• Поиск
  • Кодер HEX
  • Чекер proxy
  • CSRF/XSS форма

ЦИКЛЫ СТАТЕЙ:

  • 4. SHELL
  • 4.1. ANDROID SHELL
  • 4.2. WINDOWS. КОМАНДНАЯ СТРОКА
  • 4.3. LINUX. UNIX SHELL
  • 4.4. SHELL НЕ БЕЗ METASPLOIT
  • 4.5. WEB SHELL

РЕДАКТОР РЕСУРСОВ И HEX

Редактор ресурсов и hex редактор — это очень полезные программы, которые позволяют препарировать файлы с целью изменения их содержимого внешне или на бинарном уровне. Редактор ресурсов позволяет заменять тексты(локализация), ошибоки, иконки/картинки и описания в свойствах .exe файла. Нам же важны последние две возможности — замена/скачивание иконки и изменение информации в свойствах от редактора ресурсов для первой практики и hex редактор для второй.

ЦИКЛ СТАТЕЙ TROJAN

  1. НАСТРОЙКА DARKCOMET-RAT
  2. НЕДОКРИПТ SFX
  3. РЕДАКТОР РЕСУРСОВ
  4. КРИПТОВАНИЕ И ЧИСТКА СТАБА

РЕДАКТОР РЕСУРСОВ

ТЕОРИЯ

Ранее мы создали сервер DarkComet-RAT по этому руководству и теперь столкнулись с проблемой, что при простейшем анализе программы, зайдя в её свойства, файл полностью себя выдаёт строкой «Remote Service Application». Чтобы изменить это значение на любое другое я буду пользоваться бесплатной программой Resoure Hacker с официального сайта.

Сейчас уместно отступление к анализу вектора атаки, потому что это является важнейшей частью — продумать каждую мельчайшую деталь в уровне маскировки трояна от потенциальной жертвы. Нужно придумать за какую службу выдать свой троян, чтобы простой человек не стал закрывать процесс через Диспетчер задач. Так же нужно учитывать, что при открытии сервера потенциальная жертва может понять, что что-то пошло не так, если сервер кометы выставлять как установщик SkypeSetup.exe, а запустив он не увидит установку программы. Из этого следует, что сначала нужно выставить сервер кометы как службу от приложения, например, Skype Call Manager или Skype Browser Host, а затем склеить Skype Call Manager с оригинальным установщиком SkypeSetup.exe по данному руководству.

Итак, установив и запустив Resource Hacker, открываем любую интересную для нас программу в этом редакторе. Допустим это будет скаченный с официального сайта SkypeSetup.exe. Теперь бегло ознакомимся. Перед нами появятся в левой части окна программы все её ресурсы, которые можно изменять. Сразу стоит заметить, что при открытии SkypeSetup.exe в нижней строке состояния Resource Hacker будет выведено сообщение «Non-standard resource layout … the file is probably ‘compressed’.», и по этому все строки в левой части экрана будут выделены курсивом, а для редактирования ресурсов будут доступны только Icon, Version Info и Manifest. Видоизменять сам файл установщика Skype в данном руководстве никто не собирается, а вот вытянуть с него «официальную» информацию — конечно же да, потому что это самый лучший способ найти качественное изображение .ico для того, чтобы выдать свой файл за оригинальный.

ПРАКТИКА

Приступим к препарированию:

  1. Раскрываем список Icon, выбираем/ищем в списке из ресурсов иконку самого большего размера, и нажимаем на ресурс ПКМ — «Save .ico resource…». Выбираем имя и каталог для сохранения.

  2. Далее раскрываем список Version Info и открываем любой текстовый редактор, чтобы скопировать значение ресурса.

Мы получили файл такого содержания:

1 VERSIONINFO
FILEVERSION 7,37,66,103
PRODUCTVERSION 7,37,0,0
FILEOS 0x4
FILETYPE 0x1
{
BLOCK «StringFileInfo»
{
BLOCK «040904E4»
{
VALUE «CompanyName», «Skype Technologies S.A.»
VALUE «FileDescription», «Skype »
VALUE «FileVersion», «7.37.66.103»
VALUE «InternalName», «SkypeSetup.exe»
VALUE «LegalCopyright», «(c) Skype Technologies S.A.»
VALUE «OriginalFilename», «SkypeSetup.exe»
VALUE «ProductName», «Skype»
VALUE «ProductVersion», «7.37»
VALUE «BuildTime», «6/7/2017 11:17:15 AM»
}
}
BLOCK «VarFileInfo»
{
VALUE «Translation», 0x0409 0x04E4
}
}

Теперь меняем значения в текстовом редакторе:

  1. Для «FileDescription» вместо «Skype » пишем «Skype Call Manager»
  2. Для «InternalName» пишем SkypeCallManager.exe или свои идеи.
  3. Для «OriginalFilename» пишем SkypeCallManager.exe или своё.
  4. Для «BuildTime» нужно тоже постараться и сделать одинаковые даты скаченного вами SkypeSetup.exe и при создании сервера кометы.

Всё. Файл SkypeSetup.exe в Resource Hacker нам больше не нужен. Теперь открываем созданный сервер кометы:

  1. Раскрываем список Icon, нажимаем на первую строку списка ПКМ — «Replace Icon …». Выбираем иконку. Так как это служба, то иконка установщика будет не в тему — придётся поискать или нарисовать.
  2. Раскрываем список Version Info и копируем значение из текстового редактора в ресурс.

HEX РЕДАКТОР

ТЕОРИЯ

Данный метод расчитан на маскировку выдачи расширения файла в zip архиве с целью скрыть exe приложение не меняя его расширение в буквальном смысле.

ПРАКТИКА

  1. Берем exe приложение и просто архивируем его в zip.
  2. Открываем архив в HxD Hex Editor.
  3. Ищем (Ctrl+F) название архивируемого файла и меняем второе (нижнее) найденное значение расширения на jpg.
  4. Сохраняем, проверяем в архиве описание файла и расширение.

Готово! Осталось склеить и скрыть от антивируса по этому мануалу. Вырезанная картинка из SkypeSetup.exe как раз там пригодится. С практикой hex нужно файл заранее скрыть от антивируса по мануалу выше и уже потом скрыть расширение в архиве.

Теги:

Автор: