metodos de propagacion actuales 2014 (pedido)

Iniciado por FoxSoul, 15 Enero 2014, 21:02 PM

0 Miembros y 1 Visitante están viendo este tema.

FoxSoul

Hola grandes hackers!  Hace algunos meses empeze a estudiar por mi cuenta en mi tiempo libre ( que para bien o para mal ultimamente..es bastante xD ) todo lo que es este mundo de programacion y al poco tiempo me llamo mucho la atencion mas en concreto el mundo del maleware! Y es que me parece de los mas interesante como funcionan los gusanos y troyanos, sobretodo los de esta ultima generacion, y todo empezo sino me equivoco hace unos 25 años con el gusano de Morris, el cual despues de leer y analizar no me parecio tan complejo por eso me anime a seguir investigando pero la verdad los de ultima generacion si que parecen bastante mas complejos.

Bueno hace unos meses entonces empeze a programar aplicaciones sencillas, como un crypter que despues de retocar me quedo funcional y bastante indetectable. Pero ahora entrando al mundo de los gusanos ya se me complico un poco, hace unas cuantas semanas empeze a programar mi primer worm y como ya habia echo el crypter en VB6 bueno decidi probar hacer mi worm con este mismo lenguage.

Hace poco lei en este mismo foro ( lleno de grandes aportes!) la autopsia de un gusano bastante poderoso, entre otros nombres conocido como houdini-worm que parece que esta infectando a lo loco y ser muy complejo, sin embargo aca en menos de 24 horas lo destriparon todo xD  y es aca donde entra mi duda...

Como se llega a ese nivel? Como hacen esas maravillas (aunque un poco destructivas o molestas como este houdini) que son tan capacez, que el creador libera y el software solo se busca la vida y llega tan lejos como para que ahora estemos hablando de el por ejemplo.

Me gustaria saber como incorporar ese tipo de funciones a mi worm basico que solo se copia en algunas carpetas y descarga mi server y poco mas, ya que los tiempos de morris o iloveyou quedaron atras y la propagacion por msn,mail,lan,p2p ya no es efectiva ( lo que me molesta es que esto si ya lo puedo hacer y no me parece tan dificil xD ) Pero ahora estoy en windows 7 y mi worm no puede evolucionar....no les pongo el codigo por que es como dije antes de lo mas basico que hay.

Mi pregunta entonces es : que funciones le puedo agregar a mi worm ( o que deberia leer y estudiar para saber la respuesta) para poder propagarme de forma eficiente, como el houdini por ejemplo ( se que esconde los archivos del usb de manera que windows  no te los muestra y en su lugar genera accesos directos para infectar, bueno esto lo tengo claro y ya lo estoy estudiando a full..) pero bueno necesitaria una manito para avanzar mas rapido, necesito propagarme de forma mas masiva ( no hablo de millones tampoco xD ) pero algo que me de el control de la situacion, que modulos puedo implementar o como hacer....el objetivo principal es estar orgulloso de mi creacion por supuesto! Tambien cuento con Backtrack 5 r 3 que fue como empezo todo esto para mi xD Ya se que Vb6 no es el mejor lenguage pero tambien estoy seguro que igual se pueden hacer cosas muy interesantes con el todavía (por que mucho de lo que veo esta echo con VBS y es muy efectivo!)

Bueno ya escribi mucho xD Cualquier ayuda o debate me ayudaria, si alguien esta como yo y quiere aprender tambien no estaria mal formar un grupo para cubrir mas terreno, las ganas de aprender no me faltan y le dedico mucho tiempo pero eso no va a ser para siempre asi que por eso me urge lo de propagarme xD

Mi principal problema es que soy el unico de mi entorno que se interesa en este tema y no tengo a nadie que me ayude o siquiera que quiera desarrollar nada de nada, entonces todo lo tengo que hacer solo, buscar , ver tutoriales, leer articulos y manuales....

Desde ya gracias y felicidades por los aportes y por hacer de este uno de los foros de malweare mas inrteresantes con los que me tope! De nuevo cualquier ayuda orientacion o consejo va a ser mas que bien recivido! Me disculpo si lastime sus ojos con alguna falta de ortografia, suelo escribir mas en ingles y por eso hace años configure la correccion en ese idioma xD

Sin mas me despido y espero tener algunas respuestas!!!! =D

Mad Antrax

Los métodos que más me gustan son:

WebDownloader (para poder descargar y actualizar versiones de un mismo worm)
LAN Honeypot
P2P Spread (Ares, SoulSeek, etc...)
ZIP/RAR Spread
LAN Spread
Dropbox Spread
USB Spread

Con esas opciones ya tendrás un worm de alta propagación
No hago hacks/cheats para juegos Online.
Tampoco ayudo a nadie a realizar hacks/cheats para juegos Online.

FoxSoul

#2
Cita de: ||MadAntrax|| en 16 Enero 2014, 12:33 PM
Los métodos que más me gustan son:


LAN Honeypot

LAN Spread

USB Spread

Con esas opciones ya tendrás un worm de alta propagación

Gracias ||MadAntrax|| voy a ver como implementar estos tres ahora mismo estoy en ello! Estoy viendo como usar el metodo USB como el del tan popular Houdini worm , que esconde todos los archivos y hace accesos directos infectados en su lugar! Por que el que uso de momento lo copia con un autorun pero no me termina de convencer...
Y para la parte de Lan estoy viendo un codigo que pusiste vos que enumera los equipos en red y trata de infectarlos, les copia el regedit.exe! Estoy viendo como ponerlo en un modulo para que haga lo mismo pero se copie asi mismo, la idea es ponerlo en un modulo y que se copie a si mismo ahi.....=P

Aprobecho la oportunidad para decirte que no sos solo una fuente de buenos modulos xD pero tambien toda una fuente de inspiracion para mi! Admiro tu trabajo y cada dos por tres que encuentro algo interesante viene de vos! Asi que gracias por responder y voy a tener en cuenta estos metodos más ahora que vienen tan bien recomendados!!! Espero con ansias que termines tu proyecto que seguro es una obra de arte! =D Saludos y exitos!

Mad Antrax

#3
Vayamos por partes...

Últimamente se le está dando mucho bombo al gusano de houdini y creo que hay que detenerse un poco y analizar el motivo por el cual ese RAT (sí, es un troyano) tiene una alta tasa de propagación...

Los métodos de propagación del houdini son bastante básicos/normales/conocidos:


  • Sustitución de ficheros por accesos directos infectados
  • Propagación por USB

Entonces... como es posible que ese worm/RAT se propague tanto?... Pues la respuesta es que utiliza VBS. Actualmente cualquier aplicación EXE es fácilmente detectada por los AV's, el hecho que houdini utilice VBS hace que su detección sea algo más complicada, además que s epuede cifrar y FUDear muy fácilmente cualquier fichero VBS. Incluso se me ocurre la idea de crear un gusaon en VBS polimórfico (es decir, que cada copia del gusano sea diferente y cambie su estructura, manteniendo su funcionalidad). Hacer ese tipo de cosas en VBS es realmente sencillo, de ahí viene el éxito de su propagación.

Por ejemplo, el famoso LoveLetter estaba en VBS también, AnnaKournikova, Melissa (éste era DOC/macro, pero es casi lo mismo) son claros ejemplos.

Sobre tus consultas, el sistema de propagación LAN lo puedes desarrolar usando mi ejemplo de infección por WMI (el del regedit) y el sistema de propagación USB está muy explotado, lo mejor es que utilices un sistema sencillo y de programación casera. Así evitarás la heurística.

Saludos!!




EDIT

Vale, acabo de hacer una prueba rápida y sencilla. Es posible programar un módulo para hacer virus/troyanos/worms/downloaders polimórficos en VBS de forma rápida y sencilla. Voy a ver si puedo programar un ejemplo sencillo y lo publico en el foro...
No hago hacks/cheats para juegos Online.
Tampoco ayudo a nadie a realizar hacks/cheats para juegos Online.

x64core

Resumiendo lo que hoy en dia se hace es usar exploits.

MCKSys Argentina

Cita de: x64Core en 17 Enero 2014, 20:34 PM
Resumiendo lo que hoy en dia se hace es usar exploits.

Me parece que no es asi. El exploit sólo es útil para entrar en el PC. La propagación ya es otra cosa...

Personalmente, creo que lo que se usa hoy en día (en realidad, siempre ha sido usado) es 1 sola cosa: la ignorancia.

Saludos!
MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."


FoxSoul

Hola gracias por responder, aunque soy relativamente nuevo en esto yo no se si de verdad depende todo de exploits hoy en dia, a menos que estes en un proyecto del calibre de stuxnet  :-X

De echo es justamente eso lo que me llamo la atencion del Houdini! Que siendo un rat escrito en vbs con metodos de propagacion tan basicos llegara tan lejos, aunque gracias MadAntrax por aclararme que en vbs es mas dificil que los antivirus lo detectaran y fuddearlo! Yo pensaba que era todo lo contrario y que siempre era mejor un .exe bien modeado y conun manifiesto! Ahora mismo estoy haciendo las segundas pruebas con mi primer w0rm al que le di la funcion de propagarce como el houdini ( mas basica aun, tya que yo no se tomar todos esos archivos que estan en el USB y hacer los accesos directos, pero si pude hacer con exito que mi proyecto se copie en mi USB con un autorun y me infecte! Ahora mismo estoy haciendo las segundas pruebas, ya que por el entusiasmo de que funcionara se me olvido poner esta ultima funcion en un loop xD Asi que si justo no estaban los USB's metidos cuando hice la primer prueba dudo mucho que se aya copiado! Deseenme suerte xD Ya en la semana voy a ver como adapatar tu modulo MadAntrax para agregarle la propagacion por LAN! En mi ignorancia yo creo que con estos dos metodos ya tendria un gusano más que decente, ya que mi objetivo es equilibrar la propagacion con la propiedad de que pase desapercivido lo más posible...jeje Una vez agregue esa ya me meto de lleno en un script que haga lo mismo y sea polymorphico! Ya que decis que no es tan complicado hacerlo en este lenguage y sera menos detectado! Gracias MadAntrax!!!  ;D