Seguridad Informatica => Investigación de Malware => Mensaje iniciado por: FHB en Junio 11, 2013, 07:15:31 am
Título: dudas de configuración de rat´s
Publicado por: FHB en Junio 11, 2013, 07:15:31 am
Bueno despues de estar metido y crearme un nuevo hobby al grado de empezar a tomar diplomados de programacion etc etc me di cuenta que muchos nuevos piden todo en bandeja de plata (perdon nologa) alguien a quien moleste mucho con preguntas tontas el punto es que realmente se debe buscar e intentar bastante para aprender y solo preguntar cuando realmente estamos estancados por lo que va una recopilacion corta acerca de como crear un malware por principio recomiendo ampliamente el cuaderno de nologa con el que aprendi mucho .-http://foro.hackxcrack.net/cuadernos/malware-parte1/Hack_X_Crack_Malware_parte1.pdf(http://foro.hackxcrack.net/Users/FOFOVERA/Desktop/Captura de pantalla 2013-06-10 a la(s) 23.30.37.png) .-Luego para que la NO-IP esto funciona porque nuestro RAT es de coneccion inversa osea que el cliente se conecta a nosotros por lo cual si el cliente tiene ip variable (lo mas seguro) no importara pero nosotro necesitas nuestra ip estatica por eso el uso de NO-IP aquí el link: .-http://www.noip.com/services/managed_dns/enhanced_dinamico_dns.html?utm_source=google&utm_medium=cpc&utm_term=no-ip&utm_campaign=Brand+Mexico+google&utm_content=Brand+Mexico+Google+Spanish+Ad&gclid=CPWmmLmW27cCFWIV7AodwmIAjw (http://foro.hackxcrack.net/Users/FOFOVERA/Desktop/Captura de pantalla 2013-06-10 a la(s) 23.35.17.png) .- Ahora abrir puertos para que bueno facil de ese modo nuestro rat utilizara un puerto asignado la forma de hacerlo nos vamos a ejecutar o buscar y escribimos cmd nos saldra la pantalla negra escribimos ip config y tomamos el numero que salga en puerta enlace predeterminada (foto nologa)(http://foro.hackxcrack.net/Users/FOFOVERA/Desktop/Captura de pantalla 2013-06-10 a la(s) 23.39.12.png) listo ahora ponemos esos numeros en el buscador y nos abrira el router la mayoria para entrar usan los sig códigos user:admin contra:1234 user: admin contra:admin user:admin contrapassword si no sirve ninguna toma su codigo de router y buscan en google la contraseña .-ahora vamos a panel de control/ firewall/excepciones y agregamos el puerto que hayamos abierto en nuestro router .-Ahora configuración del rat creo yo la parte mas sencilla existen darkcomet, turkoja, cybergate, adwind rat, jrat etc es sencillo y una vez armado un modulo los demas son intuitivos dejo un video de darkcomet .-http://www.youtube.com/watch?v=grYl_z-qOvU si tienen duda de algun otro busquen youtube o google miles de vídeos .-Ahora pasamos a hacerlo indetectable despues de crear nuestro modulo una duda muy comun que de echo yo tuve es: si programo o modeo en vb6 ya sera fud o indetectable? NO eso es en caso de que queramos hacer nuestro propio crypter (funcion para cifrar nuestro archivo) en caso de querer omitir este paso por falta de tiempo descarguen uno aunque recomiendo modear uno para ir conociendo programación dejo paginas de descargas confiables: http://indetectables.net/viewforum.php?f=7 http://foro.hackxcrack.net/forum/index.php?board=49.0
modeo en vb6 en inlges ::) http://underc0de.org/foro/tutoriales-y-manuales/crear-crypter-runtime-vb6-sanko/ en español 8) ahora si desean descargar uno para ahorrar tiempo les comento que en dos o tres dias estara quemado ya no hara nuestro modulo indetectable por eso se recomienda crear uno pero bueno .-Una vez creado nuestro crypt o descargado viene el modeo para hacerlo indetectable hay varias formas para esto si utilizamos un crypter descargado necesitaremos que tenga el stub visible preferiblemente yo me acomodo en usar un crypt y usar signaturezero y avfucker dejo un video de como hacerlo
