoC ile nasıl yaptıklarını görelim.

Ama önce bazı önemli terimleri gözden geçirelim, o yüzden başlamadan kaybolmamalıyız.

terminoloji
Trojan: Zararsız bir program gibi görünen kötü amaçlı yazılım.

Modding: Kötü amaçlı yazılımın belirli bölümlerini tespit edilemez hale getirmek için değiştirin. İki tür vardır: önceden derlenmiş bir yürütülebilir dosyayı değiştirmeyi içeren ikili kodlama ve kaynak kodunu değiştirmeyi içeren modding kaynağı .

Modding, tespit edilemez hale getirmek için Truva atlarından antivirüs imzaları alıyor. Bir Trojan'da biz kötü amaçlı yazılım kısmını ve saplama kısmını (onunla birlikte seyahat eden şifreli kötü amaçlı yazılımın şifresini çözmekten sorumlu olan kısmı) sahibiz . 

Sonunda, bir müşteri ile Truva Atı'nı şifreleyeceğiz. Birçok şifre var ve en güncelleri kullanmak en iyisidir. Şifreleri www.indetectables.net veya www.underc0de.org gibi sayfalarda ve forumlarda bulabilirsiniz.

Tespit edilemeyen bir Truva atı elde ettiğinden beri, çok fazla deneme ve yanılma yapmanız gerekir, Truva'nın çalışıp çalışmadığını test etmek istediğinizde bir bilgisayarı enfekte etmek zaman kaybıdır. Bundan kaçınmak için ilk önce bir not defterinde şifrelenir (doğru şekilde çalıştırıldığında yalnızca metin içeren bir dosyayı kaydeden bir program) ve imzaları kaldırmayı bitirdikten sonra Truva Atı'nı şifreleriz. Bu işe yarıyor, çünkü imzaları kaldırdığımızda kötü amaçlı yazılımın kendisini değil, saplamayı değiştiriyoruz .

 

belirleme metodları
Hexing: antivirüsün hızla tespit ettiği en tipik imzaları kaldırmak için kullanılır. Manuel ve ağır bir yöntemdir ve kötü amaçlı yazılım konusunda deneyim gerektirir. Ancak, tespit edilemez hale getirmek için en güvenli yoldur.

AvFucker: Otomatik ve basit bir araçtır. Bir sunucu yaratır, şifreler, tararız ve antivirüs onu algılamadığında imzaları alırız.

Dsplit: AvFucker'ın tüm dosyaları virüslü olarak algılaması durumunda, bu programı AvFucker ile almadığımız imzaları kaldırmak için kullanırız (bu genellikle eski şifreleri kullanırken olur).

Alternatif Dsplit: Sadece önceki iki başarısız olursa onu kullanacağız. Ancak, daha güncel bir krize kullanmak en iyisidir.

Ofset işlevselliğe işlevsel değil: öncekileri geçtikten sonra hala alamıyorsak veya ofsetler temizse ancak onları kullanırken çalışmazsa kullanın.

Saplamayı değiştirin: İmzayı kaldırdığımızda, her kullanımda bu imzayı temizlemeyecek şekilde kırıcının saplamasını değiştirmeliyiz.

Bu terimler ve araçlar çok karmaşık görünebilir, ancak onları aşağıda PoC'da daha iyi anlayacaksınız .

Çalışmanız gereken her şey (kriperler hariç) Mooding Tools — MEGA PACK'ta bulunabilir. Sadece google ve indirin.

PoC: Truva atı adım adım
Bir Trojan, kurban bilgisayarına koyacağımız şey olan bir müşteriden (bizim bilgisayar dinlemede olacak) ve bir sunucudan oluşur. Onları yapılandırmak ve mağdurla ekibimiz arasında bir iletişim kurmak için CyberGate programını kullanacağız . 

İlk adım, kendi kendine bulaştırmak, gerçekte neyin işe yaradığını bulmaktır. Bu yüzden kurbanın işletim sistemiyle sanal bir makine kullanmalıyız. Bu PoC için Windows 7'ye virüs bulaştırmak istiyorum gibi davranacağım .

Biz açmak Cybergate, yeni bir sunucu oluşturmak ve koyun localhost'u biz başlamak kendimizi bulaştırmak istiyorum, çünkü DNS (127.0.0.0.1) içinde. Rastgele bir port seçiyoruz. Ortak bir liman olmaması önemlidir. Örneğin, 9876 yapacak.

Bu programda yapmamız gereken bazı ayarlar var. Kalıcılığı aktif hale getirip HKEY'yi seçerek, bir arka kapı oluşturuyoruz ve kurbanımız her bağlandığında onu görebiliriz.

" Mesaj " bölümünde, Truva Atı çalıştığında bir mesaj gösterebiliriz. Bu sadece test amaçlı yapılmalıdır, çünkü ilginç olan, mağdurun Truva atı olduğunu farketmemesidir. Mağdurun yazdığı her şeyi görmek için “ Keylogger ” ı da aktive edebiliriz .

Sunucu oluşturulduktan sonra (verdiğimiz adla bir.exe oluşturacağız, benim durumumda server-copia.exe) yönlendiriciye gidip 9876 (ya da daha önce seçtiğiniz) portunu açmalıyız . 

