Concetti Chiave
- Shellter è un software sperimentale che inietta un virus in un file eseguibile esistente, rendendolo invisibile agli antivirus grazie a un'iniezione in posizioni casuali.
- La tecnica di occultamento del virus tramite Shellter è spesso utilizzata per distribuire versioni pirata di software a pagamento, come giochi per PC.
- Utilizzando metasploit, è possibile generare un trojan che si connette alla macchina attaccante tramite una reverse connection e viene reso invisibile agli antivirus con algoritmi di codifica avanzati.
- Dopo l'iniezione del trojan in un software come CCleaner, il file infettato non viene rilevato da alcun antivirus, garantendo il completo accesso alla macchina della vittima.
- L'articolo sottolinea che avere un antivirus non è sempre sufficiente e consiglia di scaricare software solo da fonti sicure per evitare infezioni.
Dopo aver visto in un articolo precedente cos'è un Trojan e come funziona vediamo com'è possibile che questo venga reso invisibile agli antivirus e soprattutto come sia possibile fare in modo che sia pi facile distribuirlo senza dare nell'occhio.
Per nascondere il nostro trojan e renderlo pi facilmente distribuibile utilizzeremo Shellter.
Shellter un nuovo software sperimentale che inietta un file eseguibile contenete un virus all'interno di un altro in modo dinamico.
In modo dinamico vuol dire che all'interno del software genuino viene inserito il virus in una posizione casuale.
In questo modo gli antivirus non sapranno dove cercare.
Il fatto di poter inserire il virus in un qualsiasi programma vuol dire che avremo la possibilità di nascondere il nostro virus e contemporaneamente renderlo totalmente FUD (Fully UnDetectable, completamente invisibile agli antivirus).
Cominciamo col generare il trojan. Per farlo utilizzeremo metasploit.
Con quei parametri stato generato un trojan che si collegherà alla nostra macchina con una reverse connection, in formato raw in modo da essere compatibile con shellter ed stato codificato con l'algoritmo x86/shikata_ga_nai in modo da essere ancora pi difficilmente rilevato dagli antivirus.
Proviamo a far analizzare il file appena creato in modo da poter confrontare il risultato con quello che otterremo dopo lutilizzo di shellter.
23 antivirus su 34 hanno rilevato una minaccia nel file.
Adesso iniettiamo questo trojan all'interno di un qualsiasi software per renderlo invisibile con shellter.
> Questa tecnica per nascondere virus all'interno di programmi già esistenti spesso utilizzata da chi crea e distribuisce versioni pirata, craccate, di software a pagamento come ad esempio i giochi per pc.
In questo articolo uniremo il nostro trojan col CCleaner, un noto tool per windows che ripulisce il sistema da file inutili.
Indice
Eseguiamo Shellter
Scegliamo CCleaner come software da infettare
Scegliamo il trojan precedentemente creato come virus da iniettare
Processo completato
Proviamo ad analizzare il nuovo software che contiene il virus
Su 34 antivirus nessuno è in grado di rilevare una minaccia all'interno del software!
Proviamo adesso ad eseguire il nuovo software infettato per vedere se effettivamente si collega alla nostra macchina e riusciamo a prendere il controllo della macchina della vittima.
Prepariamo metasploit ad accettare nuove connessioni
Eseguiamo la versione infettata di CCleaner
Immediatamente dopo il doppio click sul programma ci stato garantito il totale accesso al computer
Per assicurarci che stia funzionando proviamo a vedere dalla macchina attaccante i files contenuti nella cartella Documenti della macchina vittima
Durante il nostro accesso alla macchina il software originale funziona perfettamente senza destare alcun sospetto.
Conclusione
Non sempre avere un antivirus installato sul pc sufficiente come protezione dai virus.
Il mio consiglio quello di non scaricare ed eseguire mai del software preveniente da fonti incerte, per ogni software sempre presente il sito del produttore da cui scaricarlo in maniera sicura.
Andrea Carriero | BTBH
andrea@btbh.net
Domande da interrogazione
- Come funziona Shellter per rendere un trojan invisibile agli antivirus?
- Qual è il ruolo di metasploit nella creazione del trojan?
- Quali sono i risultati dell'analisi antivirus dopo l'uso di Shellter?
- Quali precauzioni consiglia l'autore per proteggersi dai virus?
Shellter inietta dinamicamente un virus all'interno di un file eseguibile genuino in una posizione casuale, rendendo il trojan completamente invisibile agli antivirus.
Metasploit viene utilizzato per generare un trojan che si collega alla macchina dell'attaccante tramite una reverse connection, ed è codificato per essere difficilmente rilevabile dagli antivirus.
Dopo l'iniezione del trojan con Shellter, nessuno dei 34 antivirus è stato in grado di rilevare una minaccia nel software infettato.
L'autore consiglia di non scaricare ed eseguire software da fonti incerte e di utilizzare sempre il sito del produttore per scaricare software in modo sicuro.
Accedi a tutti gli appunti
Tutor AI: studia meglio e in meno tempo