esto se hace checando con antivirus en tiempo real dejo un tuyo de dos opciones de modeo rit y xor utilizando varias herramientas https://sites.google.com/site/websiteselblogdelhacker/modificar-un-crypter .-Ahora como manejar varios avs en una misma maquina con una virtual box dejo aqui el link de descarga https://www.virtualbox.org como instalarla
es necesario bajar el sistema opertaivo necesario preferiblemente el mismo que usamos en nuestra maquina o en el que trabajaremos el rat si tenemos los discos de arranque estara perfecto (OJO si hacemos esto al crear el modulo de prueba no clickear en ocultar a maquinas virtuales como cybergate) de esa forma mandaremos offsets de firmas a checa como lo dice el video hasta lograr brincar un av .-Ahora viene el oiner o binder esto es para hacer que nuestro modulo no se vea como una fea pantalla blanca sin ningun archivo dentro el cual dara alerta de peligrto al cliente se puede modear un joiner en vb6 pero hay formas mas faciles dejo vídeos http://adwind.com.mx/a/video/IncrustarArchivos/ powerpoint esto oculta incluso el modulo http://www.bujarra.com/ProcedimientoJoinerConWinRAR.html unicamente winrar el binder que viene por ejemplo en darkcomet es funcional al 100% .-Ahora para checar que tan fud es un crypter o como quedo el nuestro sugiero este scanner http://chk4me.com/check/ (no usar cualquiera ya que puede enviar nuestro stub a los avs y se quemara en un día) dejo un post con varias http://foro.hackxcrack.net/forum/index.php?topic=1807.0 con esto es suficiente para empezar espero que con esto haya menos como hago mi eta indetectable y mas gente modeando aclaro estoy en contra de no ayudar a nuevos usuarios ya que todos lo fuimos pero porfavor busquen un poco antes de preguntar a moderadores o gente experimentada (nologa perdón) :'( si a la primera busqueda no encuentran lo que buscan en google intenten buscar mas cambiando letras HERRAMIENTAS http://foro.hackxcrack.net/forum/index.php?topic=14084.0 Si desean rats para diferentes sistemas operativos están jrat y adwindrat aunque este ultimo tiene un costo así como algunos crypters linkeo abajo http://www.crypters.org de pago http://adwind.com.mx/a/ de pago ahora yo no apoyo ninguna de estas dos ya que pagamos por el adwind hasta 75USD por algo fud? y 30USD por un crypter que en un mes ya habra ocupado las dos actualizaciones y a comprar otra vez prefiero modear y ahorrarme 130 USD ahora dejare el adwind rat version 0.9 ya viejon abierto para que vean maso que es sin pagar aunque realmente es como cualquier otro http://www.sendspace.com/file/baslcc Contraseña: Regalo de Navidad Adwin aclaro esto salio de indetecables no lo consegui yo por mi cuenta aunque pedí un demo de la 2.0 haber si me la dan ;D dejo link de jrat http://jrat-project.org funciona en varias plataformas ya que es java espero que sea suficiente para evitar lammers y preguntas muy ilogicas no entren a foros como este preguntando como hackear facebook o hotmail o como espiar a alguien esto es para conocimiento y para que la gente nueva sepa que no cualquiera crea en 3 minutos un buen rat para infectar al pentágono :P por mi parte es todo si tienen alguna duda por aqui o manden MP y de verdad busquen mucho y aprenderán mucho saludos
Título: Re:dudas de configuración de rat´s
Publicado por: DiouS en Junio 11, 2013, 05:41:37 pm
Ahora si quedo excelente amigo , se agradece tu aporte :D
Título: Re:dudas de configuración de rat´s
Publicado por: Prow en Junio 12, 2013, 02:13:44 am
Ahora si quedo excelente amigo , se agradece tu aporte :D
IDEM, buen aporte.
