Prometí... cundo tenga temas de Malware los traeré para el foro.


Se puede decir que la entrada de hoy es una duda existencial que me surgió, para de esta manera evitar la utilización de los payloads que vienen de serie en la famosa suit de Metasploit. Seguramente más de un profesional en el tema, me dé una patada en las mismísimas después de leerme hoy, pues es lo primero que se me ocurrió antes de volver a la edad de piedra y reinventar la rueda.

Sabemos que los payloads que aparecen, traen de todo tipo de juguetitos como pueden ser una shell o un downloader pero ¿y si el PC donde se ejecuta no tiene internet en ese instante? El downloader quedaría inútil y no conseguiría ejecutarse mi mortífero bicho.

Primera fantástica idea, cogeré el ejecutable de mi malvado troyano y lo arrastraré a Ollydbg, así podré ver el código del ejecutable desensamblado.





Una vez llegado a las tripas, seleccionaré todo el código del ejecutable y lo copiaré como binario, así quedará bien limpio en hexadecimal.





Para seguir con mi chapuza, iré a ese software tan complejo de Microsoft, el blog de notas y pegaré todo el código en un archivo.






Ya tengo el código hexadecimal de mi malware desnudo como dios lo trajo al mundo, pero para que mi exploit lo interprete, harán falta un par de caracteres que delimitarán sus offsets, los “\x”.
El carácter que se encuentra entre ellos ahora es un espacio, así que será tan simple como reemplazarlos.





¡Perfecto! ¡ya casi lo tengo! así que iré a un PDF que tengo guardado con sorpresa, este integra un payload con la función de downloader. Para leer su interior, lo más acertado será un editor hexadecimal, así que marcaré todo el payload para pegar encima el que tengo apartado en mi archivo de texto.





La parte modificada se sobrescribirá en rojo.





Aunque me temo que se nos olvida una cosa. ¿Y los saltos de linea que se crearon al copiar el código desde Ollydbg?

¡Pues nada a modificarlos también que hoy es fiesta!

Copiamos los dos offsets que corresponden al salto de línea (0D0A) por los caracteres “\x” en hexadecimal (5C78).





Rellenaré SOLO el código ejecutable del payload, ya que si lo aplicamos a todo el archivo, quedará inutilizable.





Dejaré el primer salto de linea y el último de todo el payload, para que el PDF siga su camino y pueda ejecutar nuestro malware.





Abriremos nuestro PDF envenenado y... ¡joder que tostón! ¡Ya era hora! El troyano más maligno de la historia, era una maldita prueba de un proyecto en Visual Basic, con un MsgBox en el que aparece una web de mierda.





Espero que algún valiente se atreva a decir como lo hace él. Me voy a cenar que se me está haciendo un poco tarde...

Saludos 4n4les! ;)

Fuente: [Enlace externo eliminado para invitados]

Buena guacho... Ni caso, mira que tenes unas pelotas como pan de a kilo.. ;-)

Joya An0!!!

Está bien pero no es útil es un pdf así que no va a servir para los exploits
igual servirá para un archivo swf o flv i lo hay cada dos años

valium7 escribió:Está bien pero no es útil es un pdf así que no va a servir para los exploits
igual servirá para un archivo swf o flv i lo hay cada dos años

Como?

Esta muy bien explicado, pero me pierdo en el final, hace falta un pdf preparado ya ? Me parece que borras uno con downloader y pones el msgbox

Esperamos mas manuales ^^

Word escribió:Esta muy bien explicado, pero me pierdo en el final, hace falta un pdf preparado ya ? Me parece que borras uno con downloader y pones el msgbox

Esperamos mas manuales ^^

Entonces no entendiste bro... lee otra ves.

Investigare mas afondo acerca de este exploit me parece uno de los mejores exploit