jueves, octubre 07, 2010

Ataque de David Hasselhoff R.A.T.

Con ganas de robar sonrisas, apareció la remota idea de incorporar lo que es sin duda el ataque más infame y desagradable que puede sufrir un usuario delante de su PC, ahora incluso sin la escusa de abandonar el equipo y no bloquear sesión. Nació el ataque David Hasselhoff para RATs, podremos disfrutar una vez más del cambio de fondo de escritorio del conocido personaje de Los Vigilantes de la Playa a merced de un botón desde el control remoto de un troyano de la comunidad de indetectables, que anda en actual desarrollo por nuestro miembro P0is0n.

Bueno, dejemos a un lado el estilo tele-tienda y os explicaré un poco por encima con unas capturas como se configura de fácil este RAT. En primera instancia, deberemos de ejecutar el cliente de IndSocket RAT y aceptar los términos de uso bajo sus responsabilidades, una vez hecho este paso se abrirá nuestro cliente.


Figura :1 Arrancado IndSocket RAT

Nos dirigiremos a la parte superior del ListView, donde haremos clic sobre la pestaña Builder, de esta manera configuraremos el servidor que será nuestro cliente remoto.


Figura 2: Creando el servidor

Como vemos en la imagen anterior, tenemos diferentes opciones de configuración del servidor, la conexión es inversa, con lo cual en IP, rellenaremos dependiendo de si nos encontramos en una red local o externa, nuestra IP privada o pública y de si la conexión del remoto es desde fuera, tener configurado nuestro router con la NAT apuntando a nuestra IP local, con el puerto de configuración que aparece en la caja de texto abierto. En nombre pondremos algo que nos salga de corazón, para identificar con facilidad el servidor que conecta y en la parte baja a la izquierda contamos con las configuraciones típicas de auto-inicio y copia del servidor en el sistema, de la que comentaré sobre la opción de “Pack Executable(Less Size)”, que utilizará UPX como método de compresión del ejecutable, si esta opción está marcada, nos será imposible encriptar el servidor final.

Nos quedará pinchar sobre el botón “Build Server”, para completar el proceso de creación, momento seguido elegiremos un nombre para el ejecutable y guardarlo.


Figura 3: Servidor creado correctamente

En mi caso, probaré a infectar una máquina virtual con Windows 7, ya que la tecnología del malware también actualiza sus Service Packs de vez en cuando, aunque sigamos tirando de Visual Basic.


Figura 4: Escritorio de la víctima

Ejecutaremos el Server.exe que trae con sigo el icono de la reliquia Coolvives RAT y volveremos a nuestro PC real, para observar la conexión que se creará en cuestión de segundos.


Figura 5: Conexión desde el cliente

A simple vista tenemos multitud de datos que envía el servidor, así como versión del sistema operativo, ram del equipo, procesador o ventana activa que el remoto utiliza. Hagamos un clic con botón derecho para ver el desplegable de funciones que este nos ofrece.

Trae un gran número de funcionalidades en las que no me dentendré a explicar de forma individual, para no alimentar demasiado el ansia de los leyentes por ver a nuestro protagonista, de tal manera que iremos directamente a la opción de “Fun Options”.


Figura 6: Fun Options

Aquí veremos las típicas bromas que recordarán a troyanos más antiguos, donde había menos malicia y más picardía, como abrir o cerrar los lectores, incluso de crear un falso pantallazo azul, para recordar los buenos momentos que nos hicieron pasar con la presentación del 98.


Figura 7: Opción de ataque David Hasselhoff

Ya hemos visto en un botón bien grande nuestra opción en cuestión, así que nos quedará presionarla con ímpetu e imaginarnos la cara del usuario en remoto o activar su WebCam y verla a tiempo real, seguro tendremos una carcajada asegurada.


Figura 8: David Hasselhoff te mira

4n0nym0us ^^

23 comentarios:

B4RRe1R0 dijo...

Tremendo xD La cara de la víctima para grabar en vídeo. Imagínate enseñándole algo a un cliente que se ponga ese fondo }:-D

Anónimo dijo...

Wooo wooo, algo asi en tu blog malignuuuu, un dia de estos tus primos de verde te van a pelar el ojal jijiji, menos mal que no les interesa tocar al mejor.
Saludosss... KRADEN

Unknown dijo...

DIOSSSSS!!!!! ¿No lo tendreis para VNC?
Un saludo.

Anónimo dijo...

Nunca pensé que una broma como esta fuese a llegar tan lejos :D

Anónimo dijo...

Como utilizar un troyano? madre mía lo más bajo ya que podía caer este blog.

