Indetectables

shinichi_kudo escribió:IPS = intruder prevention system. es una de las funciones del IDS = intruder detection system.

lo de los banners me refiero a lo siguiente.

Trying 1.3.3.12...
Connected to 1.3.3.12.
Escape character is '^]'.

tentarnovamente|

ese banner sale en spy net y puedo bloquear las conexiones de ese troyano por eso

Gracias por la explicación, la verdad es que no sabía ni que existía el IPS e IDS.

Yo tampoco conocía eso de los IPS.

De todas formas, un usuario que tiene su equipo vigilado con un sistema IPS no creo que le puedas colar un troyano en vbs xD

Por el momento lo voy a dejar con peticiones HTTP, bastantes dolores de cabeza me está dando éste proyecto como para meterme con auths, encriptación, https, certificados y demás historias. Cuando tenga todos los errores depurados publicaré el source code y que cada uno lo modifique a su gusto :P

PD: No he entendido tu explicación del banner.

lo del banner, es un saludo ( handshake ) que tienen algunos protocolos.
como puede tener un servidor SSH, algunos troyanos tienen ese saludo. y es un patron statico e lcual puede bloquearse con facilidad.

al estar por SSL la conexion esta cifrada y esos banners no pueden ser visto amenos que seas parte del cliente/servidor.
vos tenes que armar un servidor con comandos para que se pueda comunicar.
si yo snifeo el trafico del troyano server/cliente seguro puedo ver eso con libertad y tomar medidas.

shinichi_kudo escribió:lo del banner, es un saludo ( handshake ) que tienen algunos protocolos.
como puede tener un servidor SSH, algunos troyanos tienen ese saludo. y es un patron statico e lcual puede bloquearse con facilidad.

al estar por SSL la conexion esta cifrada y esos banners no pueden ser visto amenos que seas parte del cliente/servidor.
vos tenes que armar un servidor con comandos para que se pueda comunicar.
si yo snifeo el trafico del troyano server/cliente seguro puedo ver eso con libertad y tomar medidas.

Vale, ya te entiendo.

HTTPS no lo voy a implementar, lo veo demasiado complicado. Lo que haré es cifrar las strings que se envían entre cliente/servidor usando ROX() y el propio ID interno como llave para desencriptar. Con eso, aunque sniffes los paquetes, no deberías detectar ningún patrón.

Pero bueno, como aún está en BETA, no voy a cifrar los datos de conexión, ya que me interesa verlos en texto plano para poder debuggear los errores que me podáis reportar

Saludos

Magnifico trabajo :)

Hola a todos

Gracias por vuestro feedback, me ha ayudado a avanzar. Ya tengo preparada la versión 1.2b

En ésta versión he intentado reparar todos los bugs reportados, así como añadir nuevas opciones al troyano. He programado una función que almacena todos los datos del cliente/server en un fichero TXT, quien tenga algún problema/bug/error/fallo me gustaría que me indicáse que opción le ha fallado y que me envíe el log para ver que ha ocurrido. Para configurar el troyano solo tenéis que abrir con un editor el fichero cactus.vbs, en la cabecera encontraréis lo siguiente:



En el Host, debéis poner vuestra IP privada/local. No uséis 127.0.0.1 ni localhost, mejor poner la IP privada tipo 192.168.x.x
La variable dbgTxt es la ruta del log, por defecto apunta a C:\dbg.txt (lo podéis editar si quereis)
También podéis editar el cName que identifica el ID de la "victima"

Una vez configurado, ejecutáis el troyano para probar las opciones, he añadido nuevas:

- Run remote app / from internet (debería descargar un fichero por URL y ejecutarlo en el PC de la victima)
- Server Admin / Update (debería actualizar el source del troyano y reiniciar la conexión)
- Server Admin / Restart, Stop, Unistall (permiten controlar la conex del troyano)
- File Manager / Listar unidades locales y mostrar el tipo
- File Manager / Refresh Drivers & Folders, Parent Folder, Execute, Create Folder, Delete (podéis probar todos esos comandos y reportar si falla alguno?)
- Process View / Mostrar y matar procesos
- System Services / Mostrar listado (ahora debería mostrar caracteres extendidos, como los acentos)
- Remote Shell / Probar comandos tipo ipconfig, tasklist (ahora debería mostrat todo el stdout del cmd, incluso caracteres extendidos, como los acentos)
- Fun Manager / Probar los comandos Voz, OpenCD, OpenWeb

