Коллеги, всех приветствую, опишу ситуцию, хотел бы услышать ваше мнение по данному вопросу, как говорится одна голова хорошо, а несколько еще лучше.
Вообщем имеется недетектируемый бэкдор на пайтоне в виде exe файла, либо в .py до компиляции. Вес большой почти 10 метров. Либо можно запилить обычный бэк и закриптовать его, это не проблема.
Цель получает еженедельную отчетность в виде excel отчета через телеграм. Подскажите способ доставить бэкдор цели, что я попробовал:
Сделать картинку excel документа, поменять расширение .exe на .scr, затем юникодом запилить подмену имени файла на marcs.xls, столкнулся со следующими сложностями, если заливать файл на файлобменник подмена имени перестает работать и файл начинает именоваться maxls.scr, затем при открытии дефендер \ аваст сообщает что файл подозрительный ибо расширение редкоиспользуемое scr. Кто не в курсе если поменять exe на scr приложение, в частности backdoor будет выполняться, также как если бы он имел расширение exe.
Второй способ просто подменять иконку объекта и назвать файл необходимым для юзера именем (то есть тем которое он ожидает), но расширение поставить scr (так как оно редко используется и мало кто знает, обратит внимание, что-то не так, бог его знает сколько там у этого оффиса различных форматов).
Я кстати почти уверен что цель использует Microsoft Office 2013, так как удалось получить доступ к одной из машин, связанных косвенным образом с целью, есть основания полагать, что они используют одно программное обеспечение.
Я пробовал создать макрос, через powershell (base64) скачивая файл и запуская его, но нет уверенности, что офис не пропатчен, а шанса на ошибку нет, нужно сто процентов подцепить на крючок цель, как говорится второго выстрела не получится сделать. Более того на тестовой машине отрабатывает АВ, даже не смотря на то что сам exe не детектится по отдельности.
Можно купить склейку с exe\doc у разного рода ребят на нашем и дружественных бордах, на как правило будет тоже самое, что я и без них делаю и опять же если офис пропатчен, сомневаюсь, что это сработает, опять же всего скорее офис старый и с торрента, так что может и обновления на него не скачивались триста лет, но мы не можем этого знать наверняка.
А и еще есть идея создать оболочку программы которая якобы делает какое то действие в котором будет заинтересована цель, но при запуске будет открывать meterpreter сессию или что то в этом роде.
Итог: Хочу услышать ваше мнение, каким образом доставить payload цели? Кто что думает? Заранее спасибо.
Вообщем имеется недетектируемый бэкдор на пайтоне в виде exe файла, либо в .py до компиляции. Вес большой почти 10 метров. Либо можно запилить обычный бэк и закриптовать его, это не проблема.
Цель получает еженедельную отчетность в виде excel отчета через телеграм. Подскажите способ доставить бэкдор цели, что я попробовал:
Сделать картинку excel документа, поменять расширение .exe на .scr, затем юникодом запилить подмену имени файла на marcs.xls, столкнулся со следующими сложностями, если заливать файл на файлобменник подмена имени перестает работать и файл начинает именоваться maxls.scr, затем при открытии дефендер \ аваст сообщает что файл подозрительный ибо расширение редкоиспользуемое scr. Кто не в курсе если поменять exe на scr приложение, в частности backdoor будет выполняться, также как если бы он имел расширение exe.
Второй способ просто подменять иконку объекта и назвать файл необходимым для юзера именем (то есть тем которое он ожидает), но расширение поставить scr (так как оно редко используется и мало кто знает, обратит внимание, что-то не так, бог его знает сколько там у этого оффиса различных форматов).
Я кстати почти уверен что цель использует Microsoft Office 2013, так как удалось получить доступ к одной из машин, связанных косвенным образом с целью, есть основания полагать, что они используют одно программное обеспечение.
Я пробовал создать макрос, через powershell (base64) скачивая файл и запуская его, но нет уверенности, что офис не пропатчен, а шанса на ошибку нет, нужно сто процентов подцепить на крючок цель, как говорится второго выстрела не получится сделать. Более того на тестовой машине отрабатывает АВ, даже не смотря на то что сам exe не детектится по отдельности.
Можно купить склейку с exe\doc у разного рода ребят на нашем и дружественных бордах, на как правило будет тоже самое, что я и без них делаю и опять же если офис пропатчен, сомневаюсь, что это сработает, опять же всего скорее офис старый и с торрента, так что может и обновления на него не скачивались триста лет, но мы не можем этого знать наверняка.
А и еще есть идея создать оболочку программы которая якобы делает какое то действие в котором будет заинтересована цель, но при запуске будет открывать meterpreter сессию или что то в этом роде.
Итог: Хочу услышать ваше мнение, каким образом доставить payload цели? Кто что думает? Заранее спасибо.