Título: Re:dudas de configuración de rat´s
Publicado por: Shadow9 en Junio 12, 2013, 03:12:23 am
Hola buenas Yo hice todo lo que dijo de abrir los puertos en tu ruter, crearte una Ip fija con no-ip, abrir los puertos en el firewall pero despues dice algo de: "Ya tenemos nuestro servidor FTP configurado, ahora tan solo habría que abrir el puerto 21 en el Firewall y en el router si no lo tenemos abierto" ese como se podria hacer?
Porque todo lo demas lo hago pero cuando ejecuto el RAT no me infecta mi PC Ayuda plis :)
Título: Re:dudas de configuración de rat´s
Publicado por: Prow en Junio 12, 2013, 03:20:33 am
Hola buenas Yo hice todo lo que dijo de abrir los puertos en tu ruter, crearte una Ip fija con no-ip, abrir los puertos en el firewall pero despues dice algo de: "Ya tenemos nuestro servidor FTP configurado, ahora tan solo habría que abrir el puerto 21 en el Firewall y en el router si no lo tenemos abierto" ese como se podria hacer?
Porque todo lo demas lo hago pero cuando ejecuto el RAT no me infecta mi PC Ayuda plis :)
¿Sistema operativo y módelo de Router?
Abrir puertos en Firewall de Windows 7 (http://www.youtube.com/watch?v=HNQ3ajl6Rho)
Para encontrar el método específico para abrir puertos en tu router busca: "Abrir puertos en 'Marca-Modelo".
Título: Re:dudas de configuración de rat´s
Publicado por: FHB en Junio 12, 2013, 05:10:52 am
Hola buenas Yo hice todo lo que dijo de abrir los puertos en tu ruter, crearte una Ip fija con no-ip, abrir los puertos en el firewall pero despues dice algo de: "Ya tenemos nuestro servidor FTP configurado, ahora tan solo habría que abrir el puerto 21 en el Firewall y en el router si no lo tenemos abierto" ese como se podria hacer?
Porque todo lo demas lo hago pero cuando ejecuto el RAT no me infecta mi PC Ayuda plis :)
primero el servidor FTP no tiene nada que ver con tu rat es para almacenamiento de keylogger y para que funcione debes crearle un no-ip ftp pero no es necesario para que tu rat funcione y es recomendable si manejas mas de 10 clientes. si te estas intentando autoinfectar antes que nada no apagues, borra tu antivirus despues lo vuelves a instalar muchas veces aunque este apagado sigue bloqueando, y al momento de crear tu modulo en vez de poner en ip/dns practicahxc.no-ip.biz (por ejemplo) pon tu locallhost que seria 127.0.0.1 y add this configuration en el caso de darkcomet. la forma de abrir el puerto 21 en caso de querer usar ftp lo haces de la misma forma que con los pasados aunque si utilizaste msn skype etc lo mas propable es que lo tengas abierto saludos
Título: Re:dudas de configuración de rat´s
Publicado por: Nologa93 en Junio 12, 2013, 01:17:14 pm
El puerto 21 ya viene abierto por defecto... muy rara vez no lo está o está bloqueado (aunque lo dije por lo mismo). Solo es cuestión de checkearlo.
-El supuesto vídeo de "modeo en vb en ingles", míralo. No se que tiene eso de modeo.
-Las fotos no se ven.
Saludos!
Título: Re:dudas de configuración de rat´s
Publicado por: Shadow9 en Junio 12, 2013, 02:51:04 pm
yo creo que me falla lo de los puertos, yo tengo el ruter de comtrend y si quiero agregar un puerto queda asi: https://docs.google.com/file/d/0B809go4mSTjFUGRhWVJrU3VPaU0/edit (https://docs.google.com/file/d/0B809go4mSTjFUGRhWVJrU3VPaU0/edit) pero no se si lo estoy poniendo bien Ahora bien yo despues habro tambien el puerto 1200 en el firewall de entrada y entonces tendre que abrir el Darkcomet con el port 1200 sino me equiboco. PD: Eso esta hecho Pero ahora al configurar los network settings yo lo pongo asi: https://docs.google.com/file/d/0B809go4mSTjFUVU3ZjBHTE9QN0k/edit (https://docs.google.com/file/d/0B809go4mSTjFUVU3ZjBHTE9QN0k/edit) y no se si esta bien y tambien envez del np-ip.org podria probar el del hostlocal "170.0.0.1:1200" pero ese no me tampoco me funciona y lo demas lo estoy configurando como dice Nolaga93 Que hago mal plis alguien podria explicarme
Título: Re:dudas de configuración de rat´s
Publicado por: FHB en Junio 12, 2013, 05:24:15 pm
El puerto 21 ya viene abierto por defecto... muy rara vez no lo está o está bloqueado (aunque lo dije por lo mismo). Solo es cuestión de checkearlo.