Si algún comando falla me gustaría poder leer vuestro log para depurar el error. En mi PC y mis 3 máquinas virtuales funciona todo a la perfección.
Por cierto, las comunicaciones entre el cliente y el server están cifradas. Si queréis podéis intentar sniffar el tráfico de red con WPE Pro o WireShark. El trafico ente el cliente y el server está descifrado en el log para que lo podamos debuggear. Ejemplo del log:



DESCARGA 1.2b: [Enlace externo eliminado para invitados]

NOTA: He subido el timer del sleep, es posible que notéis cierta "lentitud" desde que se ejecuta el server hasta que aparece en la ventana del cliente.

Si instaláis el server en algún equipo, os recomiendo que lo desinstaléis usando el comando propio del cliente, para que elimine las claves del resgitro de forma correcta.

Saludos y gracias!!!

hola bro no había visto este post y me lo descargue para ver que tal iba, he de decir que me descargue ambas versiones y ninguna me conecto, quiero suponer que algo estoy haciendo mal ya que estuve leyendo y vi que quienes reportaron como les fue si les conecto, lo que hago es cambiar la ip del archivo cactus.vbs sino mal entendi es lo unico que deberiamos de cambiar para que funcione.

aqui te dejo lo que me sale en el log generado en la ultima versión que subiste



si algo me falto por hacer me gustaria que me lo dijeras ya que encantaria poder testearlo

pd. lo testee en windows xp sp3

saludos y gracias por postearlo

Hola, gracias por probarlo.

Veo que se ejecuta bien, incluso salta la rutina del Mutex para ejecutar el troyano desde su install-path. El server envia HTTP waiting pero no recibe respuesta... hummmm. La IP privada de tu equipo es 192.168.1.66? El cliente debería poder entrar en modo listening bajo el puerto 1234 ¿tienes algún firewall que esté bloqueando la "escucha" del cliente? A modo de testeo, prueba de cambiar la ip y utiliza "localhost" o "127.0.0.1".

Por último, si dispones de algún equipo remoto, prueba de realizar la configuración standar, poniendo tu IP WAN (pública). Deberías poder conectarte al server sin problemas, eres el primero que me reporta éste fallo :(

Sigue asi maquina y ves dandole duro y desarrollando el projecto esto tiene pinta de que va hacerse grande, saludos

MadAntrax escribió:La IP privada de tu equipo es 192.168.1.66? El cliente debería poder entrar en modo listening bajo el puerto 1234 ¿tienes algún firewall que esté bloqueando la "escucha" del cliente? A modo de testeo, prueba de cambiar la ip y utiliza "localhost" o "127.0.0.1".

Por último, si dispones de algún equipo remoto, prueba de realizar la configuración standar, poniendo tu IP WAN (pública). Deberías poder conectarte al server sin problemas, eres el primero que me reporta éste fallo :(

Una disculpa sino respondi antes pero me fue imposible hacerlo, ahora bien hice todas las pruebas que me mencionas y sigue igual no me conecta ni local ni remotamente:

1) Si, mi IP privada es 192.168.1.66
2) Cambie la IP y le puse tanto "localhost" como "127.0.0.1" y sigue igual
3) No tengo antivirus y de firewall solo el de windows pero hasta lo desactive y nada,
4) Verifique que el puerto estuviera abierto, teniendo el cliente en escucha(no se si diga asi ) me aperece que el puerto 1234 esta abierto
5) Puse mi IP WAN, abrí el puerto en el modem y lo envié a algunos remotos y tampoco conectaron, me baje el archivo generado y aparece lo mismo que en el anterior reporte que hice.

pd1. localmente solo lo pude probar en windows xp sp3 y remotamente en xp sp3, windows 7 y windows 8 todos en 32 bits.

pd2. pensando que el puerto estuviera cerrado o bloqueado aun habiendo realizado lo anterior mencionado, probe con el cammy y me funciono tanto local como remotamente usando el puerto 1234, por lo tanto queda descartado que el puerto este siendo bloqueado.

