BYOB (construye tu propia botnet)

Descargo de responsabilidad : este proyecto debe usarse solo para pruebas autorizadas o con fines educativos.

BYOB es un proyecto de código abierto que proporciona un marco para que los investigadores y desarrolladores de seguridad construyan y operen una botnet básica para profundizar su comprensión del sofisticado malware que infecta a millones de dispositivos cada año y genera botnets modernas, con el fin de mejorar su capacidad para Desarrollar contramedidas contra estas amenazas.

Está diseñado para permitir a los desarrolladores implementar fácilmente su propio código y agregar nuevas características interesantes sin tener que escribir un RAT (Herramienta de administración remota) o un C2 (Servidor de comando y control) desde cero.

La característica clave de la RAT es que los códigos / archivos arbitrarios pueden cargarse de forma remota en la memoria desde el C2 y ejecutarse en la máquina de destino sin escribir nada en el disco.

Soporta Python 2 y 3.

Cliente

Genere clientes completamente indetectables con cargas útiles por etapas, importaciones remotas y módulos ilimitados de posexplotación

1. Importaciones remotas : importe de forma remota paquetes de terceros desde el servidor sin escribirlos en el disco o descargarlos / instalarlos
2. Nada escrito en el disco : los clientes nunca escriben nada en el disco, ni siquiera archivos temporales (se realizan cero llamadas al sistema de E / S) porque las importaciones remotas permiten que el código arbitrario se cargue dinámicamente en la memoria y se importe directamente en el proceso actualmente en ejecución
3. Cero dependencias (ni siquiera Python en sí) : el cliente se ejecuta solo con la biblioteca estándar de Python, importa de forma remota cualquier paquete / módulo no estándar desde el servidor y puede compilarse con un intérprete de Python independiente en un ejecutable binario portátil formateado para cualquier plataforma / arquitectura, lo que le permite ejecutarse en cualquier cosa, incluso cuando falta Python en el host de destino
4. Agregue nuevas funciones con solo 1 clic : cualquier script, módulo o paquete de Python que copie en el ./byob/modules/directorio automáticamente se puede importar de forma remota y puede ser utilizado directamente por cada cliente mientras su servidor de comando y control se está ejecutando
5. Escriba sus propios módulos : se proporciona una plantilla básica de módulo en el ./byob/modules/directorio para que escribir sus propios módulos sea un proceso sencillo y sin complicaciones
6. Ejecute módulos ilimitados sin aumentar el tamaño del archivo : use las importaciones remotas para agregar funciones ilimitadas sin agregar un solo byte al tamaño del archivo del cliente
7. Totalmente actualizable : cada cliente verificará periódicamente el servidor en busca de nuevo contenido disponible para la importación remota y actualizará dinámicamente sus recursos en memoria si se ha agregado / eliminado algo
8. Independiente de la plataforma : todo está escrito en Python (un lenguaje independiente de la plataforma) y los clientes generados pueden compilarse opcionalmente en un ejecutable portátil ( Windows ) o agruparse en una aplicación independiente ( macOS )
9. Omitir cortafuegos : los clientes se conectan al servidor de comando y control a través de conexiones TCP inversas, lo que evitará la mayoría de los cortafuegos porque las configuraciones de filtro predeterminadas bloquean principalmente las conexiones entrantes
10. Counter-Measure Against Antivirus : evita ser analizado por antivirus al bloquear procesos que generan nombres de productos antivirus conocidos
11. Cifrar cargas útiles para evitar el análisis : la carga útil principal del cliente se cifra con una clave aleatoria de 256 bits que existe únicamente en el organizador de la carga útil que se genera junto con ella
12. Evitar ingeniería inversa : de forma predeterminada, los clientes suspenderán la ejecución si se detecta una máquina virtual o un sandbox

Módulos

Módulos posteriores a la explotación que los clientes pueden importar de forma remota

