Con ganas de robar sonrisas, apareció la remota idea de incorporar lo que es sin duda el ataque más infame y desagradable que puede sufrir un usuario delante de su PC, ahora incluso sin la escusa de abandonar el equipo y no bloquear sesión. Nació el ataque David Hasselhoff para RATs, podremos disfrutar una vez más del cambio de fondo de escritorio del conocido personaje de Los Vigilantes de la Playa a merced de un botón desde el control remoto de un troyano de la comunidad de indetectables, que anda en actual desarrollo por nuestro miembro P0is0n.
Bueno, dejemos a un lado el estilo tele-tienda y os explicaré un poco por encima con unas capturas como se configura de fácil este RAT. En primera instancia, deberemos de ejecutar el cliente de IndSocket RAT y aceptar los términos de uso bajo sus responsabilidades, una vez hecho este paso se abrirá nuestro cliente.
Figura :1 Arrancado IndSocket RAT
Nos dirigiremos a la parte superior del ListView, donde haremos clic sobre la pestaña Builder, de esta manera configuraremos el servidor que será nuestro cliente remoto.
Figura 2: Creando el servidor
Como vemos en la imagen anterior, tenemos diferentes opciones de configuración del servidor, la conexión es inversa, con lo cual en IP, rellenaremos dependiendo de si nos encontramos en una red local o externa, nuestra IP privada o pública y de si la conexión del remoto es desde fuera, tener configurado nuestro router con la NAT apuntando a nuestra IP local, con el puerto de configuración que aparece en la caja de texto abierto. En nombre pondremos algo que nos salga de corazón, para identificar con facilidad el servidor que conecta y en la parte baja a la izquierda contamos con las configuraciones típicas de auto-inicio y copia del servidor en el sistema, de la que comentaré sobre la opción de “Pack Executable(Less Size)”, que utilizará UPX como método de compresión del ejecutable, si esta opción está marcada, nos será imposible encriptar el servidor final.
Nos quedará pinchar sobre el botón “Build Server”, para completar el proceso de creación, momento seguido elegiremos un nombre para el ejecutable y guardarlo.
Figura 3: Servidor creado correctamente
En mi caso, probaré a infectar una máquina virtual con Windows 7, ya que la tecnología del malware también actualiza sus Service Packs de vez en cuando, aunque sigamos tirando de Visual Basic.
Figura 4: Escritorio de la víctima
Ejecutaremos el Server.exe que trae con sigo el icono de la reliquia Coolvives RAT y volveremos a nuestro PC real, para observar la conexión que se creará en cuestión de segundos.
Figura 5: Conexión desde el cliente
A simple vista tenemos multitud de datos que envía el servidor, así como versión del sistema operativo, ram del equipo, procesador o ventana activa que el remoto utiliza. Hagamos un clic con botón derecho para ver el desplegable de funciones que este nos ofrece.
Trae un gran número de funcionalidades en las que no me dentendré a explicar de forma individual, para no alimentar demasiado el ansia de los leyentes por ver a nuestro protagonista, de tal manera que iremos directamente a la opción de “Fun Options”.
Figura 6: Fun Options
Aquí veremos las típicas bromas que recordarán a troyanos más antiguos, donde había menos malicia y más picardía, como abrir o cerrar los lectores, incluso de crear un falso pantallazo azul, para recordar los buenos momentos que nos hicieron pasar con la presentación del 98.
Figura 7: Opción de ataque David Hasselhoff
Ya hemos visto en un botón bien grande nuestra opción en cuestión, así que nos quedará presionarla con ímpetu e imaginarnos la cara del usuario en remoto o activar su WebCam y verla a tiempo real, seguro tendremos una carcajada asegurada.
Figura 8: David Hasselhoff te mira
4n0nym0us ^^
Bueno, dejemos a un lado el estilo tele-tienda y os explicaré un poco por encima con unas capturas como se configura de fácil este RAT. En primera instancia, deberemos de ejecutar el cliente de IndSocket RAT y aceptar los términos de uso bajo sus responsabilidades, una vez hecho este paso se abrirá nuestro cliente.
