Abrimos el malware con dnspy,vemos que hace la llamada al archivo server.exe desde Resources.


Una vez localizado el fichero lo guardamos con click derecho


Abrimos el fichero server con dnspy y vemos que el contenido esta obfuscado,pero lo que llama la atención es que hay 4 ficheros que los vuelve a llamar desde resources como anteriormente


Aquí encontramos la clave con la que lo cifra el tipo de cifrado que utiliza


Vamos a copiar el contenido de los ficheros en un notepad para poder desobfuscar el codigo


Copiamos todo el contenido, lo pegamos, copiamos la clave que habiamos encontrado anteriormente, seleccionamos el algoritmo y le damos a build, y listo ya tenemos nuestro server construido.

Lo abrimos con dnspy de nuevo y vemos que no esta obfuscado y nada por lo que ha resultado facil y rapido



Nota: se aceptan criticas constructivas, apenas me estoy iniciando en esto

DOWNLOAD:No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
PASS:infected

Muy buenas en este POST quiero mostrar como podemos encontrar y extraer malware en aplicaciones .net, buscando por internet me encontre esta herramienta maravillosa que permite "hackear wifi", empecemos.


Abrimos el ejecutable con dnspy, vemos que el codigo no esta cifrado, por lo que buscamos a ver si encontramos algo,observamos algo raro ahi, "server.exe" mmmm sospechoso.


Seguimos buscando donde puede estar ese "server.exe" y viendo en referencias donde utliza fotos para el programa, iconos y demas, vemos el cantoso "server.exe"


Lo guardamos haciendo click derecho guardar, y al abrilo con dnspy vemos que el código esta ofuscado, por lo que utilizare la herramienta exeinfo PE, nos dice que esta utilizando Rummage v3.1 para ofuscar el codigo y que para desobfuscarlo utilicemos de4dot


Lo abrimos con de4dot y ya tendriamos nuestro ejecutable desobfuscado


Al abrirlo con dnspy vemos el Host y el puerto donde el malware conectara, que es la informacion que realmente nos interesa

Buenas anoche descubrí esta botnet llamada spacenet,puedes descargarla No tienes permitido ver los links. Registrarse o Entrar a mi cuenta


No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

En la guia no lo dice creo recordar pero para activar el servidor ejecutamos logicamente el fichero No tienes permitido ver los links. Registrarse o Entrar a mi cuenta tiene que salir algo asi


Este es el panel de login que la password la ponemos nosotros,es decir, puedes poner la que quieras en la interfaz grafica no necesitas modificar ningun archivo,lo debes modificar de los archivos es la direccion IP y el puerto a la escucha del servidor que esta explicado en el manual.


El builder lo podeis encontrar en la carpeta Software/Agent/Builder

Hola buenas dias!

No se me ha ocurrido otro titulo,soy malo para los titulos,pero me gusta.


Bien,voy hablaros del javascript No tienes permitido ver los links. Registrarse o Entrar a mi cuenta que muchos ya conocereis que nos permitira minar monero inyectando ese javascript en nuestra web(o en cualquier otra) y cada vez que un usuario acceda a la web, el javascript se ejecutara y utilizaremos los recursos de su CPU para poder minar Monero.

Este javascript lo podemos configurar para que cuando el usuario que visite nuestra pagina le salga una advertencia diciendo "Esta pagina web utiliza este minero para minar...... por favor haga click en aceptar" y si acepta se activara el minero,pero siendo realistas nadie le dara click en aceptar,asi que configuremoslo para que no salga dicho aviso


Quedaria algo asi,obviamente si nada de texto y sin los monigotes minando,es solo una prueba para que se muestre lo que esta haciendo,sin dar ningun aviso.
Parece todo maravilloso y facil de que podamos conseguir que la gente mine metiendose en nuestro sitio web,pero nos enfrentamos a grandes enemigos como el adblocker y AntiVirus que puedan detectar nuestro javascript malicioso jeje
En el caso de adblocker lo que hice basicamente fue buscarme un javascript igual que bloquease el adblocker(pero tambien hay maneras para que esto no nos funcione,pero no he venido a hablar sobre el adblocker,antiblocker etc...)


Esa seria una web donde tengo el javascript que se ejecuta sin avisar,existen paginas como whois mining que nos dicen que sitios estan utilizando codigo para minar,veremos que pasa si busco la mia


Y tenemos la sorpresa de que dice que no esta minando nuestra pagina web,pero si nos fijamos en la otra imagen de arriba, si que estaba minando,bueno muchos de vosotros ya sabreis lo que pude hacer,basicamente lo que hice fue ofuscar el codigo javascript con un ofuscador online y efectivamente dio buenos resultados,seguia funcionando el minero y ademas estos sitios parece ser que apriori no lo detectan.


Bueno pues uno de los AV que detecta esto a la primera es el AVG.Este es el aviso que nos da


Aunque si ofuscamos el codigo no nos deberia sacar el aviso y por lo tanto conseguiriamos bypassearlo!!!
Podeis utlizar este que utlize yo,No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Hola estaba probando esta herramienta No tienes permitido ver los links. Registrarse o Entrar a mi cuenta y una vez instalada con sus depencias sin dar ningun tipo de error cuando va a compilar el exe me sale ese error que dice que no esta instalado el pyinstaller,pero si que lo tengo instalado,he leido que da problemas dependiendo de la version de python y aconseja usar 2. 3. he probado con las dos y me tira el mismo error,la herramienta la verdad es que tiene muy buena pinta y viendo videos y demas a la gente le funciona pero no se porque me sale ese error y buscandolo en google no hay apenas informacion de una situacion parecida a la mia


Cualquier cosa gracias

Hola que hay!!

Estaba probando el troyano DroidJack en un ubuntu y a la hora de generar el apk me la genera como podeis ver en la imagen,pero a la hora de buscar el apk en el sistema no esta he buscado en la carpeta obviamente, he probado hacer un locate con el nombre del apk que supuestamente me ha generado y nada,no esta..


¿Alguna sugerencia?

Se que en windows funciona porque ya lo habia probado antes pero queria hacerlo en mi ubuntu,gracias de antemano

Buenas haciendo un tutorial que habia visto sobre como generar payloads fuds con msfvenom y utilizando el .Net Reactor para ofuscar el codigo,he conseguido un .exe que solo lo detecta el Nod32 y es funcional ya que al ejecutarlo me devuelve la sesion de meterpreter,he estado viendo algun post y video de como como limpiar las firmas usando el Indetectables Offset Locator (ya sabes de cual hablo) hice algo asi,bueno esto lo hice porque vi en un video que cuando estaban moddeando el stub de un crypter hacian lo mismo para eliminar la firma y deduje que por que no podria hacerlo asi,pero es que no se si realmente asi se hace bien porque la verdad no tengo mucha idea sobre esto.



El Nod32 me detecta los Offsets que me genera del primero al ultimo sin embargo no me los elima el Nod32 y cuando subo cualquiera de los archivos a nodistribute me dice que esta limpio.

Lo que yo he visto es que cuando generan los Offsets y pasan el Nod32 detectan cuales son maliciosos y los elimina dejando algunos offsets que el numero de ese offset sera usado para modificar el binario reemplazando por el numero que le hayamos puesto en el Offset Locator en este caso 00 de esta manera el Nod32 no lo detectara.

La verdad es que estoy muy perdido en esto quien me pudiera guiar en el camino se lo agradeceria,gracias