Binary Backdoor Review

Best Binary Options Brokers 2020:
  • Binarium
    Binarium

    The Best Binary Options Broker 2020!
    Perfect For Beginners!
    Free Demo Account!
    Free Trading Education!
    Sign-up Bonus!

  • Binomo
    Binomo

    Trustful Broker!

Would You Open the Binary Backdoor to Let “Chad” Scam You?

Very interesting introduction asking us if we are looking for a performing binary software , not like the previous we probably have tried and did not work as advertised.But these previous software did work , actually.It is due to another variable that we face losses.The only problem though is that the owner is going to let only a few people to join this program.

It has to be done in that way , in order to minimise losses and run on full auto-pilot.Most importantly is going to run with an insane , almost illegal win rate.

With this Review I am Investigating the Binary Backdoor to find out if it is a Legitimate Opportunity or a Scam

Do you like to be bombarded with fancy headlines like these?

  • Want to buy the car of your dreams?
  • Want to buy a mansion that you deserve in a luxurious high society place on earth?
  • Want to travel first class and see the world?

And how come the “Video Voice” knows that I deserve all that?

More Exaggerated Claims – Screenshots of Bank Accounts – the Usual Menu

I won’t comment on how useless are these methods at this point.Let’s see what’s next … It is getting ridiculous already .. But why Tasos?

Do you really believe that this voice is not going to reveal his true identity because he is hiding? … people , come on.

The voice continues … he is using the cover up name “Chad Kowenski”.. Yeah , I believe you Chad.

The Old Recipe of a Horror Background Story

He’s been working for a large broker firm for the last 6 years.His job to contact people and convince them to deposit money into their trading accounts.For every trader’s deposit he was making a commission as a bonus.But unfortunately he only got 30 commissions for this very long period.About $7500 extra cash … Wait a minute pls … Oh yes , it stands as $250 for the deposit , just like I was expecting “Chad”.

This is the usual minimum deposit with a Binary broker.I am getting really bored here.

He discovered that all of his clients were trading for an average of 12 days only.He contacted them to find out “Why”..They told him that the software was not performing as it was supposed to.He passed that information to his colleague and he laughed

… Chad , it is not the software , WE are blocking their signals.The software get false signals from us to reduce their chances of winning.

Chad was shocked , paralysed.He could not believe it.He was working for a corrupted firm for so long and he did not even had a clue.It is very tough to feel guilty and it makes even tougher when it is not your fault.Chad is a hero , a real one.He was trying to recover the losses for his clients. A typical example of a Good-Man.

He managed to create a fake account while working at the company the next day.He tested the software from home and the next day he logged in at the office , he won 121 out of 149 trades.He felt “Ecstasy” running down his veins.There was a problem though.He could not withdraw that money as the account was fake.

Best Binary Options Brokers 2020:
  • Binarium
    Binarium

    The Best Binary Options Broker 2020!
    Perfect For Beginners!
    Free Demo Account!
    Free Trading Education!
    Sign-up Bonus!

  • Binomo
    Binomo

    Trustful Broker!

$300K plus were about to vanish like dust in the wind.

The Backdoor Factory (BDF) – Patch Binaries With Shellcode

The Backdoor Factory or BDF is a tool which enables you to patch binaries with shellcode and continue normal execution exactly as the executable binary would have in its’ pre-patched state.

Some executables have built in protection, as such this tool will not work on all binaries. It is advisable that you test target binaries before deploying them to clients or using them in exercises.

There’s a couple of somewhat related tools you can also check out:

Features of Backdoor Factory

Overall BDF Features

  • Provide custom shellcode.
  • Patch a directory of executables/dlls.
  • Select x32 or x64 binaries to patch only.
  • Include BDF is other python projects see pebin.py and elfbin.py
  • Can find all codecaves in an EXE/DLL.
  • By default, clears the pointer to the PE certificate table, thereby unsigning a binary.
  • Can inject shellcode into code caves or into a new section.
  • Can find if a PE binary needs to run with elevated privileges.
  • When selecting code caves, you can use the following commands:
    • Jump (j), for code cave jumping
    • Single (s), for patching all your shellcode into one cave
    • Append (a), for creating a code cave
    • Ignore (i or q), nevermind, ignore this binary
  • Can ignore DLLs
  • Import Table Patching
  • AutoPatching (-m automtic)
  • Onionduke (-m onionduke)

ELF Files Backdoor Feature

Extends 1000 bytes (in bytes) to the TEXT SEGMENT and injects shellcode into that section of code.

