Buenas a todos, en el post de hoy os traemos una nueva vacuna alternativa a la actual desarrollada por @Novlucker para eliminar Flu de las máquinas Windows infectadas.

Con esta vacuna podríamos eliminar el ejecutable de Flu a pesar de que se haya modificado el nombre del proceso de flu.exe o win32.exe, para ello, se listan los procesos en ejecución, se determinan si son procesos de .Net, se revisan por reflection y se realiza una comprobación.

Para los que os interese aprender el funcionamiento de esta vacuna podréis descargar el código fuente desde AQUÍ.

Saludos!

Buenas a todos, en el post de hoy me gustaría mostraros una posible manera para recuperar las cookies almacenadas por Internet Explorer en una máquina infectada con la última versión pública de Flu, la b0.4, y que podéis descargar desde aquí.

En nuestro blog ya hemos hablado otras veces del tema de la suplantación de cookies como en los artículos Hijacking en Tuenti, Hijacking en Twitter o en Cookie Monster: automatizando el hijacking, por lo que omitiremos el paso de suplantar la cookie, y nos limitaremos a recuperarla.

En primer lugar accederemos a la consola CMD remota de la máquina de la que queramos recuperar las cookies de Internet Explorer:

Deberíamos saber la carpeta en la que se almacenan las cookies de IE para poder recuperarlas. Tal información la podéis obtener navegando por la máquina, o consultando la siguiente clave del registro: “HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\LowRegistry\IEShims\NormalizedPaths”. Por ejemplo para el caso de Windows 7 sería la siguiente:

Desde la consola mostraremos el contenido de dicha carpeta, para ver todas las cookies que hay almacenadas en ficheros de texto plano. Como la máquina infectada es un Windows 7 podemos valernos de powershell:

Ahora recuperaremos las que nos interesen con el comando “getfile”:

Si vamos finalmente a nuestro servidor Web, en la carpeta “descargas” que contiene el panel de control de Flu, tendremos una copia del fichero, y podremos ver la cookie solicitada:

Espero que os haya gustado el post, de vez en cuanto os iremos contando trucos como este para explotar todas las funcionalidades de la nueva versión de Flu.

Saludos!

Buenas a todos, como muchos de vosotros ya nos habéis ido contando durante las dos últimas semanas, poco a poco han ido aumentando el número de antivirus que han comenzado a detectar a la nueva versión de Flu, la nueva b0.4, como un malware de tipo troyano.

Hemos procedido a realizar una serie de pruebas con Virustotal, ya que muchos de vosotros lo habíais subido con anterioridad. En primer lugar hemos subido el ejecutabale que viene compilado por defecto, apuntando a localhost, este ejecutable no puede usarse evidentemente para infectar a nadie, porque la conexión la intentaría hacer con la IP 127.0.0.1. Aún así, 19 casas de antivirus han decidido bloquear este exe.

Para la segunda prueba, hemos generado un nuevo bot con el generador de bots, apuntando a otra IP, de esta manera cambia el hash del exe final. Tras subir este nuevo archivo a virustotal, se reducía a 13 el número de antivirus que detectaban a Flu (por lo que la detección de los otros 6 realizada con el primer exe de Flu no serviría de mucho):

Finalmente hemos abierto este nuevo exe en modo texto, y hemos modificado un byte. Tras subirlo hemos podido comprobar como solo 2 antivirus eran capaces de detectar a Flu b0.4:

Nos ha hecho mucha ilusión, como a un niño con juguete nuevo, la noticia de que los antivirus nos hayan comenzado a tener en cuenta, ya que aunque Flu Project tiene un objetivo totalmente benigno para la sociedad, contribuyendo al conocimiento de seguridad y colaborando para perseguir el cibergrooming en Internet de la mano de Anti-Depredadores, este hecho significa que las casas de antivirus se han hecho eco de nuestro proyecto, y se ponen manos a la obra para protegernos a todos los usuarios de los peligros de Internet (aunque hayan tardado 10 meses en bloquear a Flu).

Saludos!

Siguiendo con el desarrollo de nuestro Flu-bot para Android hoy vamos a ocuparnos, tal y como acordamos el día anterior, de la fase de lectura de órdenes. A modo de recordatorio, en esta fase nos ocuparemos de parsear el código xml que genera la herramienta flu para posteriormente traducirlo a órdenes en el dispositivo móvil donde se encuentre instalado el troyano.

En primer lugar, para que todos podamos hacer el proceso conjuntamente, os recomiendo que tengáis instalado en vuestro equipo un servidor web ya sea LAMP, WAMP, MAMP o XAMP. El objetivo de esto es poder servir el fichero xml del cual leeremos las órdenes posteriormente.

