Hacer patch.exe indetectable

Iniciado por Noporfavor, Octubre 04, 2016, 02:34:03 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Octubre 04, 2016, 02:34:03 PM Ultima modificación: Octubre 04, 2016, 02:44:47 PM por Gabriela
Hola,
En el NetBus 1.7 esta el patch.exe.
Aqui les dejo el analisis por los antivirus: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Hay gente que lograron hacerlo indetectable por muchos antivirus. Pero como?
Camuflandolo con una imagen? Usando Crypters y Binders?

Como lo puedo hacer yo?

Gracias y saludos

Buenas,

Camuflando el Server con una imagen o cambiando un icono no lograrás dejarlo FUD (indetectable), lo que tendrás que hacer es utilizar Crypters ya sean públicos o privados.

Si utilizas un Crypter público es posible que en unos días comience a ser detectado por lo que se recomienda aprender a moddear uno por ti mismo. En el Foro tienes mucha información al respecto.

Un saludo

Hola Stiuvert,

he probado Crypter FUD y solo lo detectan 15 antivirus el patch.exe. El problema es que al abrir el patch.exe encriptado me larga un error. El error es algo grande por eso si quieres puedes probarlo tu. Me acuerdo que el error decia en una parte: Se trato de cargar un dato con el formato incorrecto.

Gracias y saludos

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Hola Stiuvert,

he probado Crypter FUD y solo lo detectan 15 antivirus el patch.exe. El problema es que al abrir el patch.exe encriptado me larga un error. El error es algo grande por eso si quieres puedes probarlo tu. Me acuerdo que el error decia en una parte: Se trato de cargar un dato con el formato incorrecto.

Gracias y saludos

Si con ese crypter lo detectan 15 antivirus, entonces ya no es FUD, sería FUD en un pasado, pero ya no lo es, tendrás que seguir buscando un nuevo crypter. En cuanto al error, si pusieras el código de error que salía sería genial.
RollthBuen hacker mejor No tienes permitido ver los links. Registrarse o Entrar a mi cuenta/No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El error puede ser debido al Crypter, si tu el patch.exe lo ejecutas y no te da errores (excepto que lo detecte tu AntiVirus) entonces es que al encriptarlo el Crypter rompe el ejecutable.

Saludos

Octubre 05, 2016, 11:08:47 AM #5 Ultima modificación: Octubre 05, 2016, 11:34:26 AM por Noporfavor
Hola rollth, hola Stiuvert,

el error es: Excepcion no tratada. Se trato de cargar un dato con el formato incorrecto.
Y mas abajo dice informacion acerca del Jit-debugger.

Pero como dice Stiuvert, es posible que el Crypter rompa el ejecutable haciendolo inservible. Quiza un bug del Crypter.

Lo que encontre ahora es mas poderoso. Este se llama solamente Crypter. Lo probe y absolutamente ningun antivirus detecta al patch.exe. El problema es el siguiente: configuro el NetBus correctamente junto con el patch.exe encriptado pero al abrir el patch.exe encriptado ya no tengo acceso a la computadora victima.
Es mas: lo renombre con el nombre Antianti.exe y ni siquiera aparece en la lista de procesos.

Gracias y saludos

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Hola rollth, hola Stiuvert,

el error es: Excepcion no tratada. Se trato de cargar un dato con el formato incorrecto.
Y mas abajo dice informacion acerca del Jit-debugger.

Pero como dice Stiuvert, es posible que el Crypter rompa el ejecutable haciendolo inservible. Quiza un bug del Crypter.

Lo que encontre ahora es mas poderoso. Este se llama solamente Crypter. Lo probe y absolutamente ningun antivirus detecta al patch.exe. El problema es el siguiente: configuro el NetBus correctamente junto con el patch.exe encriptado pero al abrir el patch.exe encriptado ya no tengo acceso a la computadora victima.
Es mas: lo renombre con el nombre Antianti.exe y ni siquiera aparece en la lista de procesos.

