Liquid backdoor - coś mocniejszego niż proponuje konkurencja

[devstrikeu]

Małe podsumowanie na koniec lipca

Chiałbym być pierwszy co zainwestuje w softa i kilka wtyczek, bo to zawsze jakaś inwestycja będzie.

W wersji 1.0 (tej planowanej na poczatek 2012) wszystko bedzie póki co wbudowane. Trojan bedzie cenowo kosztował 100 do 200zł co jest dość duża cena, osoby które go kupią będą mogły zawsze otrzymać odemnie darmowe aktualizacje (poprawiajace bledy, zmiejszajace wykrywalność!), także będą posiadały 50% na druga wersje trojana, wiec sądze że to dobry układ. Myślę też że jesli chce ktoś kupić taniej to mogę zrobić pre-order z duża znizka, bo na piwo się przyda

Jeszcze apropo wczesniejszych propozycji, następujące funkcje zostana dodane:
* pobieranie zrzutów z kamery internetowej
* obsługa schowka systemowego
* dodatkowe komendy w wierszu polecen (upload, download, pack, unpack)

Ogółem trojan jest gotowy w 10%-tach, funkcje takie jak:
* przeglądarka plików
* wysyłanie komunikatów
* zdalny pulpit
--- są już gotowe w dużym stopniu.

Poniżej zamieszczam dwa zrzuty pokazujące (już nie makiety) jak to wygląda na dzień dzisiejszy.





Myślę że dość że zawsze pod koniec miesiąca mogę napisać co tam ciekawego u mnie słychać

 

[D.F.]

Widzę na zrzutach ekranu, że program po angielsku. Planujesz projekt na skalę międzynarodową? Pamiętam Twoje dawne projekty, chociaż w Delphi, zawsze były na wysokim poziomie.

Pozdrawiam i życzę powodzenia w tworzeniu.

 

[devstrikeu]

Zazwyczaj przy pisaniu aplikacji wielojezycznych używa się standardowo szablonu angielskiego na podstawie którego wprowadze się tłumaczenia na różne języki - narazie nie integrowałem żadnego systemu tłumaczenia, może to zrobię jak wszystkie funkcje skończe i bedę umierał z nudów Sam program i strona jest po angielsku wiec w pewnym stopniu otwieram się na inne kraje.

Apropo projektów w delphi to czy ja wiem czy były aż na tak dużym poziomie Raczej to był jakis "allin" w kodzie nawet trzymałem porządek ale teraz to się łapie za głowe jak to widze hehe, wkońcu te projekty były z lat 2004/2005 i pisałem je niedługo po wyjściu z piaskownicy.

Dzięki bardzo Myślę że wyjdzie niezły kawałek softu.
Pozdro

 

[hayden268]

Ciekawie się zapowiada. Życzę udanej pracy.

 

[josephk]

Tak sobie to czytam.... I ciągle umyka mi jedno: nie potrafię zrozumieć dlaczego wszyscy się tak spuszczają nad tym, żeby syf miał tyle funkcji, żeby można się czuć jak przed kompem ofiary, nie potrafię zrozumieć dlaczego wszyscy taki nacisk kładą na to, żeby nie było widać syfa na liście procesów czy żeby pominąć UAC.

Bo na co komu syf, który ma wszystkie wodotryski (a propos których powiem że 2005 roku pisaliśmy syfy które miały wszystkie wymienione funkcje poza zdarzeniami z klawiatury typu backspace), jest niewidoczny, ********* i w ogóle..... ale NIE BĘDZIE DZIAŁAŁ W WIĘKSZOŚCI PRZYPADKÓW???

Bo ja może nie doczytałem - ale jak niby chcecie omijać FW w tym nowym turbo-syfie ?

Główną zaletą dobrego syfa jest to, że będzie działał w ogóle Albo inaczej - że będzie z nim kontakt z zewnątrz
Skupcie się najpierw na tym by działał jako taki, funkcjonalności są najmniej ważne jak już się ma dostęp

 

[devstrikeu]

Tak sobie to czytam.... I ciągle umyka mi jedno: nie potrafię zrozumieć dlaczego wszyscy się tak spuszczają nad tym, żeby syf miał tyle funkcji, żeby można się czuć jak przed kompem ofiary, nie potrafię zrozumieć dlaczego wszyscy taki nacisk kładą na to, żeby nie było widać syfa na liście procesów czy żeby pominąć UAC.

Bo na co komu syf, który ma wszystkie wodotryski (a propos których powiem że 2005 roku pisaliśmy syfy które miały wszystkie wymienione funkcje poza zdarzeniami z klawiatury typu backspace), jest niewidoczny, ********* i w ogóle..... ale NIE BĘDZIE DZIAŁAŁ W WIĘKSZOŚCI PRZYPADKÓW???