Mach-O Files

Pre-Text Section patching and signature removal

Детальный анализ бэкдора Linux/Ebury

Недавно наши исследователи выполнили анализ OpenSSH бэкдора и похитителя паролей Linux/Ebury. Этот анализ является результатом совместной работы ESET с немецким CERT-Bund, шведским центром SNIC и европейской организацией CERN, а также другими организациями, которые входят в международную рабочую группу (Working Group). Linux/Ebury представляет из себя сложный бэкдор, используемый злоумышленниками для похищения аутентификационных данных OpenSSH, а также получения доступа к скомпрометированному серверу (backdoor).

Согласно предыдущим отчетам, этот бэкдор уже активен как минимум два года. Linux/Ebury может дистрибуцироваться в двух различных формах: вредоносная библиотека и патч к бинарным файлам OpenSSH. Вредоносная библиотека представляет из себя модификацию файла libkeyutils.so. Эта библиотека является общей для компонентов OpenSSH и загружается его исполняемыми файлами, такими как, ssh, sshd и ssh-agent. В анализе будет опубликована информация о том, как вредоносный код осуществляет кражу аутентификационных данных учетных записей и как системные администраторы могут обнаружить зараженную систему.

Вредоносный код Linux/Ebury является интересным по некоторым причинам. Прежде мы видели вредоносные библиотеки под Windows и это первый случай когда мы наблюдаем схожий модуль для систем POSIX. Он также использует особые приемы для перехвата функций, для внедрения своего кода в адресное пространство процесса, который загружает библиотеку и специальным образом модифицирует код во время исполнения. Мы полагаем, что прежде чем использовать метод внешней библиотеки для получения доступа к OpenSSH процессу, автор Linux/Ebury использовал специальный патч для модификации исходного кода OpenSSH, тем самым добавив «новые возможности» к этому ПО. Первые варианты вредоносного кода выглядели именно так, поскольку мы обнаружили модифицированные бинарные файлы OpenSSH на диске одного из скомпрометированных серверов: ssh, sshd и ssh-add. Мы также наблюдали использование команд rpm для удаления сигнатур из оригинального пакета ПО OpenSSH (openssh-server и openssh-clients), а также модификацию базы данных RPM для обновления хэшей файлов на их вредоносные модифицированные аналоги. Такая модификация позволяет не допустить обнаружения модификации файлов через проверку их хэшей с использованием команды rpm –verify openssh-servers. В то же время команда rpm -qi openssh-servers покажет их отсутствие.

Более поздние варианты Linux/Ebury не модифицируют файлы OpenSSH напрямую. Вместо этого они используют свой вариант библиотеки libkeyutils.so, которая подключается всеми исполняемыми файлами OpenSSH. Изменения, которые проводятся над оригинальной библиотекой, похожи на те, которые использовались для модификации бинарных файлов OpenSSH, которые мы упоминали выше, за исключением того, что выполняется перехват некоторых функций, а также осуществляется их патчинг в процессе исполнения (runtime patching). Обычно этот файл имеет размер 10 Кб. Вредоносный код добавляет около 20 Кб своего кода к этому файлу, после чего размер файла равен уже 30 Кб.

Ниже представлены два примера того, как бэкдор устанавливается в системе. Первый показывает зараженный Linux/Ebury файл, который следует за чистым файлом libkeyutils.so. Символьная ссылка модифицирована и указывает на вредоносную версию.

Следующий скриншот показывает сценарий, при котором библиотека libkeyutils.so перезаписана вредоносной версией.

