Насадить троян на кукан.

Дана задача, перехватить отчёт трояна об успешной установке и перенаправить его на другую почту, а так же узнать, кому он предназначается. Неплохая задачка? Поехали!

Для начала отметим, что средства для удалённого доступа на чужие машины весьма популярны.. В паблике, можно отыскать при желании.

В число их функций входит.

• полный доступ к системной инфе
• контроль над всеми процессами
• просмотр и изменение регистра
• удалённное управление
• выполнение произвольного кода
• просмотр/изменение/копирование/удаление файлов
• прослушка/запись микрофона и веб-камеры.
• доступ к паролям браузеров (соцсети, почта, банкинг)
• принтер, роутер и много другого.

Работаем с трояном на основе легального программного продукта компании TektonIT. Его отличает доступность, надёжность и высокий пробив. Эти его положительные качества, обеспечили высокую популярность.  Задача - перехватить отчёт трояна о его успешной установке и перенаправить на другую почту, и узнать изначального получателя, то есть его автора.

Для этого понадобится виртуальная среда, для эксперимента используем бесплатное ПО VirtualBox. Скачиваем, устанавливаем, запускаем  и создеём 2 вирт машины под вендой. Первая будет перехватчиком, вторая - для заражения.

Почему не делаем на одной? Можно, но не стоит - некоторые умельцы делают защиту от контратак, и создав две машины, избавляем себя от лишних хлопот. Далее, на перехватчик устанавливаем Burp Suite и Wireshark.

Переходим к настройке сети (Устройства -- сетевые адаптеры) Перехватчик имеет два сетевых интерфейса:

1. WAN-NAT, имеет выход в интернет.

2. LAN (192.168.0.1) - локальная сеть GW/DNS (IP WAN интерфейса), имя intnet, неразборчивый режим - разрешить ВМ. Вторая машина имеет  только LAN интерфейс c GW равным IP LAN перехватчика. Нужно установить прокси в настройке на 192.168.0.1 порт 80, активировать галочку "Использовать для локльных подключений"

Когда базовые настройки закончены,запускаем на первой машине Burp Suite и Wireshark, на второй, наш троян.

Смотрим лог Wireshark и наблюданм возросшую сетевую активность зараженной машины. Троян сработал и пытается связаться с сервером. В нашем случае, он ищет разрешение имени TektonIT широковещательным запросом на  адрес 225. Наблюдаем, записываем адреса и порты. Переходим к настройкам Burp Suite, выставляем их в соответствии  с картинкой "настройки перехватчика".

Ловушка для пакетов установлена, можно переходить к следующему этапу. В зараженной машине нажимаеми набираем команду %windir%/system32/drivers/etc/hosts открываем файл в блокноте и вписываем имя сервера, который ищет наш троян. указав, что он расположен на LAN- адресе перехватчика ( 192.168.0.1)

Сохраняем, закрываем, изменения вступают в силу немедленно. Троян получает заветный айпишник, на котором якобы расположен искомый сервер. Burp Suite словил первый пакет inet_id_notify.php?test=1 Ничего особенного в пакете нет, просто тестовый запрос, пропускаем.

Второй пакет, содержит  куда более интересную инфу! Здесь и почтовый адрес нашего любителя приключений., пароль и номер для доступа к зараженной машине, имя.  Теперь, в дело вступает Burp - можно держать пакет столько, сколько потребуется, а так же изменить его содержимое, что и сделаем. Заменим адрес направления отчёта, на свой собственный. Жмакаем Forward и бежим смотреть почту.)))

Письмо пришло. Отчёт перехвачен, изменения в него внесены и работоспособность не нарушена.

Материал предоставлен в ознакомительных целях. Крайне не рекомендуется играться с пакетами rmansys в Burp Suite в целях спама или других противозаконных действий.