Bo ja może nie doczytałem - ale jak niby chcecie omijać FW w tym nowym turbo-syfie ?

Główną zaletą dobrego syfa jest to, że będzie działał w ogóle Albo inaczej - że będzie z nim kontakt z zewnątrz
Skupcie się najpierw na tym by działał jako taki, funkcjonalności są najmniej ważne jak już się ma dostęp

Ładna generalizacja, zgodzę się z tobą apropo podstawowej funkcjonalności i to że ma działać. Przerost formy nad treścią też mnie denerwuje ale staram się wszystko zaimplementować w sensowny sposób - jeśli już tu widzisz już nadmiar funkcji. Staram się też zrobić program który będzie bardzo łatwy w obsłudze i intuicyjny ponieważ mam dla niego dalsze plany niż tylko trojan. Rozumiem że są tu osoby o dość dużej wiedzy i gratuluje Ci że w 2005 pisałeś oprogramowanie na dużym poziomie.

 

[josephk]

Ładne i miłe odbicie piłeczki... lecz gdzie odpowiedź na postawione pytanie? (lub może nie postawione wprost): cóż takiego mocniejszego jest w tym akurat oprogramowaniu? (to było pytanie zadane pośrednio) i jak on zamierza omijać FW ofiary by się łączyć ze światem, skoro już zakładamy, że ma on spełniać swą funkcję? (a to wprost), gdyż jedynie coś co by uniwersalnie standardowo omijało takowe zabezpieczenia moim zdaniem można uznać za "coś mocniejszego"

 

[devstrikeu]

Ładne i miłe odbicie piłeczki... lecz gdzie odpowiedź na postawione pytanie? (lub może nie postawione wprost): cóż takiego mocniejszego jest w tym akurat oprogramowaniu?

Aspekty techniczne warte uwagi:
* Multiplatformowa aplikacja klienta (serwer w dalszej przyszłości)
* Wystarczy włączyć aplikacje wszystkie komputery podłączą sie do hosta automatycznie
* Wbudowany support dla DynDNSa w ramach zeroconf
* Szyfrowanie połączeń techniką SSL
* Zintegrowany silnik webkit
* Pobieranie są realizowane w tle

Jak wcześniej mówiłem nacisk jest kładziony na łatwość i przejrzystość oprogramowania. Integracja systemów wyszukiwania treści, reprezentacja logów w formie html, historie zdarzeń to wszystko ma wpłynać na dużą jakość produktu. Projekt cały czas się rozwija, więc wiele się jeszcze zmieni.

jak on zamierza omijać FW ofiary by się łączyć ze światem

Reverse connection jest zazwyczaj pobłażliwe odbierane przez FW.

gdyż jedynie coś co by uniwersalnie standardowo omijało takowe zabezpieczenia moim zdaniem można uznać za "coś mocniejszego"

W takim razie przeprzaszam za to całe nie porozumienie. Napisałem liste aspektów technicznych które wg mnie wpływają na jakość oprogramowania, niestety nie mam żadnych dodatkowych technik ukrywania oprogramowania czy oszukiwania dodatkowych zabezpieczeń.

 

[corpseRott]

Z góry rzecze, wygląda to słodko :3 Ale mam 3 pytanka:

1. Podana strona wygląda trochę jak stronka komercyjnego produktu, czy zamierzasz pobierać opłaty za liquidbackdoor, czy wydasz go w formie freeware, jeśli freeware jaka dokładnie będzie dostępność, oby tylko produkt nie stał się za szybko wykrywalny przez większość oprogramowania

2. Jak to się będzie prezentowało w wypadku zmiany IP przez programy typu TOR czy Proxifier.

3. Napisałeś że serwer będzie tylko funkcjonował pod systemem Windowsowskim, ale na screenach które podałeś na swojej stronie widnieje jak byk w managerze plików /dev /etc /root, czy planujesz również wydać w przyszłości serwer tego trojana na unixa?

dodoxx6 zadał pytanie w kwestii lokalizacji kursora na ekranie, jak dobrze zrozumiałem w sytuacjach typu:

*wpisywane jest hasło
*użytkownik wpisuję część hasła, po czym uzupełnia braki w literach/cyfrach klikając na bezpośrednie luki w tekście.

Zamiast dynamicznej lokalizacji możnaby po prostu lokalizować miejsce na ekranie na podstawie rozdzielczości i położenia kursora i wymusić print screen przy każdym kliknięciu, po czym screen leciałby na jakiś serwer, a program zwyczajnie podawałby odnośniki do tych zdjęć w opcji keyloggera.


