Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Configuración de un RAT + Crypter FUD + Ronda OCX (2011)

  • 9 Respuestas
  • 8291 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado M5f3r0

  • *
  • Underc0der
  • Mensajes: 44
  • Actividad:
    0%
  • Reputación 0
  • Leer la firma.
    • Ver Perfil
  • Skype: m5f3r0
« en: Agosto 28, 2013, 05:07:38 pm »
Imágen del primer RAT desarrollado por Caesar2k

Buenas comunidad de underc0de, en está ocasión les traigo un RAT llamado "Bozok 1.4" con la configuración del servidor para el troyano. También les traigo un Crypter 100% FUD el cual me lo encontré en indetectables.net (no es mío), . Primero que nada, daremos una explicación de que es un RAT y un Crypter FUD,

1.- ¿Qué es un RAT?

Un RAT "Remote administration tool", como su nombre lo indica, vendría siendo una herramienta para la administración remota de nuestro troyano el cúal lo debemos tener alojado en un servidor configurado, que al abrirlo automáticamente la víctima queda totalmente infectada y el atacante podrá administrarlo de manera remota. El primer RAT fue desarrollado por un hacker informático llamado "Caesar2k", salio por primera vez el año 2003.

El nivel de peligrosidad es de alto riesgo o muy grave ya que el atacante puede ver el escritorio de manera remota, usar un keylogger si es que lo tiene incorporado y hasta activar la webcam de la víctima sin que se de cuenta.

En este tutorial veremos como configurar nuestro servidor para el troyano con el RAT llamado "Bozok 1.4" y entederemos como usar un Crypter FUD.

2.- ¿Qué es un Crypter FUD?

Un crypter vendría siendo la herramienta con la cúal encriptamos nuestro troyano con el fin de hacerlo indetectable para el antivirus de la víctima, de manera que cuando sea ejecutado este mismo no lo detecte. Y "FUD" vendría siendo "Full un-detectable" y en español "Completamente indetectable".

3.- Abriendo puertos y configurando las conexiones:

Antes de configurar el servidor del RAT, para los que tienen un router yo les recomiendo tener el puerto 81 abierto, TCP y UDP. El cúal es como un puerto alternativo del 80, También puede abrir si quieren el 1515.

Para abrir el puerto nos dirigimos a la ruta del router, en mi caso es 192.168.0.1, Mi router es de la marca Nexxt y lo configuro de la siguiente manera:

LAN IP (en mi caso): 192.168.0.100 (Para verificar cúal es la suya en windows, vayan a la CMD y tecleen ipconfig, y colocan la que sale en IPv4)
Protocolo: Both (los dos, TCP y UDP).



Luego de esto, debemos registrarnos en http://www.noip.com/ , les enviara un email de confirmación de cuenta, lo activan y se logean de forma normal.

 Luego de esto se van a: https://www.noip.com/members/dns/ , En el que se crearan un host, para ello darán click en "Add Host" y en el campo de formulario "Hostname:" colocan el nombre de su dominio, luego de eso le dan click en el botón nuevamente "Add host".



Después de esto, nos vamos a la página principal del no-ip y abrimos la sección "Download" de la barra de navegación, en el que vamos a descargar el No-ip duc, el cliente de actualización dinámica de DNS. Click en "Download now" y instalan el no-ip duc. Ya instalado esto ejecutamos el no-ip DUC y nos saldra una pequeña ventana con 3 opciones, primero daremos click en la 1ra opción dónde especificaremos nuestro login y password de nuestra cuenta.

Luego de haberse logeado damos click en "Edit Hosts" y seleccionamos la casilla del host de la conexión del troyano. Y automáticamente se irá refrescando el host.

Ahora nos vamos a la siguiente ruta:

C -> Windows -> System32 -> drivers -> etc y damos click derecho sobre el archivo hosts, luego click en propiedades y abrimos la opción "seguridad" y damos click en Usuarios luego en editar para modificar los privilegios.

Luego activamos todas las casillas:



Ahora tenemos todos los permisos para modificar los archivos, con algún editor de texto ejecutamos el archivo hosts, y tendremos lo siguiente incorporado (si es que no ha sido modificado):

Código: [Seleccionar]
0# Copyright (c) 1993-2009 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
#      *****     rhino.acme.com          # source server
#       ******     x.acme.com              # x client host

# localhost name resolution is handled within DNS itself.
# 127.0.0.1       localhost
# ::1             localhost
127.0.0.1        localhost

En una nueva línea, especificamente debajo de 127.0.0.1 colocamos la dirección LAN que especificamos en la del puerto 81, en mi caso es 192.168.0.100 , y a un espacio colocamos el dominio de nuestro host que hemos creado en el no-ip , en mi caso es "muferorat1.zapto.org" , ejemplo:



Luego guardamos los cambios y listo, tenemos las conexiones configuradas del troyano.

