22.07.2014 | 14:37

avatar

Adam Haertle

Proste dodawanie tylnych furtek w plikach binarnych

Wstawienie własnej tylnej furtki do niewinnego pliku wykonywalnego nigdy nie było prostsze.  Narzędzie The Backdoor Factory pozwala na „wzbogacenie” wybranego pliku predefiniowaną lub własną tylną furtką. Wystarczy plik Windows PE x86/x64 lub Linux ELF x86/x64, adres IP i numer portu, pod którym połączeń nasłuchuje na przykład netcat. Narzędzie nie tylko doda odpowiedni fragment kodu do pliku wykonywalnego, ale także dzięki kilku sztuczkom tak go ukryje, by nie zwrócił na niego uwagi ani EMET ani programy antywirusowe.

Przykład użycia narzędzia

Przykład użycia narzędzia

Tak spreparowany plik wystarczy wysłać nie spodziewającej się niczego ofierze. Dodatkowy kod zostanie wykonany w sposób niezauważalny dla zwykłego użytkownika. Poniżej prezentacja narzędzia na konferencji DerbyCon.

Jeżeli komuś jeszcze mało, to istnieje również The Backdoor Factory Proxy, które potrafi zrobić to samo w locie z dowolnym plikiem pobieranym z użyciem protokołu HTTP w ramach ataku MiTM. Brakuje jeszcze tylko pakietu modyfikującego pliki w połączeniach HTTPS (ARP MiTM + sslstrip).

PS. Narzędzie ma już ponad rok, więc pewnie część z Was je zna – wygląda jednak na to, że być może nie znają go jeszcze wszyscy.

Powrót

Komentarze

  • avatar
    2014.07.22 16:56 Hopp

    Podstawowe pytanie: działa na linuxie czy nie?

    Odpowiedz
    • avatar
      2014.07.22 17:02 Adam Dobrawy

      Działa według opisów.

      Odpowiedz
  • avatar
    2014.07.22 19:19 hesar

    Podstawowe pytanie – jaki jeszcze dodatkowy backdoor dodaje ten soft :DDD

    Odpowiedz
  • avatar
    2014.07.22 22:27 Innek

    lub linux ELF

    Odpowiedz
  • avatar
    2014.07.25 22:20 Kacper

    Z linuxem działa, z windowsem działa… wykrywalność standardowego reverse_tcp na poziomie 45% wg virustotal. Dziwi mnie, że wykrywa go np. Avast a McAffee Enterprise, Sophos, Panda już nie. Prywatnie uważam Avasta za nieciekawego AV.

    Odpowiedz
  • avatar
    2014.07.30 16:20 :)

    „nie zwrócił na niego uwagi ani EMET ani programy antywirusowe” netstat już „niestety” na to uwagę zwróci, a windowsowy firewall wywali nam piękne okienko na pół ekranu, o tym, że jakiś program chce tak po prostu nasłuchiwać na jakimś porcie…

    Odpowiedz
    • avatar
      2014.07.30 19:52 DOgi

      >a windowsowy firewall wywali nam piękne okienko na pół ekranu, o tym, że jakiś program chce tak po prostu nasłuchiwać na jakimś porcie…

      Jesteś świadomy tego co piszesz? Po co klient miałby nasłuchiwać?

      Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Proste dodawanie tylnych furtek w plikach binarnych

Komentarze