-El supuesto vídeo de "modeo en vb en ingles", míralo. No se que tiene eso de modeo.
-Las fotos no se ven.
Saludos!
si lo siento el video esta mal ::) lo siento los demas son útiles para shadow9 como sabes que los puesrtos estan mal si en localhost no te puedes infectar? yo no veo problema en tus puertos ya botatse tu antivirus? abre otro puerto y mas facil en netsockets checa si tus puertos estan escuchando si dice :listening: quiere decir que estan funcionales saludos
Título: Re:dudas de configuración de rat´s
Publicado por: Shadow9 en Junio 13, 2013, 02:06:22 am
NO hace falta que de disculpes puede que lo estubiera haciendo yo mal :) Y gracias por lo segundo con eso si me sirvio
Título: Re:dudas de configuración de rat´s
Publicado por: Shadow9 en Junio 13, 2013, 02:10:56 am
Perdon por el ultimo comentario que puse no habia pillado la ironia... :(
Título: Re:dudas de configuración de rat´s
Publicado por: FHB en Junio 14, 2013, 05:58:05 am
cual ironia? no hubo ironia me disculpe porque el video en vb6 ingles estaba mal respecto a ti que te funciono? lo de botar antivirus o checar tus puertos? si no conecta en local no necesariamente son puertos agregalos checa que escuchen y prueba saludos
Título: Re:dudas de configuración de rat´s
Publicado por: pauline88 en Noviembre 20, 2013, 02:57:47 am
A pesar de que me pone que haga un nuevo tema me arriesgo a preguntar aqui, que por algo es el tutorial
Antes de nada muchas gracias por el tutorial, estamos 4 amigos y yo muy picados con este tema y nos lo has dejado bastante claro pero tenemos 2 dudas: 1. si descargamos un crypter fud, ¿hace falta modearlo para hacerlo indetectable? si es fud ya lo es no? 2. ¿como podemos probar si nuestro rat funciona? nosotros hemos usado jrat porque es para un mac.
Gracias
Título: Re:dudas de configuración de rat´s
Publicado por: Nologa93 en Noviembre 21, 2013, 03:43:17 pm
1- Si es FUD no hace falta modearlo en el momento. Más tarde, cuando deje de serlo, sí.
2- Localhost, por ejemplo (sin mezclar temas de puertos y demás).
Saludos!
Título: Re:dudas de configuración de rat´s
Publicado por: pauline88 en Noviembre 21, 2013, 05:35:34 pm
Ok, gracias, supongo que tendré que cambiar alguna opción para autoinfectarme, ¿no? He visto la guía que hiciste con darkcomet pero ya lo tenía con jrat.... ¿sabes cómo iría con este? En el manual no ponía nada de filezilla pero en tu cuaderno malware_1 nologa93 pone que tengo que conectarlo a un ftp... mi problema es con los puertos... no he logré abrirlos con filezilla y por eso leí este manual que no ponía nada de ftp, entiendo que jrat funciona sin ftp, ¿no?
Título: Re:dudas de configuración de rat´s
Publicado por: Nologa93 en Noviembre 23, 2013, 02:29:11 am
mi problema es con los puertos... no he logré abrirlos con filezilla
lol? El ftp es algo opcional, si quieres. No sé que tiene que ver para abrir los puertos... relee
Saludos!