Хотя практика размещения вредоносного кода внутри библиотек уже наблюдалась ранее, это первый случай когда мы обнаружили ее в Linux для изменения поведения OpenSSH.

Для реализации различных функций вредоносного кода, он использует специальную функцию-конструктор (constructor function), которая добавляется в libkeyutils.so. Эта функция будет вызвана загрузчиком при загрузке бинарного файла. Она определяет из какого файла была запущена, после чего выполняет модификацию исполняемого кода и перехватывает функций таблицы импорта.

В последних обнаруженных вариантах Linux/Ebury злоумышленники зашифровали строки вредоносного кода с использованием простого XOR и статического ключа. После распаковки своего кода вредоносная программа получает адреса необходимых для нее функции с использованием вызова dlsym. После этого она получает адрес в памяти самого бинарного файла через dlopen(NULL, RTLD_NOW) и передает этот адрес (дескриптор) функции dlinfo(handle, RTLD_DI_LINKMAP, …). Такой метод будет работать даже в случае активности ASLR в системе. Вызов этих функций позволяет Linux/Ebury анализировать таблицу импорта исполняемого ELF-файла и заменять его импорты в памяти (перехват). В результате, когда одна из программ sssh, sshd или ssh-add вызовет одну из перехваченных функций, поток исполнения будет перенаправлен на вредоносную реализацию функции из libkeyutils.so. Фрагмент кода ниже демонстрирует вызовы dlopen и dlinfo для нахождения адреса модуля в памяти с последующим анализом информации ELF-заголовка.

Вредоносный код перехватывает различные функции (когда вредоносная модификация libkeyutils.so загружается в процесс sshd):

  • audit_log_user_message
  • audit_log_acct_message
  • hosts_access
  • connect
  • __syslog_chk
  • write
  • syslog
  • popen
  • hosts_access
  • crypt
  • pam_start

Эти функции относятся по своей сути к logging-функциям, т. е. могут использоваться для фиксирования активности работы программы. В случае присутствия бэкдора в системе, эти функции будут перехвачены и заменены вредоносными аналогами, что препятствует выполнению их прямых обязанностей. Вредоносный код перехватывает и другие функции, например, pam_start, crypt и connect которые используются, например, для кражи вводимых паролей. Последняя функция перехватывается для дальнейшего получения управления над Xbnd (см. ниже), при этом вызов функции связывания сокета (bind) выполняется перед вызовом настоящего connect.

В том случае, когда перехват функций с использованием таблицы импорта не представляется возможным, Linux/Ebury осуществляет непосредственную модификацию кода в определенной секции бинарного файла, перенаправляя те или иные ветви кода на свою реализацию. На рисунке ниже показан пример подобного перехвата, ssh программа вызывает функцию key_parse_private_pem и поток исполнения перенаправляется на вредоносный код. Адрес, выделенный красным, выходит за пределы исполняемого образа ssh и указывает на вредоносную модификацию libkeyutils.so. Этот перехват затем вызовет оригинальную функцию, запомнит приватный ключ в памяти и далее передаст его операторам вредоносной программы.

Перед модификацией инструкций в кодовом сегменте, программа устанавливает специальный обработчик для перехвата исключений (fault), связанных с сегментацией. Такой обработчик будет вызываться в том случае, когда процесс получит сигналы SIGSEGV или SIGBUS. В случае появления сигнала, Linux/Ebury просто прервет свою задачу и позволит OpenSSH выполнить свой код. Перед тем как начать исполнять функции, которые могут привести к краху процесса, он вызывает функцию sigsetjmp для сохранения текущего состояния окружения (снэпшот). Если, в дальнейшем, произойдет какое-либо исключение, siglongjmp будет использоваться для восстановления состояния окружения к исходному состоянию.

Такая техника модификации кода ограничена, поскольку смещения кода, которые подлежат исправлению, жестко зашиты в теле libkeyutils.so. Таким образом, его эффективность ограничена бинарным файлом, на который направлены эти модификации. На практике, каждая модификация libkeyutils.so будет работать на трех или пяти различных версиях OpenSSH и будет зависеть от дистрибутива Linux.

