Actualizado 2020 Cómo construir su propio malware de botnet:Está diseñado para permitir a los desarrolladores implementar fácilmente su propio código y agregar nuevas características interesantes sin tener que escribir una RAT (Herramienta de administración remota) o un C2 (Servidor de comando y control) desde cero.
> La característica clave de la RAT es que los códigos / archivos arbitrarios pueden cargarse de forma remota en la memoria desde el C2 y ejecutarse en la máquina de destino sin escribir nada en el disco compatible con python 2 y 3
twitter.com/undercodenews
Cómo construir ?
1) Genere clientes completamente indetectables con cargas útiles por etapas, importaciones remotas y módulos ilimitados de post explotación
2) Importaciones remotas: importe de forma remota paquetes de terceros desde el servidor sin escribirlos en el disco o descargarlos / instalarlos
Nada escrito en el disco: los clientes nunca escriben nada en el disco, ni siquiera archivos temporales (se realizan cero llamadas al sistema de E / S) porque las importaciones remotas permiten que el código arbitrario se cargue dinámicamente en la memoria y se importe directamente en el proceso actualmente en ejecución
3) Cero dependencias (ni siquiera Python en sí): el cliente se ejecuta solo con la biblioteca estándar de Python, importa de forma remota cualquier paquete / módulo no estándar desde el servidor y se puede compilar con un intérprete de Python independiente en un ejecutable binario portátil formateado para cualquier plataforma / arquitectura, lo que le permite ejecutarse en cualquier cosa, incluso cuando falta Python en el host de destino
4) Agregue nuevas funciones con solo 1 clic: cualquier script, módulo o paquete de Python que copie en el directorio ./byob/modules/ automáticamente se puede importar de forma remota y puede ser utilizado directamente por cada cliente mientras su servidor de comando y control se está ejecutando
5) Escriba sus propios módulos: se proporciona una plantilla básica de módulo en el directorio ./byob/modules/ para que escribir sus propios módulos sea un proceso sencillo y sin complicaciones
6) Ejecute módulos ilimitados sin aumentar el tamaño del archivo: use las importaciones remotas para agregar funciones ilimitadas sin agregar un solo byte al tamaño del archivo del cliente
7) Totalmente actualizable: cada cliente verificará periódicamente el servidor en busca de nuevo contenido disponible para la importación remota y actualizará dinámicamente sus recursos en memoria si se ha agregado / eliminado algo
8) Plataforma independiente: todo está escrito en Python (un lenguaje independiente de la plataforma) y los clientes generados pueden compilarse opcionalmente en un ejecutable portátil (Windows) o agruparse en una aplicación independiente (macOS)
9) Evitar los firewalls: los clientes se conectan al servidor de comando y control a través de conexiones TCP inversas, lo que evitará la mayoría de los firewalls porque las configuraciones de filtro predeterminadas bloquean principalmente las conexiones entrantes
10) Contramedida contra antivirus: evita ser analizado por antivirus al bloquear los procesos con nombres de productos antivirus conocidos para que no se reproduzcan
11) Cifrar cargas útiles para evitar el análisis: la carga útil principal del cliente se cifra con una clave aleatoria de 256 bits que existe únicamente en el generador de carga útil que se genera junto con ella
12) Prevención de ingeniería inversa: de forma predeterminada, los clientes suspenderán la ejecución si se detecta una máquina virtual o sandbox
MÓDULOS
1) Módulos posteriores a la explotación que los clientes pueden importar de forma remota
2) Keylogger (byob.modules.keylogger): registra las pulsaciones de teclas del usuario y el nombre de la ventana ingresada
3) Captura de pantalla (byob.modules.screenshot): tome una captura de pantalla del escritorio del usuario actual
4) Cámara web (byob.modules.webcam): vea una transmisión en vivo o capture imágenes / videos desde la cámara web
5) Ransom (byob.modules.ransom): encripta archivos y genera una billetera BTC aleatoria para el pago del rescate
6) Outlook (byob.modules.outlook): leer / buscar / cargar correos electrónicos desde el cliente local de Outlook
7) Sniffer de paquetes (byob.modules.packetsniffer): ejecute un sniffer de paquetes en la red host y cargue el archivo .pcap
8) Persistencia (byob.modules.persistence): establezca la persistencia en la máquina host utilizando 5 métodos diferentes
9) Teléfono (byob.modules.phone): leer / buscar / cargar mensajes de texto desde el teléfono inteligente del cliente
10) Escalar privilegios (byob.modules.escalate): intente la omisión de UAC para obtener privilegios de administrador no autorizados
> construir malware parte 2
11) Port Scanner (byob.modules.portscanner): escanea la red local en busca de otros dispositivos en línea y puertos abiertos
12) Control de procesos (byob.modules.process): enumerar / buscar / matar / supervisar los procesos que se ejecutan actualmente en el host
13) iCloud (byob.modules.icloud): verifique la cuenta de iCloud registrada en macOS
14) Spreader (byob.modules.spreader): distribuye el cliente a otros hosts a través de correos electrónicos disfrazados de actualización de complemento
15) Minero (byob.modules.miner): ejecute un minero de criptomonedas en segundo plano (admite Bitcoin y Litecoi
> https://github.com/malwaredllc/byob echa un vistazo a estos módulos de código
No hay comentarios:
Publicar un comentario