Título: Re:dudas de configuración de rat´s
Publicado por: pauline88 en Noviembre 23, 2013, 04:49:16 pm
No me expresé bien creo, soy francesa así que disculpa.
Quería decir que filezilla no me conectaba a las carpetas, que debe ser problema con los puertos, pero si es opcional no me preocupo.
Entonces, una vez que tenemos el server.jar, que supuestamente al hacerlo con jrat es fud, lo puedo meter en un .rar oculto para que se autoejecute al abrirlo y ya estaría todo o no? Gracias
Título: Re:dudas de configuración de rat´s
Publicado por: Nologa93 en Noviembre 23, 2013, 09:06:49 pm
No lo va a ser. Sino, comprueba subiendo el serve en algunas de estas páginas (http://foro.hackxcrack.net/forum/malware/gtgt-paginas-para-escanear-ltlt-(lectura-obligatoria)/) y míralo con tus ojos.
Saludos!
Título: Re:dudas de configuración de rat´s
Publicado por: pauline88 en Noviembre 27, 2013, 12:07:51 am
Lo preguntaba porque intenté checkearlo en esas páginas pero o están caídas o no me deja subir un archivo...
Título: Re:dudas de configuración de rat´s
Publicado por: FHB en Noviembre 27, 2013, 03:12:34 am
haber no estas muy confundida uno filezilla no lo uses dos para autoinfectarte si es con el puerto que indico nologa sin embargo eso no garantiza que tu server sea fud o que los puertos funcionen correctamente eso solo lo puedes probar en una pc o mac con una linea de red distinta y un ip diferente si no logras abrir los puertos esta la opcion de proxpn que ademas de abrir puertos te asigna una ip de otro pais ahora al utilizar jrat o cybergate o lo que sea no es fud ni en un 1% y si bajas un crypter dificilmente le servira ya que es java y lo mas probable es que quiebre el server deberas aprender a modear un poco ya que necesitaras generar tu crypter y si bajas uno para otro server servira de uno a 3 dias por lo cual es mejor lo privado el ftp sirve para cualquier rat pero no es necesario es mas olvidate de el ahorita te sugiero usar darkcomet para entender bien el modo el echo de que sea java o no no cambia la configuracion de puertos etc saludos
Título: Re:dudas de configuración de rat´s
Publicado por: pauline88 en Noviembre 29, 2013, 08:10:39 pm
Decía lo de descargar un crypter porque tu mismo ponías que se podía hacer. No he entendido mucho lo que quieres decirme. ¿que debo hacer para camiflar en server del jrat? Solo puedo usar jrat porque es para infectar un mac y darkcomet no lo infecta. Gracias y siento las preguntas pero creo que tu no hablas español de España y yo soy francesa asi que es un poco complicado para mi entenderte. Saludos
Título: Re:dudas de configuración de rat´s
Publicado por: 1e0 en Diciembre 04, 2013, 03:50:55 am
tengo un problema con la configuración de Darkcomet... estudie y aplique todo lo enseñado por el cuaderno de Malware de Nologa y no he podido auto-infectarme ....el problema que creo que tengo es referente al modem móvil (huawei) que tengo para conectarme a internet, ya que no me permite abrir los puertos para aplicar una configuración optima para el rat..... el modem que tengo es un modem Huawei E353 de la compañía entel (Portable o móvil))....he buscado a través google alguna tutorial que permita señalar como abrir este tipo de dispositivos, para poder administrar los puertos, pero nada aun ....
alguien que me pueda guiar???? de ante mano gracias....
Título: Re:dudas de configuración de rat´s
Publicado por: Nologa93 en Diciembre 04, 2013, 05:34:51 am
Para autoinfectarte no se necesita abrir puertos...
Respecto a tu router, supongo que es 3G. No se necesitan abrir puertos. Aún así mirate esto (http://www.laneros.com/temas/guia-para-abrir-puertos-bloqueados-del-modem-router-huawei-smartax-mt820-de-telecom.45383/) por si acaso.
Saludos!
Título: Re:dudas de configuración de rat´s
Publicado por: Nologa93 en Diciembre 04, 2013, 05:36:22 am
P.D: no te cuelgues de otros post.