Сам бэкдор активируется через отправку специальным образом сформированных данных внутри строки, которая идентифицирует версию протокола, используемую клиентом SSH. Ниже приведена часть спецификации по SSH, которая указывает на использование версии протокола.

After the socket is opened, the server sends an identification string, which is of the form «SSH-protocolmajor.protocolminor-version», where protocolmajor and protocolminor are integers and specify the protocol version number (not software distribution version). version is server side software version string (max 40 characters); it is not interpreted by the remote side but may be useful for debugging.
www.openssh.com/txt/ssh-rfc-v1.5.txt — T. Ylonen

Часть на самом деле может быть чем угодно и не должна интерпретироваться каким-либо образом SSH сервером. В случае с бэкдором Linux/Ebury, поле содержит строку из шестнадцатеричных символов длиной 22 и более символов. Она содержит 11 символов пароля доступа к системе, который зашифрован с использованием значения клиентского IP-адреса, а затем закодирована в виде шестнадцатеричной строки; за паролем также могут следовать четыре необязательных байта команды, которая также зашифрована.

Обратите внимание, что используемая версия протокола отправляется до того, как клиент и сервер договорятся о шифровании, что позволяет обнаружить поведение вредоносной программы в сетевом трафике.

Пример версии используемого протокола SSH, при последующем запуске root shell выглядит следующим образом:

После того как бэкдор проверил пароль, процесс sshd позволит использовать любые символы в качестве пароля для последующей успешной аутентификации. Если в конфигурации опции PermitRootLogin, PasswordAuthentication или PermitEmptyPassword запрещены, вредоносный код включит их. Он также отключит любые операции протоколирования успешного создания нового сеанса, чтобы невозможно было отследить активность злоумышленников. В версиях 1.3.1 и старше, хэш SHA-1 пароля хранится в бинарном файле, а не в 11 символах строки версии протокола как указано выше. Такая практика делает невозможным процесс угадывания пароля, в случае если у вас нет инструмента захвата сетевых пакетов для отслеживания операций входа со стороны операторов. Кроме этого пароль отличается в разных модификациях вредоносного кода. Скорее всего у операторов вредоносной программы есть база данных зараженных серверов с соответствующими паролями для доступа к бэкдорам, так чтобы они могли бы активировать каждый из них в отдельности.

Основным назначением Linux/Ebury является кража учетных данных, которые используются для аутентификации. Похищенные данные учетных записей, скорее всего, использовались для инфицирования большего количества серверов. Сам вредоносный код не содержит возможностей по самораспространению, скорее всего он распространяется самими злоумышленниками или устанавливается через специальные скрипты. Данные учетных записей перехватываются в нескольких местах, когда они набираются или используются жертвой.

  • Пароль от успешной операции входа на зараженный сервер. Всякий раз когда кто-то входит в систему, зараженную Linux/Ebury, демон sshd сохранит этот пароль и отправит его на сервер злоумышленников (exfiltration).
  • Любой введенный пароль для операции входа на зараженный сервер. Даже если попытка входа на сервер была неудачной, введенные имя пользователя и пароль будут отправлены на сервер злоумышленников.
  • Пароль от успешной операции входа с зараженного сервера. Когда кто-либо использует ssh клиент на зараженном сервере, вредоносный код перехватит эту операцию и отправит введенный пароль на сервер злоумышленников.
  • Секретную идентификационную фразу. Когда SSH клиент на зараженном сервере запрашивает у пользователя секретную фразу (private key passphrase) для успешного входа, она будет отправлена на удаленный сервер.
  • Незашифрованный секретный ключ. Когда кто-либо использует секретный ключ для аутентификации на удаленном сервере, его незашифрованная версия перехватывается вредоносным кодом. В отличие от случая с паролями, этот ключ не будет отправлен на удаленный сервер, вместо этого он будет сохранен в памяти. При этом Linux/Ebury будет ждать команды оператора для передачи ключа с использованием команды xcat.
  • Секретные ключи, добавленные к OpenSSH с использованием ssh-add. Ключи (незашифрованная версия ключа и секретная фраза), добавленные к агенту OpenSSH, также перехватываются вредоносной программой.

