D2
Администратор
- Регистрация
- 19 Фев 2025
- Сообщения
- 4,380
- Реакции
- 0
Автор besenok
Статья написана для Конкурса статей #10
Всем привет, в этой статье хочу рассказать вам как я написал собственный троян/лаодер, какими функциями он обладает, как старается обойти АВ(простые методы) и тд.
Заранее хочу сказать что троян кроссплатформаенный - то есть работает и на виндовс и на мак ос, сам проверят на какой ос запустился и от талкиваясь от этого, моделирует свое дальнейшее поведение. Можно в качестве полезных нагрузок прописать стиллер для виндовс и ратник для мак ос, и при запуске программа сама проверит на какой ос зпустилась - если на виндовс то запускает стиллер, если мак то ратник. Если же запустилась программа на мак ос, то сама по себе она будет в .jar формате, тк exe фаил не запустишь на этой ос. Так же можно для одной конкретной ос указать несколько полезных нагрузок - например стиллер и хвнс, с постоянным расположение на пк. Стиллер требует разовой отработки, так что после отправки лога он удалиться, а в случае с ратником или хвнц, где присутствие требуется постоянно - программа пропишет ее в автозагрузку, и спрячет в системный фаил и даст неприметное название.
Так же заранее скажу что программа написана на чистой Java, без дополнительных яп. Это дает воможность не подтягивать за собой кучу зависимостей, достаточно лишь того что бы на пк пользователя была установлена JVM(java виртуальная машина). Постараемся по максимуму взять от этого высокоуровневого языка - обьектно ориентированный подход, полиморфный код, кроссплатформенность, скорость(конечно же не такая быстрая как у сишных языков, но все же) если вам очень важна скорость, то вы можете пересобрать проект с помощью graalvm - фреймворк которые переведет весь java проект сразу в байт код(и скорость выполнения будет около сишных яп), множество классов доступных сразу из коробки, без надобности их докачки.
Один из плюсов: это то что данный проект вообще не имеет никаких внешних зависимостей, мы используем только классы и библиотеки которые идут с коробки виртуальной машины.
Пройдемся по теории из гугла, какую именно мы прогу создаем:
Троян — это вредоносная программа, которая маскируется под легитимное ПО. Он может выглядеть как полезное приложение или файл, но при запуске выполняет вредоносные действия, такие как кража данных, установка дополнительных вредоносных программ или удаленный доступ к системе. Трояны часто проникают на компьютеры через фишинговые письма, зараженные загрузки или уязвимости в программном обеспечении.
Лаодер — это программа, которая предназначена для загрузки и установки других вредоносных программ на зараженный компьютер. Обычно она сама по себе не выполняет вредоносные действия, но создает условия для активации других угроз, таких как трояны или руткиты. Лаодеры могут использоваться для скрытной установки дополнительного ПО после первоначального заражения.
Собственно опираясь на эти термины, я и написал выше что мы создадим собственную программу - трян/лаодер.
Теперь распишем что умеет делать данная программа и ее функционал:
Trojan Drushba (Mac/Win | чистая Java) - оснащен функцией дроппера для полезной нагрузки, а конкретно для скачивания основного файла(допустим какой либо программы, под предлогом чего и запускается лаунчер). И следом после нее, как только основная программа скачалась до n %(прописывается в настройках, либо можно реализовать рандомное начало загрузки от 1-100), начинается установка полезной нагрузки. Всего может быть вместе с основной программой установлено 3 доп программы. Но это можно легко масшабировать добавлением новых путей прямо в исходниках в настройках программы.
Как происходит докачка полезной нагрузки. Она расположена на удаленном сервере - спрятана в картинке. Информация о сервере или веб ресурсе с которого будет скачана нагрузка храниться в виде переменных в отдельном классе проекта. Она зашифрованна по алгоритму AES256, и расшифровывется только в момент когда нужно Скачать
Статья написана для Конкурса статей #10
Всем привет, в этой статье хочу рассказать вам как я написал собственный троян/лаодер, какими функциями он обладает, как старается обойти АВ(простые методы) и тд.
Заранее хочу сказать что троян кроссплатформаенный - то есть работает и на виндовс и на мак ос, сам проверят на какой ос запустился и от талкиваясь от этого, моделирует свое дальнейшее поведение. Можно в качестве полезных нагрузок прописать стиллер для виндовс и ратник для мак ос, и при запуске программа сама проверит на какой ос зпустилась - если на виндовс то запускает стиллер, если мак то ратник. Если же запустилась программа на мак ос, то сама по себе она будет в .jar формате, тк exe фаил не запустишь на этой ос. Так же можно для одной конкретной ос указать несколько полезных нагрузок - например стиллер и хвнс, с постоянным расположение на пк. Стиллер требует разовой отработки, так что после отправки лога он удалиться, а в случае с ратником или хвнц, где присутствие требуется постоянно - программа пропишет ее в автозагрузку, и спрячет в системный фаил и даст неприметное название.
Так же заранее скажу что программа написана на чистой Java, без дополнительных яп. Это дает воможность не подтягивать за собой кучу зависимостей, достаточно лишь того что бы на пк пользователя была установлена JVM(java виртуальная машина). Постараемся по максимуму взять от этого высокоуровневого языка - обьектно ориентированный подход, полиморфный код, кроссплатформенность, скорость(конечно же не такая быстрая как у сишных языков, но все же) если вам очень важна скорость, то вы можете пересобрать проект с помощью graalvm - фреймворк которые переведет весь java проект сразу в байт код(и скорость выполнения будет около сишных яп), множество классов доступных сразу из коробки, без надобности их докачки.
Один из плюсов: это то что данный проект вообще не имеет никаких внешних зависимостей, мы используем только классы и библиотеки которые идут с коробки виртуальной машины.
Пройдемся по теории из гугла, какую именно мы прогу создаем:
Троян — это вредоносная программа, которая маскируется под легитимное ПО. Он может выглядеть как полезное приложение или файл, но при запуске выполняет вредоносные действия, такие как кража данных, установка дополнительных вредоносных программ или удаленный доступ к системе. Трояны часто проникают на компьютеры через фишинговые письма, зараженные загрузки или уязвимости в программном обеспечении.
Лаодер — это программа, которая предназначена для загрузки и установки других вредоносных программ на зараженный компьютер. Обычно она сама по себе не выполняет вредоносные действия, но создает условия для активации других угроз, таких как трояны или руткиты. Лаодеры могут использоваться для скрытной установки дополнительного ПО после первоначального заражения.
Собственно опираясь на эти термины, я и написал выше что мы создадим собственную программу - трян/лаодер.
Теперь распишем что умеет делать данная программа и ее функционал:
Trojan Drushba (Mac/Win | чистая Java) - оснащен функцией дроппера для полезной нагрузки, а конкретно для скачивания основного файла(допустим какой либо программы, под предлогом чего и запускается лаунчер). И следом после нее, как только основная программа скачалась до n %(прописывается в настройках, либо можно реализовать рандомное начало загрузки от 1-100), начинается установка полезной нагрузки. Всего может быть вместе с основной программой установлено 3 доп программы. Но это можно легко масшабировать добавлением новых путей прямо в исходниках в настройках программы.
Как происходит докачка полезной нагрузки. Она расположена на удаленном сервере - спрятана в картинке. Информация о сервере или веб ресурсе с которого будет скачана нагрузка храниться в виде переменных в отдельном классе проекта. Она зашифрованна по алгоритму AES256, и расшифровывется только в момент когда нужно Скачать
View hidden content is available for registered users!