Projekt trojana

[sinis]

Myślę, że moglibyśmy się pobawić w demokratyczne wybory projektu trojana, z wprowadzeniem ewentualnych udoskonaleń.

Moja propozycja wygląda tak:
Klient będzie napisany w Delphi (nie znam specjalnie owego języka ;p), serwer w C++. Klient będzie konfigurował nowy serwer (port, hasło, ścieżka instalacji, konfiguracja zapisana na końcu pliku serwera). Serwer po uruchomieniu sprawdza czy został poprawnie skonfigurowany, potem sprawdza czy jest już zainstalowany, jeśli nie instaluje się (klucz Run jako autostart) i uruchamia ową instalację, inaczej rusza w tryb trojana. Połączenie klient-serwer oparte na TCP/IP.
Do swojego trojana dorzuciłem opcję "podpięcia" cmd pod netcata i nasłuch na danym porce. Swego rodzaju quasi-ssh. Można by o czymś takim pomyśleć.
Można też zainteresować się dodaniem wpisu serwera jako zaufanego programu w firewallu xp'kowym. Na koncie z ograniczeniami niespecjalnie chce to działać. Dodatkowo blokowanie antywira - nie miałem okazji testować.

Co do autostartu z klucza Run, to lepsze AVy od razu to wykryją. Bardziej dyskretnym miejscem jest %userprofile%\Menu Start\Programy\Autostart. Zwykle tam nikt nie zagląda (co nie znaczy, że nie zajrzy).

 

[thc_flow]

No więc tak, żeby był jak najmniej wykrywalny proponuję zmienić tryb startu na utworzenie usługi w systemie windows, po dodaniu jakiejś bajecznej nazwy nikt tego nie ruszy, oczywiście wadą będzie ograniczenie pola manewru do Win NT i nowszych. Najprościej to zrobić za pomocą SRVANY i INSTSRV - z resource kit MSa. Jak ktoś by to chciał to proszę o PW.
Drugą opcją jest zamiast netcata zkodzenie własnego telneta (W delphi najlepsze do tego jest INDY, w C++ więcej zabawy) Zabijanie AV mija się z celem, trzeba by je całkowicie unieruchomić bądź dodać do listy wyjątków, co przy obecnej ich ilości i różnorodności jest praktycznie niewykonalne...Trzecia rzecz, serwer można zrobić jako dwa moduły, pierwszy exe, nieszkodliwy injectuje tylko DLLke z serwerem do jakiegoś procesu systemowego, ta metoda umożliwia oszukanie firewalli i AV.

 

[chudy1993]

Zamiast komunikacji za pomocą TCP/IP dałbym komunikację za pomocą jakiegoś komunikatora lub FTP, żeby ominąć NAT. Co do autostartu, to dodajmy go do kilku miejsc, żeby miał większe szanse przetrwania.

 

[thc_flow]

Dodanie do kilku miejsc tylko zrobi niepotrzebny syf i wyraźnie zwolni start kompa. "Sterowanie" o ile tak można to nazwać, przez FTP to tragedia, komunikator już lepszy (najlepiej na protokole GG, IRC bądź XMPP)

BTW w kwestii sprostowania: FTP i 3/4 komunikatorów opiera się na TCP/IP, reszta na UDP/IP

 

[sinis]

@THC_FLOW, rozumiem, że poradzisz sobie z dodawaniem usług?

Dla mnie to jest nowe rozwiązanie (wstyd... ;P). WinAPI znam na tyle, żeby "przetrwać". O injekcji dll poczytam, żebym wiedział co jest grane. Poza tym to Twoja propozycja wydaje mi się całkiem dobra.

Co do komunikacji... Nie widzi mi się to na podstawie protokołu GG. Prędzej Jabber. Jeżeli źle mówię to mnie poprawcie: komunikacja wyglądałaby tak, że serwer trojana łączy się z serwerem jabbera, określa się jako "dostępny". Klient podłącza się do serwer jabbera i wszystko działa na takiej zasadzie, że polecenia lecą drogą klient-serwer Jabbera-serwer trojana.

 

[thc_flow]

XMPP to ulepszona wersja Jabbera (działa na niej np Google Talk), a jeśli chodzi o usługi to jak narazie znam tylko metodę dodania programu jako usługę przez wymieniony program INSTSRV ale możliwe że jeszcze coś wyczaję..w końcu jakoś Apache i inne programy mają taką możliwość

//EDIT: No i coś znalazłem: MSDN / Po polskiemu

 

[sinis]

Spore to. Zjem coś i "przetworzę" owy tekst.