Вне зависимости от типа учетных данных, Linux/Ebury сохранит всю необходимую информацию (имя пользователя, IP-адрес системы назначения и порт OpenSSH) для операторов вредоносной программы, которые смогут использовать их в дальнейшем.

Когда Linux/Ebury перехватывает необходимый пароль, он посылается на удаленный сервер через специальным образом сформированный DNS-запрос. Он создает запрос A записи (regular A record request), которая будет отправлена на порт UDP с номером 53. Поле запрашиваемого имени домена содержит зашифрованные данные в шестнадцатеричном виде, а также IP-адрес. Данные имеют следующий формат:

Первое поле содержит данные одной из учетных записей, которые указаны выше. Они зашифрованы с использованием XOR и 4-байтного статического ключа 0x000d5345, а затем кодируются шестнадцатеричным представлением.

Этот IP-адрес, указанный в запросе, зависит от типа похищенных учетных данных. Если учетные данные относятся к зараженному серверу, то используется IP-адрес источника, в противном случае, удаленный IP-адрес, который используется для подключения с зараженного сервера. Мы полагаем, что выбранный авторами вредоносной программы способ отправки похищенных данных используется для маскировки в качестве легитимных DNS-запросов, которые отправляются через порт 53, чтобы избежать их блокирования со стороны брандмауэров.

Существуют два метода, с помощью которых Linux/Ebury может выбрать сервер для отсылки туда DNS пакетов. Во-первых, он может быть явно установлен оператором при использовании команды Xver. Второй метод заключается в использовании алгоритма генерации доменных имен DGA. В таком случае имя домена будет проверено на предмет существования и принадлежности его операторам с использованием записей запроса A и TXT.

Ниже перечислены три команды, которые позволяют операторам (зломушленникам), облегчить осуществление управления над скомпрометированным сервером. Команда добавляется к строке пароля бэкдора (см. выше) перед операцией шифрования этой строки. Когда бэкдор идентифицирует команду, он распознает ее и выполняет необходимые действия.

  • Xcat: распечатать все пароли, секретные фразы и ключи, сохраненные в памяти бэкдора и выйти.
  • Xver: распечатать версию вредоносной программы и выйти. Команда также принимает необязательные четыре байта в качестве аргумента. В случае присутствия этого аргумента, он трактуется как IP-адрес удаленного сервера, на который следует передавать похищенные данные (exfiltration server).
  • Xbnd: принимает четырехбайтовый аргумент – IP-адрес, который используется для операции связывания (bind) клиентского сокета с этим адресом при создании туннельного соединения.

Авторы Linux/Ebury используют практику встраивания номера версии в бинарный файл вредоносного кода. Это позволяет операторам быть в курсе того, какая версия их вредоносной программы установлена на скомпрометированной системе. С другой стороны, это помогает ресерчерам понять хронологию событий по выпуску версий и правильно отсортировать семплы.

Например, начиная с версии 1.3.2, Linux/Ebury не будет посылать какую-либо информацию на удаленный сервер, если сетевой интерфейс принятия пакетов находится в режиме «promiscuous». Подобный режим работы интерфейса используется, например, когда инструменты подобные tcpdump захватывают сетевой трафик из сети. Возможно, что авторы вредоносной программы добавили эту возможность в ответ на статью из cPanel о Linux/Ebury, в которой предлагается запускать инструмент tcpdump для отслеживания запросов DNS и фиксировать попытки кражи конфиденциальных данных аккаунтов (индикатор компрометации системы).

Проверить присутствие в системе бэкдора Linux/Ebury SSH можно двумя способами. Самый простой способ заключается в проверке бинарных файлов SSH на предмет присутствия там вредоносного кода. Более сложный способ заключается в исследовании разделяемых (shared) сегментов памяти, которые используются вредоносной программой.