4.- Configurando el servidor del troyano:

Para configurarlo, primero debemos ejecutarlo abriendo el exe "Client" (es 100% seguro está limpio):

Luego de esto, se nos abrirá la siguiente ventana:



Damos click en el icono inferior de abajo que está al lado derecho de la llave, Se nos abrirá una ventana en la que especificaremos el puerto, en dónde dice "Listen on port" reemplazamos el 1515 por el 81 y en la parte de abajo, colocamos la contraseña que quieran, ej: 123123.

Y marcamos las dos casillas que están debajo. Una que es para la auto-carga de plugins y otra para la auto iniciada de la captura de pantalla. Luego damos click en "Save"



Bien, ya realizado este paso, damos click en el icono de la llave que está al lado izquierdo, dónde se nos abrira una ventana la cúal es la configuración del servidor.

En dónde dice "Server ID" colocaremos el nombre o algún texto que se le dara a una victima, ej: Usuario conectado , Y en password igual colocan: 123123 . Luego en puerto colocan el 81.

Después de esto, en el campo vacío de abajo damos click derecho y damos click en "Add conection" , se nos abrira una ventana en la que especificaremos "SOLO" la url de nuestro host creado en el no-ip , esta sera la del servidor, Luego le dan en OK.



Ahora pasamos al siguiente paso, damos click en "Installation", aquí marcaremos la casilla "Install server", en dónde especificaremos el nombre del archivo.

La siguiente opción "Visible mode" sera en caso de que la vayamos a testear a ver si funciona, si es así les recomiendo activarla.



Luego nos vamos al siguiente paso, llamado "Startup" , en este paso colocamos nuestro nombre o cualquier nombre, ej: "M5f3r0".

Después de esto nos vamos a "Extension" , Aquí simplemente especificamos la extensión de nuestro archivo ejecutable. Le colocamos la extensión que llevara, en mi caso sera .exe , Luego marcamos la casilla "Include Extension".



Ahora pasamos a "Build" , en el que nos saldrá el nombre del archivo ejecutable , ya teniendo todo listo damos click en "Build" para guardar los cambios.

Aviso: Debemos tener el antivirus desactivado como por 10 minutos para poder guardar los cambios en el archivo ejecutable, si no, lo movera al baúl de virus.



Y luego tendremos todo listo, el troyano creado satisfactoriamente. Ahora procederemos a su encriptación con el Crypter FUD para hacerlo indetectable ante el antivirus.

5.- Encriptando el troyano con el Crypter FUD

Antes de ejecutar este crypter debemos instalar "Ronda OCX" , para ello abrimos el instalador y damos click en Next -> next -> hasta que se termine la instalación.

Luego podemos ejecutar el crypter abriendo el archivo "Project1". Luego se nos abrirá lo siguiente:



Daremos click en el primer botón en dónde seleccionaremos la ruta en dónde se encuentra nuestro troyano, luego daremos click en el siguiente botón para especificarle el nombre y la ruta en dónde lo guardaremos.

Después de esto, nos saldra una alerta diciendo "Pronto" es decir, el archivo ejecutable ya lo tendremos encriptado por lo cúal el antivirus no lo podrá detectar.

Ahora es cuestión de usar la ingeniería social para mandarle nuestro troyano a la victima para que la pueda ejecutar y quede totalmente infectada.

- Pruebas de que funciona el Crypter:

http://chk4me.com/check/public/44QZV6Ub95Wmf9vAN657oY41IcJ



- Créditos:

* M5f3r0 (Mufero): Por el post, las explicaciones y la configuración del servidor para el troyano.
* J0R4X: Por algunas explicaciones.
* sudo (de indetectables.net): Por el crypter, no se si sea de él, ya que fue quien realizo el post. http://indetectables.net/viewtopic.php?f=7&t=47401
* Slayer616: Coder del rat (creador).
* Coughs: Tester del rat.
* DarkPringles: Tester del rat.

- Descargas:

RAT:

http://www.multiupload.nl/I2GTVMZ7TL

Crypter FUD:

http://www.sendspace.com/file/kvh1n8

Trae contraseña, tendrán que decodificarla: -.. .-. .- --. --- -.

Post del crypter: http://indetectables.net/viewtopic.php?f=7&t=47401

Instalador Ronda OCX:

http://www.mediafire.com/?d6c1h68g16ah2p7 (el enlace no es mío)

- Aviso importante:

No me hago responsable del uso que le den a la herramienta y lo empleado en el tutorial, fue realizado solo con fines educativos.