// Edit
Szczerze mówiąć, angielską się lepiej czyta ;P

 

[thc_flow]

Tylko nie pomyl jedzenia z tekstem bo niestrawność gotowa

A tak przy okazji przydało by się już polyśleć nad jakimś SVN...

 

[adikx]

Widzę ,że rozmawiacie tu głównie o serwerze. Mogę wam podsunąć 1 ciekawą rzecz. Można by zrobić mały downloader z wtyczkami. Dzięki temu będzie można łatwo dodać nowe funkcje. Oczywiście takie pluginy były by w dllkach.

 

[djmentos]

Do komunikacji XMPP mógłby być. Nawet powinien.

Co do AV kiedyś postawiłem sobie taki pomysł (nigdy nie zrealizowałem) - VPS - Virus Protection System - program, który ma w zasobach zakodowany wirus, najpierw wywala z rejestru większość wpisów Antywirusów (tego one się nie czepiają) robi rebot i po restarcie dopiero rozkodowuje wirusa i go uruchamia. Wtedy nic go nie widzi.

 

[thc_flow]

Wydaje mi się że 3/4 osób coś rozkmini jak zobaczy że AV nie działa..moim zdaniem inject lepszy. Chociaż oczywiście mogę się mylić

 

[Gondoller]

Zależne to jest od docelowej grupy ofiar

Ale zakładając, że mówi się o "wszystkich" to ja bym proponował w miarę możliwości stworzenie dwóch wersji - jak już zajmuje się tym team to myślę, że bardzo to was nie obciąży a wyjdą dwa "różne" trojany - wiecie co mam na myśli?

 

[adikx]

Inject dllki niestety jest wykrywalny jako próba przejęcia kontroli nad programem przynajmniej przez kasperka.

 

[maly3900]

Wszystko fajnie, ale...
@Mentos , VPS - będzie to nieco dziwne, jak wiesz... aplikacja jest, odpalasz - system robi rebot'a - i nagle AV nie bd działać.

Dll Injection - już jest przez "kolosy" wykrywane, właśnie jako przejęcie kontroli (jak napisał Adikx). Więc raczej tenże pomysł też odpada.
Póki co uważam że najlepszym rozwiązaniem, jest rozwiązanie THC (znów to napisze - mniam ;D) - dodać program jako usługę.

Dodam też od siebie że można by pokombinować z protokołem.. np: Tlen. Jest on cholernie Jabberowaty - i byłaby to innowacja.

Co sądzicie?

Nie wspominając o takich mankamentach (małej wagi) : zakodowanie tekstu (np. przy konfiguracji

)

 

[Gondoller]

Co do AV itd. - może da się zrobić tak, żeby soft antywirusowy nie potrafił go zidentyfikować? Ja sobie kiedyś ubzdurałem, że powinno się dać zmienić jakiśtam plik antyvirusa żeby nie był w stanie zrobić updatea albo coś w ten deseń. No chyba że moje kminienie zblizy pomysł do rootkita albo jest bezsensowne ^^


A co do dodawania jako usługę - wtedy AV na serio się nie czepi? Nie znajdzie znanych mu kawałków kodu?

 

[sinis]

I jeszcze jedno: Czy usługa będzie mogła się zainstalować w trybie zwykłego użytkownika? Większość userów jeszcze ma XP'ka z domyślnym adminem, ale jakby tak się Vista trafiła? Jako tako pilnuje praw dostępu.

 

[Gondoller]

Właśnie.. im większa cyferka w dacie tym gorzej w sumie ^^ kiedyś było łatwo - 98 i NT

a teraz kombinuj człowieku z Vistą...

To jest w ogóle możliwe w tej chwili? Żeby obejść admina na Viście?


PS
Tak w ogóle to zgłaszam się jako osoba mogąca potestować troja jak powstanie czy też w trakcie ^^

 

[thc_flow]

Chcesz testować? odważny jesteś ;P a tak poza tym to mam gdzieś triala Visty to zobacze na nim jak to będzie działało..wydaje mi się że jednak zdalne wklejenie DLLki wywołuje monit programu do którego się podpina o przydzielenie praw..ale to da się obejść odpowiednim manifestem;P

 

[Gondoller]

odważny.. ja mam w domu 4 kompy z czego 2 można przepiąć do osobnej sieci ^^ i kolejnego kupuje ^^

 

[sinis]

ale to da się obejść odpowiednim manifestem;P[/b]

Jak działa owy manifest? Niespecjalnie zgłębiałem się w Vistę.