Seguire haciendo pruebas haber si puedo hacer que me conecte y reporto algun cambio o si se te ocurre cualquier otra cosa que pueda hacer para ver si me funciona.

saludos

skull_kid escribió:Una disculpa sino respondi antes pero me fue imposible hacerlo, ahora bien hice todas las pruebas que me mencionas y sigue igual no me conecta ni local ni remotamente:

1) Si, mi IP privada es 192.168.1.66
2) Cambie la IP y le puse tanto "localhost" como "127.0.0.1" y sigue igual
3) No tengo antivirus y de firewall solo el de windows pero hasta lo desactive y nada,
4) Verifique que el puerto estuviera abierto, teniendo el cliente en escucha(no se si diga asi ) me aperece que el puerto 1234 esta abierto
5) Puse mi IP WAN, abrí el puerto en el modem y lo envié a algunos remotos y tampoco conectaron, me baje el archivo generado y aparece lo mismo que en el anterior reporte que hice.

pd1. localmente solo lo pude probar en windows xp sp3 y remotamente en xp sp3, windows 7 y windows 8 todos en 32 bits.

pd2. pensando que el puerto estuviera cerrado o bloqueado aun habiendo realizado lo anterior mencionado, probe con el cammy y me funciono tanto local como remotamente usando el puerto 1234, por lo tanto queda descartado que el puerto este siendo bloqueado.

Seguire haciendo pruebas haber si puedo hacer que me conecte y reporto algun cambio o si se te ocurre cualquier otra cosa que pueda hacer para ver si me funciona.

saludos

Como lo llevas, has podido solucionarlo? De momento eres el segundo user que me ha reportado éste error :( Yo ya he ido infectando remotos y se conectan sin problemas. A veces (debido al sleep timer) los remotos tardan hasta 30 segundos en aparecer conectados ¿quizás no has esperado lo suficiente? De todas formas no te preocupes, sigo trabajando en el proyecto, quizás con la próxima versión te funcione bien. Añadiré un sistema de debug/log en la parte del cliente, para ver si los sockets te están funcionando bien, así entre el log del server y del cliente podremos adivinar que te ocurre xD

Al resto de usuarios; estoy liado programando la parte del server builder. Aprovechando que el server del troyano está programado en VBS (build-in firewall bypass) he añadido funciones de infección/propagación/spread (estilo h-worm pero MUY mejorado) para que el server viaje y pueda conseguir más remotos. Os dejo una foto de como me está quedando el builder:



El server/troyano está casi terminado, la parte del file manager está operativa con capacidad de hacer upload/download de ficheros remotos (los codifica en Base64, igual que hace GMail con sus attachments). Me voy a centrar en añadir muchos sistemas de spread para conseguir un híbrido entre gusano + troyano. Programar funciones de worm/spread en VBS es una gozada :P

Es mantendré informados!!

Te está quedando de puta madre!
Te luciste con las funciones de spread.

[KIll] escribió:Te está quedando de puta madre!
Te luciste con las funciones de spread.

Gracias. No se si limitar alguna de esas funciones. el h-worm solo utiliza 1 de esos spreads y consigue tasas de infección muy elevadas y algo descontroladas... 7 spreads adicionales y encima spread por facebook y twitter podría resultar en algo bastante molesto. Tampoco quiero buscarme problemas legales en un futuro xD

Como lo llevas, has podido solucionarlo? De momento eres el segundo user que me ha reportado éste error :( Yo ya he ido infectando remotos y se conectan sin problemas. A veces (debido al sleep timer) los remotos tardan hasta 30 segundos en aparecer conectados ¿quizás no has esperado lo suficiente? De todas formas no te preocupes, sigo trabajando en el proyecto, quizás con la próxima versión te funcione bien. Añadiré un sistema de debug/log en la parte del cliente, para ver si los sockets te están funcionando bien, así entre el log del server y del cliente podremos adivinar que te ocurre xD

lamento decir que no he podido hacerlo funcionar y tampoco creo que se problema del sleep timer ya que en ocasiones lo he dejado abierto localmente sin exagerar unos 20 min y no pasa nada

estaré esperando la próxima versión por que realmente me gustaría probarlo (esta version por lo que veo no podre hacerla funcionar ) ya que se ve que tiene buena pinta y que te esta quedando muy bien

saludos

Gracias bro