P.S - chyba też będe mógł pomóc w testowaniu, zależy jak wypadnie mi sesja.

 

[devstrikeu]

Pewne pytania były już poruszane ale nie zaszkodzi odpowiedzieć na nie jeszcze raz

1. Podana strona wygląda trochę jak stronka komercyjnego produktu, czy zamierzasz pobierać opłaty za liquidbackdoor, czy wydasz go w formie freeware, jeśli freeware jaka dokładnie będzie dostępność, oby tylko produkt nie stał się za szybko wykrywalny przez większość oprogramowania

Płatny.

2. Jak to się będzie prezentowało w wypadku zmiany IP przez programy typu TOR czy Proxifier.

Przy reverse connection trzeba z góry definiować host docelowy, jest obsługia dyndns dzięki czemu zawsze można wskazać (nawet) ręczne na jaki IP ma przychodzić połączenie. W efekcie nie powinno być problemu jesli te sieci przyjmują połączenia z zewnątrz. Jeśli ma Pan jakieś doświadczenie w tej kwesji to mógłby Pan nawet przetestować pod tym kątem

3. Napisałeś że serwer będzie tylko funkcjonował pod systemem Windowsowskim, ale na screenach które podałeś na swojej stronie widnieje jak byk w managerze plików /dev /etc /root, czy planujesz również wydać w przyszłości serwer tego trojana na unixa?

Serwer jest aktualnie tylko pod systemy windows. Klient na Linuksa, Maca oraz Windowsa - z tąd po lewej stronie managera widać katalogi uniksowe - prezentowana wersja jest wersją Linuksową.

dodoxx6 zadał pytanie w kwestii lokalizacji kursora na ekranie, jak dobrze zrozumiałem w sytuacjach typu:

*wpisywane jest hasło
*użytkownik wpisuję część hasła, po czym uzupełnia braki w literach/cyfrach klikając na bezpośrednie luki w tekście.

Zamiast dynamicznej lokalizacji możnaby po prostu lokalizować miejsce na ekranie na podstawie rozdzielczości i położenia kursora i wymusić print screen przy każdym kliknięciu, po czym screen leciałby na jakiś serwer, a program zwyczajnie podawałby odnośniki do tych zdjęć w opcji keyloggera.

Powiedzmy sobie szczerze keylogger bez tej opcji gwarantuje 100% przechwycenie haseł. A bawienie się w jakiś nadto intuicyjne oprogramowanie źle wpływa na jakość kodu.

 

[Dark Smark]

Powiedzmy sobie szczerze keylogger bez tej opcji gwarantuje 100% przechwycenie haseł. A bawienie się w jakiś nadto intuicyjne oprogramowanie źle wpływa na jakość kodu.

Nie do końca, wiele osób nie wpisuje całego hasła surowo, tylko robi to odpowiednią sekwencją zmieniając pozycje kursora za pomocą strzałek i uzupełniając znaki hasła. Poza tym warto by było dodać monitoring schowka systemowego pod kątem tekstu.

 

[devstrikeu]

Nie do końca, wiele osób nie wpisuje całego hasła surowo, tylko robi to odpowiednią sekwencją zmieniając pozycje kursora za pomocą strzałek i uzupełniając znaki hasła.

* Zdarzenie takie jak strzałki/backspace czy inne są logowane lecz standardowo odfiltrowane przez podgląd.
* Zdarzenia takie jak klikniecia myszą także są logowane (odfiltrowynane przez podgląd) ale nie bedą interpretowane pod ew.-ą korektę względem wpisywanego hasła.

Krótko mówiac można spokojnie mieć wgląd w logi i samemu dojść jakie jest hasło. - co w 90% nie jest koniecznie.

Poza tym warto by było dodać monitoring schowka systemowego pod kątem tekstu.

Monitoring schowka systemowego już jest zaimplementowany w keyloggerze.

 

[randall.lex]

liczę, że nie będzie gryzł się pomiędzy systemami XP->Vista->w7
działanie w oparciu o klienta - wysyłamy plik z rozszerzeniem .exe ?

 

[devstrikeu]

liczę, że nie będzie gryzł się pomiędzy systemami XP->Vista->w7

Nie będzie się gryzł

działanie w oparciu o klienta - wysyłamy plik z rozszerzeniem .exe ?

Serwer programu należy wysłać na komputer który ma być udostępniony. Można potestować z jakimś innym oprogramowaniem tego typu.