Novlucker dijo...

Nunca pensé ver un tema de estos en el blog de Chema, creo que ya podemos nombrarlo fan nº 1 del ataque David Hasselhoff x)

Chema Alonso dijo...

@anónimo, sí, somos unos lusers, no tan hax0rs como tú, pero nos hace gracia ver a David desnudo y cualquier ocasión es buena....

Por cierto... eres subnormal, por eso entiendo que escribas en anónimo. }:))

Anónimo dijo...

esta gracioso jajaja...Gracias por la informacion amigo! ;)

Anónimo dijo...

Vaya chema... no pense que te pasaras por indetectables ... La verdad es que se te ve muy interesado por ese ataque como dicen por ahi XD

Anónimo dijo...

¿Ahora 4n0nym0us trabaja en i64?

Germán Sánchez Garcés dijo...

No, tan solo fue una entrada con un toque de chispa y osadía a este gran blog de mi parte.

Saludos!

k4x30x dijo...

claro si leen bien firma 4n0nym0us y abajito dice Publicado por Maligno a las 12:01 AM

me parece buena la entrada :D
x cierto las opciones de ddos jeje me han hecho dar risa en hora buena a p0is0n

saludos bro 4n0nym0us of level-23

Anónimo dijo...

@Maligno, jajaja no te ofendas hombre, el único argumento que te queda es el insulto?

En fin, me muero de ganas de la parte II, y III sobre ocultar el troyano para que parezca una foto y enviarlo por el messenger zin que se noteh muxo ks un viruz hamigo.

Chema Alonso dijo...

@anónimo, perdonda, pensé que primer comentario era para hacer daño, pq te sentías muy hax0r, así que no te insulté hombre, sólo usé un nombre descriptivo par tu cuenta, porque creo que eres un subnormal.

No es un insulto hamijo. ¿Te lo cabio por hax0r? Venga, pon tu nombre real y así vemos tu méritos }:))

Saludos!

Anónimo dijo...

chema! estoy probando esto, por que cuando quiero ejecutar el "servidor.exe" me salta un error "run - time '326'

Resource with identifer '101' not found?

es en mi VMware player con windows 7

gracias!

pd: firmaré como Anónimo ya que no tengo cuenta, pero me pueden decir Chichex

Germán Sánchez Garcés dijo...

Hola Chichex, no se conocen problemas con esta versión "1.2", en todo caso de que lo encontrases, puedes contactar con la comunidad en cuanto solucionemos un verdadero disgusto de miles de conexiones concurrentes... wtf!

Un Saludo!

Anónimo dijo...

4n0nym0us:

algo estoy haciendo mal, ya que no me funciona y quiero hacer una demo para un trabajo de seguridad informática en mi Uni. la ip de mi victima tiene que ser la publica o privada? ya q quiero hacer el ataque en una Maquina Virtual. gracias!

Chichex

Germán Sánchez Garcés dijo...

@Chichex
Si toda la conexión con la máquina afectada sucede dentro de una red LAN, como supongo que es el caso de tu máquina virtual, deberás de poner la IP privada.
Es tan simple como dejar en la configuración de tu adaptador una IP que no venga dada por el DHCP del router a modo fija y ponerla en la configuración del servidor del RAT, de esta manera tendrás una conexión inversa asegurada. ¿No enseñan estas cosas en la universidad?

Saludos y suerte con el proyecto!

Anónimo dijo...

@4n0nym0us

gracias!vamos a ver si tengo suerte está vez, no, no enseñan estas cosas en la uni. hay gente que está programando pero si le desconectas el mouse llaman a un técnico... es una cosa de locos, de overcloking? ni hablar... creen que es un reloj para agua... cosas así! abrazo!

Chichex

Anónimo dijo...

@4n0nym0us

definitivamente no lo puedo hacer andar, desconecte DHCP y puse ip privada de mi maquina virtual en el Server, no me tira error pero no me conecta, tal vez estoy haciendo algo mal con la conexión inversa

Chichex

Anónimo dijo...

Y dónde se puede encontrar ahora? la web no muestra nada...

Johnny dijo...
Este comentario ha sido eliminado por el autor.
Johnny dijo...

Cuando ya crea el archivo server.exe me sale q o es compatible con mi Win 7 de 64
Activando la opcion de compatiblidad pa win 7

Entrada destacada

10 maneras de sacarle el jugo a tu cuenta de @MyPublicInbox si eres un Perfil Público

Cuando doy una charla a algún amigo, conocido, o a un grupo de personas que quieren conocer MyPublicInbox , siempre se acaban sorprendiendo ...

Entradas populares