Şu anda onu kurbanın bilgisayarına koyarsak, çoğu virüsten koruma yazılımı onu algılar. Bunu, virüs taraması yapan bir sayfa ile kontrol edebiliriz. Önemli: Bunu virüslü olarak yapmayın, çünkü bu sayfa kötü amaçlı yazılım bulma durumunda antivirüslerle iletişim kuracaktır (ve onlara virüs ekleyerek imza ekleyecektir).

şimdi dosyayı şifreleyelim. Güvenlik forumlarında bazı crypter konularına göz atacağız, çok eski olmayan birini seçin ve şifreleyin. Tekrar çalıştıracağız, onları tespit eden anti-virüs sayısının düştüğünü kontrol edin.

Gördüğümüz gibi, crypter sadece virüsümüzü birer birer tespit eden antivirüs sayısını azalttı. Hala yeterli değil. Bu oluyor Hexing zaman. Onaltılık bir düzenleyici açıyoruz (ne olursa olsun, IDA, Hex Editor, Hex Workshop… herhangi biri olabilir) ve herhangi bir izlemeyi silmeye devam ediyoruz. Silmek için değerleri 0 olarak değiştiriyoruz. Hangi değerleri silmek için? kesin tarifi yoktur, biz ipuçları her türlü silmelisiniz böyle, “MSVBVMM60.DLL” vb “bu program DOS modunda çalıştırılamaz” olarak 

Fikir yavaş yavaş kaldırmak ve Truva'nın hala çalışıp çalışmadığını kontrol etmektir. Ancak, bu görev yeterince sıkıcı olduğu için, her denemekte virüs bulaştırmak yerine yer imleri kullanıyorsak, onu hızlandırabiliriz. Yer imini şifreleyin ve Truva'da değil üzerinde onaltılı olarak işaretleyin. Kaç tane virüsten koruma programı tarafından algılandığını kontrol edin. Ve tekrar et. Yer imi kilitlenirse, sahip olmamanız gereken bir şeyi sildiniz, önceki sürüme geri dönün ve başka bir şey deneyin. Ve tekrar et. Sabrınız limit.

Bu işlemden sonra, truva atımızı tespit eden antivirüs sayısı 10'a yükseldi :

Siguen siendo demasiados antivirüs. Utilizaremos AvFucker para eliminar las firmas quedan.

Hala çok fazla antivirüs var. Kalan imzaları kaldırmak için AvFucker'ı kullanacağız.

Genel olarak konuşursak, AvFucker binlerce çok küçük (bayt düzeyinde) varyasyon yaratarak yürütülebilir dosyayı değiştirir, farklı ofsetlerde binlerce çalıştırılabilir dosya oluşturabilir. Yapmamız gereken, baytları 1.000'den 1.000'e değiştirerek AvFucker'ı başlatmak. Takım, Son Ofseti tespit eder (ilk olan 1.000). Yapacağı şey, antivirüs dosyalarındaki imzalarla eşleşmemesi için her şeyi 90 (veya ne seçersek seçelim) ile doldurmaktır.

Avast veya tarama ofsetlerinin hizmetini sunan herhangi bir virüsten koruma yazılımı indirip virüslü olanları sileriz. Bu şekilde, yalnızca virüs gibi görünmeyecek şekilde dönüştürülmüş ofsetleri olan çalıştırılabilirler kalacaktır. Bu durumda 6.000 ila 7.000 arasındaki offsetler ve 9.000 ila 10.000 arasındaki offsetler kaldı.

Yine AvFucker kullanıyoruz, ancak şimdi 1000'den 437.760'a kadar ofset yapmak yerine, 6.000'den 10.000'e kadar ofset gidiyoruz ve 1000 bayttan 1000 bayta gitmek yerine, 100'den 100 bayta gidiyoruz. Ofsetleri oluşturur, avast'ı geçer ve virüslü olanları kaldırırız. Kalan aralık, 1'de 1 ile tekrarlıyoruz. Ve son olarak, kalan çalıştırma işlemlerinde avast imzasız ücretsiz fonksiyonel ofset var. 

Ofsetlerin değiştirilmesinin programı değiştirmiş olması ve düzgün bir şekilde yürütmemesi mümkündür. Bu yüzden onlardan biri koşana kadar denemeye devam etmeliyiz ve zaten tüm antivirüslerden kaçan fonksiyonel bir dengeye sahip bir Trojanımız olacak (bir tanesi hariç, Panda bana direndi):

Bu yazının başlangıcında tartışılan daha fazla altıgenleştirmeyle veya bazı yöntemlerle devam edebiliriz, ancak bu ilk kötü amaçlı yazılım PoC için bunun yeterli olacağını düşünüyorum.

 

Şimdi sadece çalıştırılabilir dosyayı, genellikle sosyal mühendislikle yapılan kurbanın bilgisayarına sokmamız gerekiyor ve kurban çalıştırdığında, uzaktaki bir masaüstü, bir keylogger, kullanıcılar ve şifreler de dahil olmak üzere kurbanın bilgilerini alacağız …

Son olarak, size bu bilgiyi kötü amaçlarla kullanmanın yasadışı olmaktan daha kötü olduğunu hatırlatırım:

 


Bu mesaj MrX tarafından 2019-09-25 21:28 GMT, 20 Gün önce düzenlendi.