Buenas underc0deanos, en este post presentare una nueva herramienta, en este caso un downloader.
La herramiento genera un downloader *.bat, el metodo lo descubri analizando una pieza de ransomware no muy conocida, me gusto asi que aqui esta la implementacion.
Antes de dejar el link de descarga, hablare un par de lineas sobre la herramienta
Este downloader es polimorfico, esto significa que cada generado solo sera igual a los demas en un 21% del codigo, es por esto que la deteccion del payload sera complicada para las compañias de antivirus, lo unico que van a poder firmar es la URL del archivo a descargar ya que esta en texto plano en el archivo. Si apareciese alguna otra deteccion que no dependiese de la URL ni de la ruta de droppeo escribid un comentario e intentare solucionarlo.
Adjunto imagen de una comparacion entre dos payloads generados con las mismas opciones.
Igual en los dos archivosDiferencias entre los dos archivosA dia de hoy el scan esta
1/35 siendo detectado por NANO Antivirus como
Trojan.Script.Agent.bfwzap dado que este antivirus es muy minoritario no creo que sea algo de lo que preocuparme.
Scan completo:
http://stopvir.us/results.php?r=mqw8gwHTGdEwDejo un gif del funcionamiento con ESET NOD32 v9 completamente actualizado (El modo jugador se activo al grabar el gif pero no afecta)
Como se ve en el GIF
necesita permisos de administrador el archivo ya que droppea en C, contemplando dos opciones, TEMP o APPDATA
Link de descarga
https://www.mediafire.com/?xx64y01jaz5atr0Contraseña: underc0de.org
*Ni que decir tiene que esta herramienta se ha desarrollado y publicado con fines meramente educativos y que no me responsabilizo del mal uso que se le pueda dar
Un saludo