1. Keylogger ( byob.modules.keylogger): registra las pulsaciones del usuario y el nombre de la ventana ingresada
2. Captura de pantalla ( byob.modules.screenshot): tome una captura de pantalla del escritorio del usuario actual
3. Cámara web ( byob.modules.webcam): vea una transmisión en vivo o capture imágenes / videos desde la cámara web
4. Ransom ( byob.modules.ransom): encripta archivos y genera una billetera BTC aleatoria para el pago del rescate
5. Outlook ( byob.modules.outlook): leer / buscar / cargar correos electrónicos desde el cliente local de Outlook
6. Sniffer de paquetes ( byob.modules.packetsniffer): ejecute un sniffer de paquetes en la red host y cargue el archivo .pcap
7. Persistencia ( byob.modules.persistence): establezca la persistencia en la máquina host utilizando 5 métodos diferentes
8. Teléfono ( byob.modules.phone): leer / buscar / cargar mensajes de texto desde el teléfono inteligente del cliente
9. Escalar privilegios ( byob.modules.escalate): intente eludir UAC para obtener privilegios de administrador no autorizados
10. Port Scanner ( byob.modules.portscanner): escanea la red local para otros dispositivos en línea y puertos abiertos
11. Control de procesos ( byob.modules.process): enumerar / buscar / matar / supervisar los procesos que se ejecutan actualmente en el host
12. iCloud ( byob.modules.icloud): comprueba si hay una cuenta de iCloud conectada en macOS
13. Spreader ( byob.modules.spreader): distribuye el cliente a otros hosts a través de correos electrónicos disfrazados como una actualización de complemento
14. Miner ( byob.modules.miner): ejecuta un minero de criptomonedas en segundo plano (admite Bitcoin y Litecoin)

Servidor

Servidor de comando y control con base de datos y consola persistentes

1. Interfaz de usuario basada en la consola: interfaz de consola simplificada para controlar las máquinas host del cliente de forma remota a través de shells TCP inversos que proporcionan acceso directo a las máquinas host del cliente
2. Base de datos SQLite persistente: base de datos liviana que almacena información de identificación sobre las máquinas host del cliente, permitiendo que las sesiones de shell TCP inversas persistan a través de desconexiones de duración arbitraria y permitiendo el reconocimiento a largo plazo
3. Arquitectura cliente-servidor : todos los paquetes / módulos de Python instalados localmente están disponibles automáticamente para que los clientes los importen de forma remota sin escribirlos en el disco de las máquinas de destino, lo que permite a los clientes usar módulos que requieren paquetes no instalados en las máquinas de destino

Núcleo

Módulos principales del framework utilizados por el generador y el servidor

1. Utilidades ( byob.core.util): diversas funciones de utilidad que utilizan muchos módulos
2. Seguridad ( byob.core.security): Diffie-Hellman IKE y 3 modos de cifrado (AES-256-OCB, AES-256-CBC, XOR-128)
3. Loaders ( byob.core.loaders): importe de forma remota cualquier paquete / módulo / scripts del servidor
4. Payloads ( byob.core.payloads): shell TCP inverso diseñado para importar de forma remota dependencias, paquetes y módulos
5. Etapas ( byob.core.stagers): genere etapas únicas de carga útil para evitar el análisis y la detección
6. Generadores ( byob.core.generators): funciones que generan dinámicamente código para el generador del cliente
7. Base de datos ( byob.core.database): maneja la interacción entre el servidor de comando y control y la base de datos SQLite
8. Handler ( byob.core.handler): controlador de solicitud HTTP POST para cargas de archivos remotos al servidor

---

Que hacer

Colaboradores bienvenidos! ¡Siéntase libre de emitir solicitudes de extracción con cualquier característica nueva o mejora que haya encontrado!

1. Cifrado de importación remota : cifrado para flujos de datos de paquetes / módulos que se importan de forma remota (para mantener la confidencialidad / autenticidad / integridad y evitar cualquier vulnerabilidad de ejecución remota de código derivada de la deserialización)
2. Tipos de transporte : agregue soporte para más tipos de transporte (HTTP / S, DNS, etc.)
3. Corrección de errores : solucione cualquier error / problema