Команда ssh –G имеет различное поведение на чистой системе и системе, зараженной Linux/Ebury. На незараженном сервере вывод (в stderr) будет иметь вид:

ssh: illegal option — G

На зараженном сервере произойдет вывод сообщения «usage» о правилах использования приложения. Следующая команда может быть использована для обнаружения факта компрометации:

$ ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo «System clean» || echo «System infected»

Linux/Ebury полагается на разделяемые сегменты памяти POSIX, которые используются для взаимодействия между процессами (IPC). Текущая версия вредоносной программы использует большие сегменты размером более 3 Мб памяти с широкими правами на доступ к ним, которые позволяют туда писать данные и читать их оттуда (R/W). Другие легитимные процессы также могут создать свои сегменты разделяемой памяти с правами на чтение и запись. При проверке факта присутствия бэкдора с использованием этого способа убедитесь, что сегмент был создан именно процессом sshd (показано ниже).

Можно обнаружить большой сегмент разделяемой памяти с широкими правами на доступ к нему, запустив следующую команду от root:

# ipcs -m
— Shared Memory Segments — key shmid owner perms bytes nattch
0x00000000 0 root 644 80 2
0x00000000 32769 root 644 16384 2
0x00000000 65538 root 644 280 2
0x000010e0 465272836 root 666 3282312 0
Для проверки процесса sshd:
# ps aux | grep root 11531 0.0 0.0 103284 828 pts/0 S+ 16:40 0:00 grep 15029
root 15029 0.0 0.0 66300 1204? Ss Jan26 0:00 /usr/sbin/sshd

Видно, что sshd процесс использует разделяемые сегменты памяти, размер которых превышает 3 Мб (3,145,728 байт) с широкими правами на доступ (666). Подобный индикатор свидетельствует о заражении системы.

Ниже представлены небольшие правила snort для того, чтобы можно было легко определить активность этой вредоносной программы в больших сетях. Первое правило используется для обнаружения поля протокола SSH клиента (SSH Client Protocol), которое используется операторами при подключении к бэкдору. Любой хост, который попытается подключиться к бэкдору по SSH порту, будет обнаружен этим правилом.

alert tcp $EXTERNAL_NET any -> $HOME_NET $SSH_PORTS (msg:«Linux/Ebury SSH backdoor activty»; content:«SSH-2.0»; isdataat:20,relative; pcre:”/^SSH-2\.0-[0-9a-f]<22,46>/sm”; reference:url,http://www.welivesecurity.com/2020/02/21/an-in-depth-analysis-of-linuxebury/; classtype:trojan-activity; sid:1000001; rev:1;)

Следующее Snort правило может использоваться для обнаружения зараженного сервера, через который посылаются украденные данные, см. CERT‑Bund.

alert udp $HOME_NET any -> $EXTERNAL_NET 53 (msg:«Linux/Ebury SSH backdoor data exfiltration»; content:”|12 0b 01 00 00 01|”; depth:6; pcre:”/^\x12\x0b\x01\x00\x00\x01[\x00]<6>.[a-f0-9]<6,>(([\x01|\x02|\x03]\d<1,3>)<4>|\x03::1)\x00\x00\x01/Bs”; reference:url,http://www.welivesecurity.com/2020/02/21/an-in-depth-analysis-of-linuxebury/; reference:url,https://www.cert-bund.de/ebury-faq; classtype:trojan-activity; sid:1000002; rev:1;)

Вредоносная программа Linux/Ebury, безусловно, представляет из себя сложную угрозу со многими интересными особенностями, такими как, перехват различных функций исполняемого файла, использование обработчиков исключений POSIX и различные методы для маскировки своего присутствия в системе. Основываясь на данных, которые были нами получены, можно констатировать, что, в настоящее время, этим вредоносным кодом заражены тысячи систем. Linux/Ebury распространяется злоумышленниками с использованием украденных учетных данных, которые имелись в наличии у операторов. Имея на руках такие данные отпадает всякая необходимость в использовании каких-либо 0day уязвимостей в ПО или ОС для удаленной установки этой вредоносной программы. Хотя до конца непонятно откуда у злоумышленников оказались первоначальные данные аккаунтов систем, с которых началось первичное заражение.