Gracias y saludos

Imagino que el malware funciona antes de encriptarlo, no?
RollthBuen hacker mejor No tienes permitido ver los links. Registrarse o Entrar a mi cuenta/No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Hola rollth,
si. El malware funciona antes de encriptarlo. Ahora como puedo hacer para que tambien funcione despes de encriptarlo?

Hola,
La primera regla cuando realizas modificación de malware es no usar VirusTotal, esto arruina todo el trabajo que estés realizando tratando de dejar indetectable tu malware.
Como te comentaron mas arriba, en el foro dispones de material necesario para poder modificar un malware y dejarlo completamente indetectable(bueno casi indetectable).

Aquí: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Otra cosa,  NetBus es muy, muy, muy antiguo y si mal no recuerdo es de conexion directa, y el primer problema que tendrás es que, en la maquina que coloques el malware necesitara tener el puerto que especifiques este abierto para que te puedas conectar a esa maquina.

Lo mas recomendable es usar un Troyano de Conexion Inversa.
Afortunadamente el foro dispone de una colección amplia, donde puedes elegir:
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Personalmente te recomendaría no usar troyanos rippeado o antiguos, ya que son fácilmente detectables en memoria(ya que los antivirus los conocen de pies a cabeza..xD).

Saludos.







Hola fudmario,

Si bien NetBus es muy antiguo a mi me sirvió. Pero creo que no es de conexión directa ya que tiene un servidor y un cliente.  Y cuando lo probé no tuve que abrir los puertos.

Con respecto a los troyanos de conexión inversa...
Hay que abrir puertos? De ser así no me sirviria porque tengo ipv6. Y si bien también se puedo abrir puertos en ipv6 no creo que el troyano lo soporte. Yo navego con ipv6 e ipv6 pero mi servicio de Internet solo admite abrir puertos en ipv6 aparte de no tener NAT.

Finalmente tendría una última duda: si yo en encripto un troyano... de que me sirve si la víctima no lo puede abrir por estar encriptado? O hay una cosa que no entendí?

Gracias y saludos

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Hola fudmario,

Si bien NetBus es muy antiguo a mi me sirvió. Pero creo que no es de conexión directa ya que tiene un servidor y un cliente.  Y cuando lo probé no tuve que abrir los puertos.

Con respecto a los troyanos de conexión inversa...
Hay que abrir puertos? De ser así no me sirviria porque tengo ipv6. Y si bien también se puedo abrir puertos en ipv6 no creo que el troyano lo soporte. Yo navego con ipv6 e ipv6 pero mi servicio de Internet solo admite abrir puertos en ipv6 aparte de no tener NAT.

Finalmente tendría una última duda: si yo en encripto un troyano... de que me sirve si la víctima no lo puede abrir por estar encriptado? O hay una cosa que no entendí?

Gracias y saludos

A ver, si hace falta abrir puertos, tanto en conexión directa como inversa, en conexión directa los puertos se abren en la otra máquina, en conexión inversa se abren en la tuya, no tuviste que abrir puertos porque harías las pruebas en local. En local no hace falta abrirlos.

Por otra parte después de pasarle el crypter al troyano este debería de funcionar igual, solo que indetectado, tu fallo puede ser problema del crypter.
RollthBuen hacker mejor No tienes permitido ver los links. Registrarse o Entrar a mi cuenta/No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Octubre 05, 2016, 05:55:23 PM #11 Ultima modificación: Octubre 05, 2016, 05:58:32 PM por fudmario
 
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Hola fudmario,

Si bien NetBus es muy antiguo a mi me sirvió. Pero creo que no es de conexión directa ya que tiene un servidor y un cliente.  Y cuando lo probé no tuve que abrir los puertos.