Figura :1 Arrancado IndSocket RAT
Nos dirigiremos a la parte superior del ListView, donde haremos clic sobre la pestaña Builder, de esta manera configuraremos el servidor que será nuestro cliente remoto.
Figura 2: Creando el servidor
Como vemos en la imagen anterior, tenemos diferentes opciones de configuración del servidor, la conexión es inversa, con lo cual en IP, rellenaremos dependiendo de si nos encontramos en una red local o externa, nuestra IP privada o pública y de si la conexión del remoto es desde fuera, tener configurado nuestro router con la NAT apuntando a nuestra IP local, con el puerto de configuración que aparece en la caja de texto abierto. En nombre pondremos algo que nos salga de corazón, para identificar con facilidad el servidor que conecta y en la parte baja a la izquierda contamos con las configuraciones típicas de auto-inicio y copia del servidor en el sistema, de la que comentaré sobre la opción de “Pack Executable(Less Size)”, que utilizará UPX como método de compresión del ejecutable, si esta opción está marcada, nos será imposible encriptar el servidor final.
Nos quedará pinchar sobre el botón “Build Server”, para completar el proceso de creación, momento seguido elegiremos un nombre para el ejecutable y guardarlo.
Figura 3: Servidor creado correctamente
En mi caso, probaré a infectar una máquina virtual con Windows 7, ya que la tecnología del malware también actualiza sus Service Packs de vez en cuando, aunque sigamos tirando de Visual Basic.
Figura 4: Escritorio de la víctima
Ejecutaremos el Server.exe que trae con sigo el icono de la reliquia Coolvives RAT y volveremos a nuestro PC real, para observar la conexión que se creará en cuestión de segundos.
Figura 5: Conexión desde el cliente
A simple vista tenemos multitud de datos que envía el servidor, así como versión del sistema operativo, ram del equipo, procesador o ventana activa que el remoto utiliza. Hagamos un clic con botón derecho para ver el desplegable de funciones que este nos ofrece.
Trae un gran número de funcionalidades en las que no me dentendré a explicar de forma individual, para no alimentar demasiado el ansia de los leyentes por ver a nuestro protagonista, de tal manera que iremos directamente a la opción de “Fun Options”.
Figura 6: Fun Options
Aquí veremos las típicas bromas que recordarán a troyanos más antiguos, donde había menos malicia y más picardía, como abrir o cerrar los lectores, incluso de crear un falso pantallazo azul, para recordar los buenos momentos que nos hicieron pasar con la presentación del 98.
Figura 7: Opción de ataque David Hasselhoff
Ya hemos visto en un botón bien grande nuestra opción en cuestión, así que nos quedará presionarla con ímpetu e imaginarnos la cara del usuario en remoto o activar su WebCam y verla a tiempo real, seguro tendremos una carcajada asegurada.
Figura 8: David Hasselhoff te mira
4n0nym0us ^^
Tremendo xD La cara de la víctima para grabar en vídeo. Imagínate enseñándole algo a un cliente que se ponga ese fondo }:-D
ResponderEliminarWooo wooo, algo asi en tu blog malignuuuu, un dia de estos tus primos de verde te van a pelar el ojal jijiji, menos mal que no les interesa tocar al mejor.
ResponderEliminarSaludosss... KRADEN
DIOSSSSS!!!!! ¿No lo tendreis para VNC?
ResponderEliminarUn saludo.
Nunca pensé que una broma como esta fuese a llegar tan lejos :D
ResponderEliminarComo utilizar un troyano? madre mía lo más bajo ya que podía caer este blog.
ResponderEliminarNunca pensé ver un tema de estos en el blog de Chema, creo que ya podemos nombrarlo fan nº 1 del ataque David Hasselhoff x)
ResponderEliminar@anónimo, sí, somos unos lusers, no tan hax0rs como tú, pero nos hace gracia ver a David desnudo y cualquier ocasión es buena....