Исследование и анализ самых популярных Backdoor’ов на Android

DeathDay

Проснулся с ужасной болью в голове и понял, что давно ничего не писал. Идея мелькала перед глазами давно, а ещё и достаточное количество материала сподвигло на этот шаг, написания ещё одного миниатюрного исследование. На этот раз испытаниям и издевательствам я подверг несколько программ для создания RAT для мобильных устройств – Android. Получилась объемная и интересная статья, как мне кажется.. Запасайтесь попкорном и выпивкой, а мы начинаем.

Для того, чтобы говорить о чём-то и комфортабельно обсуждать это что-то, сперва нужно прояснить себе мозг о этом объекте дискуссии. Речь, для начала, пойдёт о RAT.

Google гласит такое: ”RAT — аббревиатура англ. Remote Access Trojan, в переводе — «средство удалённого администрирования» или «средство удалённого управления» или «Троян удаленного доступа» Термин получил распространение среди системных администраторов и хакеров”.

Давайте разберёмся, что такое RAT

RAT – аббревиатура, что дословно рассшифровывается, как Remote Administration Tool. В дословном переводе означает – Утилита для удалённого администрирования. В идеальных условиях представляет из себя программное обеспечение, что зачастую представлено в схеме “Клиент- Сервер”. И речь идёт не о Dark Comet или тому подобных вирусных RAT’ах, а о подобии Team Viewer.

Но коль есть возможность управлять удалённо устройством, хацкеры спать не могли и после этого появились всем знакомые и простые до боли NJRAT, Comet и тому подобные.

На RAT для windows есть куча анализов и обзоров, поскольку такого много. Я решил написать то, что до меня никто не писал. Например анализ самых популярных программ для удалённого доступа для Android. Сказанное и показанное ниже, не призыв к действию, ловите дисклеймер:

Итак, рассмотрим самые часто используемые программы для создания вирусного ПО на ваши мобилки, а именно:

  1. SpyNote
  2. SpyMax
  3. DroidJack
  4. AhMoth
  5. MultiHandler

И будут они разобраны и проанализированы по следующим критериям:

  • Краткая история о программном обеспечении:
  • Мануал по использованию:
  • Особенности и недостатки и отчёт VT
  • Способы защиты и выводы:

Первым в списке оказался SpyNote

  1. Никакой истории написания и авторов найти не удалось, только короткие инструкции по использованию подобных вещей, которые трудно назвать благоразумными. В англоязычном гугле и прочих поисковиках – ничего не нашёл. Автор или специально запутал и затёр свои следы или их убрали другие пользователи.
  2. Переходим к краткому руководству по использованию этого чуда. Тесты проводились на моих устройствах и никто, кроме моего мозга и рассудка не пострадал. Итак, всё классично и равносильно действиям с NJRAT, принцип их работы по сути один – установка сессии через заражённый файл к клиенту у вас.

Открываем нашу программу и переходим во вкладку “Bulid Client”, в которой устанавливаем иконку, названия и версию. После чего переходим в раздел “Dynamic Adress”, что отвечает за адрес нашего устройства, с которого создан этот чудесный бэкдор. Исходя из того, что работать будем в локальной сети, нет смысла регистрировать динамический айпи на специальных ресурсах, для превращения его в статический. Всё стандартно, вписываем айпи и порт, кликаем после этого на кнопочку “add”. На этом настройки в этой вкладке окончены. Переходим в следующую, где можно выставить особенности нашего вируса, с вашего позволения буду его так называть. Для некоторых требуются права супер юзера на устройстве жертвы, после кликаем на “Build” и ждём несколько минут. После чего видим APK в корневой папке.

Среди основного функционала хотелось бы отметить такие особенности, как:

  • Возможность записи с микрофона.
  • Возможность открыть shell linux’a
  • Менеджер файлов и контактов.
  • Ну и так далее.