(A ver que mierda han hecho que ahora no se puede editar los comentarios).
Título: Re:dudas de configuración de rat´s
Publicado por: 1e0 en Diciembre 05, 2013, 03:40:38 am
Para autoinfectarte no se necesita abrir puertos...
Respecto a tu router, supongo que es 3G. No se necesitan abrir puertos. Aún así mirate esto (http://www.laneros.com/temas/guia-para-abrir-puertos-bloqueados-del-modem-router-huawei-smartax-mt820-de-telecom.45383/) por si acaso.
Saludos!
Gracias Nologa93, ya logre realizar la autoinfección, efectivamente no necesitaba abrir los puertos de mi modem...el problema era ya que trate de utilizar el mismo puerto que estaba utilizando con el Ultrasurfer y eso .... me quedaron unas duda.... haber si me puedes ayudar al utilizar No-IP mediante el DNS, y al ser conexión con la victima, esta podrá ver mi conexión a través del comando Netstat -n Cierto (Si me equivoco por favor corrígeme) pero esta vera el nombre del DNS creado en NOIP, o vera mi numero IP????
Y finalmente se puede hacer pasar este Darkcomet por Ultrasurfer, para tener un grado mas de anonimato y seguridad???
Nuevamente se agradece, la ayuda Nologa93
Título: Re:dudas de configuración de rat´s
Publicado por: FHB en Diciembre 11, 2013, 05:39:39 am
Decía lo de descargar un crypter porque tu mismo ponías que se podía hacer. No he entendido mucho lo que quieres decirme. ¿que debo hacer para camiflar en server del jrat? Solo puedo usar jrat porque es para infectar un mac y darkcomet no lo infecta. Gracias y siento las preguntas pero creo que tu no hablas español de España y yo soy francesa asi que es un poco complicado para mi entenderte. Saludos
lo de descarga de crypter no esta enfocado en malwares de java ok el español es practicamente identico el de mexico y españa mas que colombia, chile etc... para camuflar el server una al ser java noes facilmente detectable pero que es lo que relamente deseas? camuflar el server o hacerlo fud? para camuflar el server no hay opciones realmente solo utilizando reshack y modificandolo hasta lograr cambiar la imagen de java que genera por defecto la cosa es que al hacer este procedimiento del cual hay tutoriales aqui o en la web dejara de ser un ejecutable java y no funcionara realmente al menos para mac explica bien si deseas que sea fud que es para lo que sirve el cifrado o si deseas camuflear el server
Título: Re:dudas de configuración de rat´s
Publicado por: FHB en Diciembre 11, 2013, 05:44:33 am
[/quote]
Gracias Nologa93, ya logre realizar la autoinfección, efectivamente no necesitaba abrir los puertos de mi modem...el problema era ya que trate de utilizar el mismo puerto que estaba utilizando con el Ultrasurfer y eso .... me quedaron unas duda.... haber si me puedes ayudar al utilizar No-IP mediante el DNS, y al ser conexión con la victima, esta podrá ver mi conexión a través del comando Netstat -n Cierto (Si me equivoco por favor corrígeme) pero esta vera el nombre del DNS creado en NOIP, o vera mi numero IP????
Y finalmente se puede hacer pasar este Darkcomet por Ultrasurfer, para tener un grado mas de anonimato y seguridad???
Nuevamente se agradece, la ayuda Nologa93 [/quote] la palabra ``victima´´ esta prohibida en el foro, 2 si si podra ver la conexion pero solo el puerto no el dns ni mucho menos la no-ip es procedimiento distinto explicado en el foro usando el buscador 3 una cosa es cifrar u ocultar el server y otra diferente tener un anonimato dentro del servidor es decir no sirve meter el malware ni a ultrasurfer ni proxpn ni crypto etc lo que se hace es que tu maquina tu ip privada y publica pase por el cifrado para que la maquina no sea revelada de manera facil ya que al decifrar el malware lo peligroso es que encuentren la transmision no el server en si por lo que deberias asegurar tu pc con cualquiera de las opciones anteriores saludos