Con respecto a los troyanos de conexión inversa...
Hay que abrir puertos? De ser así no me sirviria porque tengo ipv6. Y si bien también se puedo abrir puertos en ipv6 no creo que el troyano lo soporte. Yo navego con ipv6 e ipv6 pero mi servicio de Internet solo admite abrir puertos en ipv6 aparte de no tener NAT.

Finalmente tendría una última duda: si yo en encripto un troyano... de que me sirve si la víctima no lo puede abrir por estar encriptado? O hay una cosa que no entendí?

Gracias y saludos

Bueno no soy muy experto, pero te lo explicaré de forma que se pueda entender.
Todos los troyanos(tanto de conexion directa como de conexion inversa) estan formados por Un Cliente y un Servidor.
Si no tuviste que abrir los puertos al ejecutar seguramente lo probaste en loopback|localhost(prueba en dos maquinas distintas y que esten conectadas a internet y me cuentas..xD).

Para ambos tipos de conexiones(directa/inversa) es necesario abrir los puertos.
La diferencia es que:
En Conexion Inversa(***):

  • Solo debes abrir el puerto donde se Ejecuta el Servidor(Donde estan las funciones para controlar un equipo remoto, desde aqui puedes decir al Cliente que realice varias cosas,por ejemplo tu envias al Cliente una Accion(Recuperar Contraseñas guardas,...etc.)).
  • El cliente no necesita abrir los puertos y este lo colocas en la(s) maquina(s) que quieras controlar.



En Conexion Directa:

  • El servidor lo colocas en la(s) maquina(s) que quieras controlar y tambien necesitas abrir los puertos en la(s) maquina(s) que vas a controlar.
  • El Cliente(Es donde estan las funciones para controlar el equipo remoto, desde aqui puedes indicarle al servidor que realice diferentes acciones por ejemplo tu envias al Servidor una Accion(Abrir el Lector de Discos,...etc.)) y el cliente no necesitas abrir los puerto.
      
(***) En los Troyanos de Conexion Inversa, al Cliente le suelen denominar Servidor(o Server), aqui talves haya alguna confusion.
            
Y Finalmente Respecto a cuando encriptas el archivo o Cifras el Archivo, el Crypter se encarga de cifrar el malware y posteriormente se encarga de decifrarlo en memoria y depende del tipo de Crypter lo ejecuta en memoria o lo dropea en disco y lo ejecuta.

Bueno y si tienes miedo a lio de abrir puertos, siempre existen diferentes opciones, la mas sencilla usar alguna bot,... el H-Bot de Houdini es bastante sencilla y no tiene muchas funciones, pero se puede hacer varias cosas y ademas es facilmente modificable....xD


Saludos






Hola rollth, hola fudmario,

bien. Gracias por la explcacion. Y por hacerme ver que la prueba que yo hice solo funcionaba porque lo estaba haciendo en el local. No sabia eso.

Como no puedo abrir puertos, fudmario me aconsejo usar un bot. Pero de donde puedo descargar el H-Bot de Houdini? Y que es lo que hace?
Lo unico que encontre en internet fue esto: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Gracias y saludos

Hola,

Ese Bot y muchos otros los encontrarás en la base de datos de Malware de underc0de.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Saludos

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Hola rollth, hola fudmario,

bien. Gracias por la explcacion. Y por hacerme ver que la prueba que yo hice solo funcionaba porque lo estaba haciendo en el local. No sabia eso.

Como no puedo abrir puertos, fudmario me aconsejo usar un bot. Pero de donde puedo descargar el H-Bot de Houdini? Y que es lo que hace?
Lo unico que encontre en internet fue esto: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Gracias y saludos

Con un troyano de conexión inversa lo harías desde tu router, si escribes ipconfig/all podrás ver la puerta de enlace predeterminada, y la contraseña, si no la has cambiado será admin admin. Abres un puerto y lo dirrecionas a tu PC, puedes ver tu ip privada con ipconfig/all

Una vez que tienes el puerto abierto, si el un pc pide conexión a tu ip pública (cualesmiip.com) por ese puerto que pusiste, el router lo conectará con tu PC. Aún así hay un problema, si configuras tu troyano y pones tu IP, en un tiempo perderás al infectado ¿Por qué? Porque la ip pública cambia con el tiempo, para esto puedes utilizar un No-IP.

Te aconsejo leerte el No tienes permitido ver los links. Registrarse o Entrar a mi cuenta que viene todo mucho mejor explicado de como te lo he explicado yo.
RollthBuen hacker mejor No tienes permitido ver los links. Registrarse o Entrar a mi cuenta/No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Hola stiuvert,

si yo uso una BotNet no tengo que abrir puertos?

Hola rollth,

Gracias por el link. Pero si yo realmente llegara a abrir un puerto... me lo aceptaria el troyano en ipv6?

Gracias y saludos

PD.: Ahhh y hablando de puertos y conecciones tengo una duda.
Hay un servidor Sb0t que tiene los puertos abiertos. Ese servidor es de mexico. Pero el dueno usa VPN. La VPN larga una ip de Estados Unidos. Cuando me conecto a la sala de chat con Bot client ares Source ejemplo tengo que escribir la ip que larga la VPN y el puerto 5000(el puerto que normalmente usa Sb0t).

Si alguien intentara hackear la computadora en donde esta ese Sb0t con Metasploit en Kali Linux utilizando la ip que larga la VPN... tendria exito?

Gracias y saludos

Hola,

Si utilizas botnet web no es necesario abrir un puerto TCP, Pero sigue estas interesado en configurar y usar RATs te podemos ayudar.

En primer jugar lo que comenta rolo lo tienes que tener en cuenta, así que entra en No tienes permitido ver los links. Registrarse o Entrar a mi cuenta y registra una cuenta y crea un hostname, después en la configuración de tu Server debes agregar tu hostname y puerto TCP que debes abrir en tu router.

Para poder abrir un puerto en router debes poner la dirección IP del router (o máscara de subred) en tu navegador web, por ejemplo 192.168.1.1), una vez puedas acceder busca NAT o alguna opción parecida donde puedas abrir un puerto TCP, puedes abrir por ejemplo 4662, y debes asignar la dirección IP con la que te conectas que para eso lo encontrarás también en IPconfig (por ejemplo 192.168.1.160).

Y ya lo tendrías todo, recuerda que en tu Server debes agregar el hostname de No tienes permitido ver los links. Registrarse o Entrar a mi cuenta y el puerto TCP en router.

Lee papers sobre malwares porque está todo bien explicado y detallado.

Saludos

Hola Stiuvert,
Como tengo ipv6 no tengo NAT. NAT solo existe en ipv4.

Mira bien en tu panel de administración:



Y sino postea capturas de tu panel de administración...

Saludos

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
..........Como no puedo abrir puertos, fudmario me aconsejo usar un bot. Pero de donde puedo descargar el H-Bot de Houdini? Y que es lo que hace?
Lo unico que encontre en internet fue esto: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Gracias y saludos


En realidad ese es el H-Worm, H-Bot o HoudiniBOT es un simple bot que te permite enviar comandos vbs. Desarrollado para los que sufren abrir puerto,...xD
Consta de un panel web desarrollado en el framework CodeIgniter, que se encarga de solo procesar los comandos y enviarlos a las diferentes bots, no dispone de ninguna interfaz grafica, a diferencia de otras botnets. Solo dispone de un builder(loader) o como quieras llamarlo en donde te permite generar el bot, ver los bot conectados y enviar los comandos, esta escrito en vbscript(si es detectado agarras un bloc de notas y lo modificas un poco y queda facilmente indetectable).



Ya que no lo vi en la base de datos del foro, si quieres descargarlo aqui te lo dejo : No tienes permitido ver los links. Registrarse o Entrar a mi cuenta