SpyMAX

  1. Закрадывается мысль о том, что авторы предыдущего программного обеспечения и этого одни и те же. SpyMAX можно назвать расширенной версией, о чём намекает само название. Есть некоторые отличия в работе, например, требования установки Java. В интернете отсутствует подробная информация о SpyMAX.
  2. Здесь всё просто и понятно, справился даже ребёнок. Не исключаю, что читают это люди не образованные в этой сфере, поэтому распишу всё подробно. Для начала открываем нашу программку, кликаем на “Bluild”, затем прописываем наш IP. После чего потребуется установленный пакет Java. В следующем разделе указываем путь к директории Bin в папке Java. Дальше всё по классике, выставляем название, иконку и тип приложения. Спустя несколько секунд жмем на OK, после чего откроется подобие командной строки, в которой будет отражен процесс создания APK приложения.
  • Имеет внушительный функционал, по сравнению со SpyNote. Для некоторых действий требуются права СуперЮзера и полный пакет Java. Сессия не выделилась стабильностью, так-как на новых версиях Андроид есть ограничитель фонового трафика. Процент выявления составил 30/60, что больше чем у предыдущего билдера. В некоторых случаях нужна подпись АПК файла, о которой я уже говорил.
  • Основным способом защиты является хороший антивирус с актуальными базами.
  • DroidJack

    1. Опять же… Не удалось найти автора, лично мне известно только то, что это ПО одно из самых дорогих на чёрном рынке. В контактах значится Sankevee.
    2. По традиции открываем наше чудо и выставляем порт для работы. Перейдя в вкладку Generate, замечаем оповещение о том, что IP адрес здесь не подойдёт и нужно использовать только Dynamic DNS, что собственно я и сделаю. После выставляем имя и прочую информацию о файле, жмём на галочку напротив надписи Hide и есть возможность слить наш вирус в единое с каким-то приложениям. При включенном хайд режиме жертва не будет подозревать об установке на её мобильное устройство вредоносного ПО.
    3. Среди недостатков отмечу наличие сигнатур этого приложения в базах антивируса, в остальном он неплох. Процент обнаружения составил 23/60. Приложения платное и стоит около 200$ на чёрном рынке. Так-же есть куча расширенных опций в окошке Advanced.
    4. Собственная внимательность и дотошность помогут вам в обнаружении этого всего. Используйте антивирус как вспомогательное средство.

      Когда я вплотную подошёл к тестированию Ahmyht, у меня окончательно вылетел интернет на целые сутки, в результате чего я решил отложить анализ этого приложения “на потом”.

      MultiHandler

      1. Это тот эксплоит, о котором можно говорить вечно. Его возможности ограничены только нашей фантазией и поэтому я не мог написать не задев его великой личности. В прошлой статье я уже затрагивал создание пэйлоада под андроид, делается это всё предельно просто и без всяких подводных камней, но есть нюансы.
      2. Итак, для начала нам понадобится сгенерировать наш пэйлоад. Делается это командой:

      Затем осталось только и настроить слушатель под указанный айпи и пэйлоад.

      После устанавливаем APK-шку на андроид, но видим следующее: “Ошибка установки”. Погуглив, я нашёл решения этого метода. Установка не происходит потому, что АПК приложения не имеет подписи, но и это дело нам под силу! Естественно, возможно подписать своё приложения с помощью популярных сред разработки приложений, но мне этот вариант был не по душе и мне удалось нарыть приложения Zipsinger, которое в пару кликов его подпишет. После установки к нам летит сессия метерпретер.

      Нет смысла затягивать и подробно разъяснять и без того ясные вещи. Способы не идеальны и защитой могут служить светлая голова и осведомлённость. Установите антивирус. Вирусы на андроид есть, не забывайте о этом. Приложения в обзоре представлены в ознакомительных целях. Давайте будем умнее мошенников и школохацкеров. Удачи!.

      Best Binary Options Brokers 2020:
      • Binarium
        Binarium

        The Best Binary Options Broker 2020!
        Perfect For Beginners!
        Free Demo Account!
        Free Trading Education!
        Sign-up Bonus!

      • Binomo
        Binomo

        Trustful Broker!

    Like this post? Please share to your friends:
    Binary Options Wiki
    Leave a Reply

    ;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: