Indetectables

Llevo unos días haciendo lo que creo que es un gran programa. Se llama Mermaid, y es un generador de payloads (troyanos) para metasploit (sé que necesariamente un payload no es un troyano, pero es por llamarlo de alguna forma clara). Está hecho en java multiplataforma, por lo que podéis crear payloads allá donde estéis. El programa consigue generar un troyano FUD (o casi FUD:[Enlace externo eliminado para invitados]), además de tener funciones como añadirse al registro (mediante HKCU y/o HKLM). El ejecutable final pesa únicamente 8.5kb, pero si lo pasáis por el UPX que viene integrado (sólo hay que marcar una casilla) baja a unos increíbles 5kb. Es completamente open-source, y podéis descargar el código fuente junto al programa (repleto de comentarios para que nadie se pierda). Me gustaría que este programa fuera hecho por todos, es decir, que si alguien tiene alguna sugerencia para mejorarlo me lo haga saber (en la propia página habrá un apartado de sugerencias). Creo que juntos podemos lograr algo increíble. Os pongo algunas capturas.




Para más información sobre el programa y las descargas, id a la página oficial: [Enlace externo eliminado para invitados]
Contadme vuestras experiencias y a ver qué tal.
Saludos desde España, JlXip.

Muy bueno!
Me gustaria contactar contigo para un projecto bueno or skype o algo. No puedo enviar MP.. Como lo hacemos?

Muy muy bueno gracias

Algun tutorial de como se utiliza cuando se ejecuta el server ?

cobaya escribió:Algun tutorial de como se utiliza cuando se ejecuta el server ?

Claro, simplemente se recibe la conexión como cualquier otro payload de metasploit. Hay múltiples tutoriales en Youtube: [Enlace externo eliminado para invitados]
Pero hay que entender que esta es una herramienta para gente que necesita un payload indetectable. No es tan sencillo como un RAT de los que se pueden encontrar por aquí.

muy buen aporte gracias por traerlo. Como se que hay miembross que les da flojera,me tome la libertad de traerles esta informacion. Para empezar,su website tiene la opcion de verse en esanol o ingles (excelente idea).
El jar esta limpio,pero aqui les dejo el analizis para los flojos
[Enlace externo eliminado para invitados]
Y bueno como bin lo dijo el amigo,el jar genera tu payload para metasploit con la extension .exe, que al sear ejecutado nos vamos a metasploit y ulilizamos (windows/meterpreter/reverse_tcp)
Y bueno ya para terminar,aqui les dejo un enlace de un video en espanil,en el cual utilizan el windows/meterpreter/reverse_tcp.
video
[Enlace externo eliminado para invitados]
Saludos a todos.....n0z

jlxip escribió:

cobaya escribió:Algun tutorial de como se utiliza cuando se ejecuta el server ?

Claro, simplemente se recibe la conexión como cualquier otro payload de metasploit. Hay múltiples tutoriales en Youtube: [Enlace externo eliminado para invitados]
Pero hay que entender que esta es una herramienta para gente que necesita un payload indetectable. No es tan sencillo como un RAT de los que se pueden encontrar por aquí.

Bueno tengo un problemita amigo, ayer trate en un ordenador windows y hize la configuracion,pero al darle build hasta ahy llega,no produce el exe final. Ahora lo he tratado con uno de mis linux y lo mismo el builder se queda ahy no mas. Alguien mas con ese problema?

¿Entonces es un Backdoor no? Deberias permitir Variables de Entorno en el builder (Ej: %TEMP%, %APPDATA%.) por que ya sabemos que las rutas y el nombre del disco no siempre son los mismos, además si guardas en el directorio de Windows necesitas Permisos de Administrador, por lo cual la UAC te mandará saludos.

//Regards.

Scorpio escribió:¿Entonces es un Backdoor no? Deberias permitir Variables de Entorno en el builder (Ej: %TEMP%, %APPDATA%.) por que ya sabemos que las rutas y el nombre del disco no siempre son los mismos, además si guardas en el directorio de Windows necesitas Permisos de Administrador, por lo cual la UAC te mandará saludos.

//Regards.

Segun he entendido yo no es un backdoor tipo RAT, esto seria como una interfaz grafica que haria lo mismo que la linea de comandos de metasploit pero personalizandolo mas. Es un proyecto que esta guapo.
Saludos

SadFud escribió:

Scorpio escribió:¿Entonces es un Backdoor no? Deberias permitir Variables de Entorno en el builder (Ej: %TEMP%, %APPDATA%.) por que ya sabemos que las rutas y el nombre del disco no siempre son los mismos, además si guardas en el directorio de Windows necesitas Permisos de Administrador, por lo cual la UAC te mandará saludos.

//Regards.

Segun he entendido yo no es un backdoor tipo RAT, esto seria como una interfaz grafica que haria lo mismo que la linea de comandos de metasploit pero personalizandolo mas. Es un proyecto que esta guapo.
Saludos

Exacto, esa es más o menos la idea. Igualmente gracias a Scorpio por sugerir el tema de las variables de entorno (no sé cómo se me ha pasado xD). También tengo pensado añadir algunas más opciones... Avisaré por aquí cuando salga las versión 1.1.

n0z escribió:

jlxip escribió:

cobaya escribió:Algun tutorial de como se utiliza cuando se ejecuta el server ?

Claro, simplemente se recibe la conexión como cualquier otro payload de metasploit. Hay múltiples tutoriales en Youtube: [Enlace externo eliminado para invitados]
Pero hay que entender que esta es una herramienta para gente que necesita un payload indetectable. No es tan sencillo como un RAT de los que se pueden encontrar por aquí.

Bueno tengo un problemita amigo, ayer trate en un ordenador windows y hize la configuracion,pero al darle build hasta ahy llega,no produce el exe final. Ahora lo he tratado con uno de mis linux y lo mismo el builder se queda ahy no mas. Alguien mas con ese problema?

Mmm... Primero prueba a cambiar la ruta donde se generará el payload al darle a "Build". Si sigue sin funcionar, ejecuta el jar desde java con el siguiente comando: "java -jar Mermaid.jar"
Y cuando no haga nada, en el intérprete de comandos copia la salida y mándamela junto a tu nombre en indetectables en la sección de Bugs de la página. Saludos ;D

NOTA DE ÚLTIMA HORA: Bueno bueno bueno qué está ocurriendo. Parece que había cierto bug en la adjuntación al registro. En serio, esperad a que salga la v1.1.

Okay, ¡¡¡ya ha salido la versión 1.1 de Mermaid!!!

Con un montón de nuevas funciones y bugs arreglados, entre los que se incluyen:
+ Arreglado un bug que no añadía las claves al registro
+ Añadidas muchas opciones en la ruta de guardado del payload
+ Arreglado un bug que no permitía guardar el payload en la ruta manual
+ Añadida opción de desactivar el UAC
+ Añadida opción de desactivar el Firewall
+ Añadida opción de poder añadir una excepción al Firewall

Y alguna más, para descargarla, podéis hacerlo desde la página: [Enlace externo eliminado para invitados]

Gracias JL,voy a bajar la nueva version,pero queria dejarte saber,que el problema en el cual no me creaba el server era por no tener el upx. Una ves lo bajase lo creo rapido. He instalado el file en par de amiguitos de mi cybergate y frutas,pero no he probado la conexion aun desde mi linux . Ahora bajo version 1.1 a ver que tal .

Hola JL, Excelente proyecto ! Siempre me alegra ver proyectos Multiplataforma, Según tengo entendido en mis estudios básicos sobre Pentesting un Payload: Es la carga o transmisíon de datos que se hará en la comunicación. Sin embargo viendolo desde este enfoque se referiría al resultado que se obtendría en el ataque del software (Obtener un Backdoor, que sería la sesión Meterpreter). Basicamente esto se utilizaría en conjunto con un exploit específico en un servidor vulnerable utilizando la consola Metasploit correcto? Sin embargo dejando eso de lado, te felicito por el trabajo ya que el peso del archivo final es sumamente pequeño y eso es bueno en cuanto a indetectabilidad se refiere no abandones el proyecto!

PD: Aprovecho para preguntar: los sitios que utilizaron arriba para analizar las muestras no estan enviandoles a las compaías de antivirus ? Me refiero a:

[Enlace externo eliminado para invitados]
[Enlace externo eliminado para invitados]

Y tambien que conocimiento tienen sobre otras que no envien muestras ? ya que es muy importante saberlo si no todo el trabajo como el de JL se quemaría rapidamente en cuanto a indetectabilidad se refiere.

Saldudos !