Proste dodawanie tylnych furtek w plikach binarnych

Wstawienie własnej tylnej furtki do niewinnego pliku wykonywalnego nigdy nie było prostsze.  Narzędzie The Backdoor Factory pozwala na „wzbogacenie” wybranego pliku predefiniowaną lub własną tylną furtką. Wystarczy plik Windows PE x86/x64 lub Linux ELF x86/x64, adres IP i numer portu, pod którym połączeń nasłuchuje na przykład netcat. Narzędzie nie tylko doda odpowiedni fragment kodu do pliku wykonywalnego, ale także dzięki kilku sztuczkom tak go ukryje, by nie zwrócił na niego uwagi ani EMET ani programy antywirusowe.

Przykład użycia narzędzia

Tak spreparowany plik wystarczy wysłać nie spodziewającej się niczego ofierze. Dodatkowy kod zostanie wykonany w sposób niezauważalny dla zwykłego użytkownika. Poniżej prezentacja narzędzia na konferencji DerbyCon.

Jeżeli komuś jeszcze mało, to istnieje również The Backdoor Factory Proxy, które potrafi zrobić to samo w locie z dowolnym plikiem pobieranym z użyciem protokołu HTTP w ramach ataku MiTM. Brakuje jeszcze tylko pakietu modyfikującego pliki w połączeniach HTTPS (ARP MiTM + sslstrip).

PS. Narzędzie ma już ponad rok, więc pewnie część z Was je zna – wygląda jednak na to, że być może nie znają go jeszcze wszyscy.