 

[randall.lex]

Nie będzie się gryzł


Serwer programu należy wysłać na komputer który ma być udostępniony. Można potestować z jakimś innym oprogramowaniem tego typu.

ok, kolejne pytanie laika, przyszłego użytkownika

1. jaki jest przewidywalny rozmiar pliku, który będę musiał wysłać.
2. czy będzie to plik z rozszerzeniem .exe, czy będzie ewentualnie możliwość zmiany nazwy na jpg. chyba, że oferujesz nowatorskie rozwiązanie jest to o tyle istotne, że na .exe już nikt nie łapie się, a jakby nie patrzeć, ktoś musi przesłany plik "odpalić" ?

 

[devstrikeu]

1. jaki jest przewidywalny rozmiar pliku, który będę musiał wysłać.

około 300~400kb (spakowany programem upx) uważam że jest to przyzwoita waga, oczywiście minimalista i tak jakiś się by przyczepił ale gdy już będę miał w 100% gotowy serwer popracuje nad zmniejszeniem objetości.

2. czy będzie to plik z rozszerzeniem .exe, czy będzie ewentualnie możliwość zmiany nazwy na jpg. chyba, że oferujesz nowatorskie rozwiązanie jest to o tyle istotne, że na .exe już nikt nie łapie się, a jakby nie patrzeć, ktoś musi przesłany plik "odpalić" ?

Ponieważ temat nie był poruszany dopiszę parę słów od siebie dla ogólnej informacji.

Rozszerzenie exe musi zostać. Inne rozszerzenia nie są kojarzone z plikami wykonywalnymi (przynajmniej na platformie Windows, nie liczac com, scr). Jeśli już ktoś się zna na lukach systemu to może próbować coś na własną rękę, bo wciskanie złośliwego kodu w kontenery takie jak avi/jpeg czy jeszcze inne to wyzwanie które wiąże się z wersją systemu, aktualizacjami, oprogramowania, podatnościa tego oprogramowania. Pomimo że staram się aby wszystko było dość proste, piszę oprogramowanie które jest jedynie zabawką dla hakera i należy je tak postrzegać, programy typu "ultimate hack tool" nigdy nie istniały i nie będą.

 

[randall.lex]

jeśli chodzi o rozszerzenie, duża strata.
dawno temu, przez kilka miesięcy skutecznie korzystałem z GGT 2.2.- 2.3
konfigurując plik do wysyłki można było wybrać opcję rozszerzenia i w takiej opcji zapisać, wybierając przykładowo jpg pojawiała się nawet ikona JotPeGa.
devstrikeu zadaj sobie pytanie: "Czy otworzyłbyś plik z rozszerzeniem .exe, gdybyś takowy otrzymał na skrzynkę ?"

"Liquid backdoor - coś mocniejszego niż proponuje konkurencja" - prosta funkcjonalność, dopracowane detale i to czego potrzebują użytkownicy, a Liquid będzie mercedesem wśród oprogramowania.

 

[devstrikeu]

Nie jestem pewny czy się do końca rozumiemy. Bo prawdopodobnie GGT po prostu oszukuje że serwer jest plikiem jpg, czyli ma ikone pliku jpg oraz ewentualnie nazwe przyklad.jpg.exe i potrafi rozpakowac dołączony obrazek z zasobów. A funkcje która ma GGT wbudowana zwiemy binderem Najlepiej jak wyśle mi Pan spakowany (na haslo, bo gmail odrzuci załacznik) serwer tego trojana na maila, może ja się mylę.

 

[Messari]

najlepsza metoda , to podrzucenie komuś bezpośrednio na kompa/lampka np.znajomemu/dziewczynie . Nie mogę się doczekać kiedy będę mógł to przetestować ) do ekipy testujacej juz sie zglosilem .

 

[djmentos]

działanie w oparciu o klienta - wysyłamy plik z rozszerzeniem .exe ?

Zapoznaj się chłopcze najpierw z pojęciem "Jak działa Windows". Jeśli coś jest programem, to tylko uruchomi się jeżeli ma końcówkę exe (lub inna wykonywalną). Ikone se możesz zmienić, ale nadal rozszerzenie .exe pozostaje. Oczywiście są błędy w oprogramowaniu. Chociazby np. w Adobe Reader.

Czy otworzyłbyś plik z rozszerzeniem .exe, gdybyś takowy otrzymał na skrzynkę ?

Uwierz mi, że wciąż są takie osoby. Kwestia wmówienia jej pewnych rzeczy.

Dostarczenie wirusa to nie problem autora. On daje produkt. Jak go wcisnąć -> Twój problem. Wachlarz masz cały do wyboru.