Eso ha sido todo amigos, saludos y espero les haya gustado el post.
« Última modificación: Diciembre 08, 2014, 03:12:39 pm por Expermicid »
A veces, observo mi pasado y me arrepiento en la actualidad de todo lo que llegue a perder y olvidar por como me veía la sociedad, nunca dejes que las opiniones de los demás te lleguen a afectar moralmente hasta el punto en que dejes de hacer lo que más te apasiona, saludos! (msj escrito en el 2016)

Desconectado rafaxxD

  • *
  • Underc0der
  • Mensajes: 2
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #1 en: Septiembre 05, 2013, 10:33:49 am »
Es buenisimo  ;)

Desconectado thejhonsex

  • *
  • Underc0der
  • Mensajes: 1
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #2 en: Septiembre 09, 2013, 10:48:37 pm »
Me pueden decir que tipo de codificacion es esta -.. .-. .- --. --- -.

Desconectado arthusu

  • *
  • Underc0der
  • Mensajes: 555
  • Actividad:
    0%
  • Reputación 2
  • Yo solo se que no se nada - Socrátes
    • Ver Perfil
    • Arthusu BLOG
  • Skype: arthusuxD
« Respuesta #3 en: Septiembre 10, 2013, 02:35:19 pm »
Me pueden decir que tipo de codificacion es esta -.. .-. .- --. --- -.
http://underc0de.org/foro/python/cifrado-morse/
Pentest - Hacking & Security Services

Contact me: [email protected]

Desconectado rabulu

  • *
  • Underc0der
  • Mensajes: 86
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • Email
« Respuesta #4 en: Septiembre 20, 2013, 02:10:30 pm »
muy buen tuto, lastima que ya esta un poo quemado el cripter, de todos modos se agradece.

Desconectado pipinho

  • *
  • Underc0der
  • Mensajes: 1
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #5 en: Mayo 19, 2014, 11:17:14 am »
Muy buen post, a favoritos.

Podrias volver a subir el rat?? estan caidos los enlaces.

Muchas gracias

Desconectado zyack123

  • *
  • Underc0der
  • Mensajes: 15
  • Actividad:
    0%
  • Reputación 0
  • No soy de letras, prefiero los números.
    • Ver Perfil
    • Mi DB
« Respuesta #6 en: Junio 17, 2014, 10:49:04 am »
Muy útil, cuando cree una particion de windows lo miro y empiezo a aprender.
No soy de letras, prefiero los números.


Desconectado Kyr0s

  • *
  • Underc0der
  • Mensajes: 23
  • Actividad:
    1.67%
  • Reputación 0
    • Ver Perfil
    • Email
« Respuesta #7 en: Junio 14, 2017, 01:21:23 pm »
Gracias por la info, tengo una duda al configurar todos los puertos, si uso una Máquina virtual es lo mismo?

Conectado puntoCL

  • *
  • Moderador Global
  • Mensajes: 279
  • Actividad:
    5%
  • Reputación 6
  • Magallanes no es chile :D
    • Ver Perfil
« Respuesta #8 en: Junio 14, 2017, 07:25:12 pm »
 Hola. @Kyr0s si es lo mismo, pero tiene que estar en modo bridged

Saludos




Desconectado Kyr0s

  • *
  • Underc0der
  • Mensajes: 23
  • Actividad:
    1.67%
  • Reputación 0
    • Ver Perfil
    • Email
« Respuesta #9 en: Junio 15, 2017, 01:12:28 am »
Hola. @Kyr0s si es lo mismo, pero tiene que estar en modo bridged

Saludos

Que bueno ver un compatriota @puntoCL , gracias por la respuesta

 

¿Te gustó el post? COMPARTILO!



¿Como es un crypter? ¿Para que es? y más...

Iniciado por Stiuvert

Respuestas: 2
Vistas: 3858
Último mensaje Agosto 24, 2012, 05:26:46 am
por PussyMagnet
[Tutorial] Configuración de Dendroid - RAT para Android

Iniciado por OLM

Respuestas: 41
Vistas: 21156
Último mensaje Agosto 24, 2016, 09:26:13 pm
por BlueCode
Configuración de un Rat desde zero By SLORE

Iniciado por Slore

Respuestas: 2
Vistas: 4666
Último mensaje Julio 16, 2014, 04:45:33 pm
por n4s
Configuración de un Rat desde zero By SLORE

Iniciado por Slore

Respuestas: 1
Vistas: 2822
Último mensaje Junio 10, 2012, 06:52:39 am
por Stiuvert