ResponderEliminarPor cierto... eres subnormal, por eso entiendo que escribas en anónimo. }:))
esta gracioso jajaja...Gracias por la informacion amigo! ;)
ResponderEliminarVaya chema... no pense que te pasaras por indetectables ... La verdad es que se te ve muy interesado por ese ataque como dicen por ahi XD
ResponderEliminar¿Ahora 4n0nym0us trabaja en i64?
ResponderEliminarNo, tan solo fue una entrada con un toque de chispa y osadía a este gran blog de mi parte.
ResponderEliminarSaludos!
claro si leen bien firma 4n0nym0us y abajito dice Publicado por Maligno a las 12:01 AM
ResponderEliminarme parece buena la entrada :D
x cierto las opciones de ddos jeje me han hecho dar risa en hora buena a p0is0n
saludos bro 4n0nym0us of level-23
@Maligno, jajaja no te ofendas hombre, el único argumento que te queda es el insulto?
ResponderEliminarEn fin, me muero de ganas de la parte II, y III sobre ocultar el troyano para que parezca una foto y enviarlo por el messenger zin que se noteh muxo ks un viruz hamigo.
@anónimo, perdonda, pensé que primer comentario era para hacer daño, pq te sentías muy hax0r, así que no te insulté hombre, sólo usé un nombre descriptivo par tu cuenta, porque creo que eres un subnormal.
ResponderEliminarNo es un insulto hamijo. ¿Te lo cabio por hax0r? Venga, pon tu nombre real y así vemos tu méritos }:))
Saludos!
chema! estoy probando esto, por que cuando quiero ejecutar el "servidor.exe" me salta un error "run - time '326'
ResponderEliminarResource with identifer '101' not found?
es en mi VMware player con windows 7
gracias!
pd: firmaré como Anónimo ya que no tengo cuenta, pero me pueden decir Chichex
Hola Chichex, no se conocen problemas con esta versión "1.2", en todo caso de que lo encontrases, puedes contactar con la comunidad en cuanto solucionemos un verdadero disgusto de miles de conexiones concurrentes... wtf!
ResponderEliminarUn Saludo!
4n0nym0us:
ResponderEliminaralgo estoy haciendo mal, ya que no me funciona y quiero hacer una demo para un trabajo de seguridad informática en mi Uni. la ip de mi victima tiene que ser la publica o privada? ya q quiero hacer el ataque en una Maquina Virtual. gracias!
Chichex
@Chichex
ResponderEliminarSi toda la conexión con la máquina afectada sucede dentro de una red LAN, como supongo que es el caso de tu máquina virtual, deberás de poner la IP privada.
Es tan simple como dejar en la configuración de tu adaptador una IP que no venga dada por el DHCP del router a modo fija y ponerla en la configuración del servidor del RAT, de esta manera tendrás una conexión inversa asegurada. ¿No enseñan estas cosas en la universidad?
Saludos y suerte con el proyecto!
@4n0nym0us
ResponderEliminargracias!vamos a ver si tengo suerte está vez, no, no enseñan estas cosas en la uni. hay gente que está programando pero si le desconectas el mouse llaman a un técnico... es una cosa de locos, de overcloking? ni hablar... creen que es un reloj para agua... cosas así! abrazo!
Chichex
@4n0nym0us
ResponderEliminardefinitivamente no lo puedo hacer andar, desconecte DHCP y puse ip privada de mi maquina virtual en el Server, no me tira error pero no me conecta, tal vez estoy haciendo algo mal con la conexión inversa
Chichex
Y dónde se puede encontrar ahora? la web no muestra nada...
ResponderEliminarEste comentario ha sido eliminado por el autor.
ResponderEliminarCuando ya crea el archivo server.exe me sale q o es compatible con mi Win 7 de 64
ResponderEliminarActivando la opcion de compatiblidad pa win 7