Una vez instalado probamos a bajarnos la herramienta flu y a instalarla en nuestra carpeta servidora de nuestro servidor web (“/var/www/”, “C:\xampp\htdocs\” , etc). Con flu ya instalado en nuestros equipos, vamos a generar un nuevo fichero de órdenes, en mi caso he obtenido el siguiente:

De momento hemos obtenido un fichero xml para ejecutar órdenes en un equipo , pero nuestro objetivo hoy es ser capaces de parsear este fichero para posteriormente definir órdenes que podamos ejecutar en un terminal móvil. Con nuestro xml generado abrimos el Eclipse y nos ponemos a programar. Importamos el código que generamos en la última entrada y empezamos con las modificaciones en el método onStart() de la clase Servicio.

Hay bastantes maneras de parsear código xml en Android, personalmente me he decantado por utilizar la librería XMLPullParser. Antes de iniciar el parseado, debemos lanzar una petición desde el móvil a la dirección donde se esté sirviendo el fichero xml, en nuestro caso, a modo de prueba, se servirá en http://localhost/flu/flu.xml. En Android si indicamos una petición a localhost desde nuestro emulador estaremos haciendo referencia al ámbito del propio emulador, hay una dirección reservada para hacer referencia al equipo donde se está ejecutando el emulador, dicha dirección es 10.0.2.2 luego url será http://10.0.2.2/flu/flu.xml. Una vez hecha la petición recogeremos el texto xml que nos devuelve en forma de InputStream y se lo pasaremos todo a nuestro parseador. El código que realiza esta acción es el siguiente:

A continuación debemos tratar cada etiqueta (tag) del fichero xml. Si observamos el fichero xml, tenemos las siguientes tags: instructions, version e instruction. Realmente las tags que nos interesa tratar de momento son version e instruction. La tag version indicará si el fichero xml ha sido actualizado o no, de esta forma no estaremos ejecutando las órdenes constantemente. Las tags instruction albergarán las instrucciones a ejecutar. El algoritmo que seguimos es muy sencillo, leemos el fichero xml hasta el final y ejecutamos las instrucciones que encontremos siempre que la versión del fichero sea nueva. El código resultante es el siguiente:

Como podemos observar en el código al leer la tag instruction, podemos sacar su atributo type que nos indicará la naturaleza de la instrucción, es aquí donde empezaremos a introducir el código de las órdenes. Podéis probar a ir cambiando la versión del xml para ver que realmente entra a ejecutar las instrucciones.

Recuerda que este código deberás incluirlo en el método run, dentro del método onStart del servicio que creamos en la anterior entrada. Espero que os guste la entrada y que podáis aplicar estos conceptos a más escenarios.

Saludos!

Descarga proyecto

===============================================================

Curso de introducción a Android (Instalación del Android SDK + Hello World)

Curso de introducción a Android II (Creando nuestra primera aplicación)

Curso de introducción a Android III (Escáner de redes WIFI)

Curso de introducción a Android IV (Crackeando redes Wifi)

Curso de introducción a Android V (Flu-AD)

Curso de introducción a Android VI (Flu-AD)

===============================================================

Buenas a todos, tras unos meses dedicados a otros proyectos como Flu-AD, Anubis v1.3, Liberad a Wifi, etc. y preparando nuestra ponencia para No cON Name, hoy os traemos una nueva versión de Flu, la beta 0.4.

La nueva versión de Flu se diferencia de las anteriores porque incluye las siguientes funcionalidades:

• Identificación unívoca de máquinas a través de su dirección MAC.
• Posibilidad de enviar comandos a una única máquina o a todas las máquinas infectadas.
• Recuperación de archivos de la máquina infectada.
• Modo consola, que simula un CMD remoto mediante AJAX y JQuery, Es utilizado para enviar comandos a una única máquina de una manera más cómoda.
• Desaparición de la ventana negra durante la infección.
• Mejoras de estabilidad.

Como habitualmente podéis descargar la nueva versión de Flu (b0.4) desde el siguiente enlace:

http://www.flu-project.com/descarga-flu

Md5

f2ff307711a84a2962c6e9f1a4668508

Sha-1

9d172efa1be8585485cb7c5e1eeaaad921d956a8

Dentro del archivo comprimido encontraréis los fuentes del núcleo de Flu, del generador de bots y de la vacuna, los ejecutables compilados y un manual de usuario y de instalación en PDF

Si queréis colaborar desarrollando nuevas funcionalidades para Flu en el siguiente hilo del foro hemos indicado las futuras funcionalidades que nos gustaría desarrollar en Flu-AD, y que iremos liberando poco a poco en Flu.

http://www.flu-project.com/forum?mingleforumaction=viewtopic&t=232.0#postid-1178

Disfrutadlo, saludos!

Después de haber pasado un par de semanas conociendo el API para manejar Wifi que proporciona Android, vamos a cambiar de tercio proponiéndonos como reto la migración de Flu a plataformas móviles.

Como todos sabemos, el proyecto Flu es un desarrollo orientado al control remoto de máquinas a través de un troyano. Nuestro objetivo principal será mantener la arquitectura cliente – servidor original de Flu, únicamente variando y adaptando la parte del servidor a dispositivos móviles Android.

La finalidad de todo esto es lograr exportar el potencial de la idea de Flu a un escenario completamente nuevo que puede aportar cosas muy interesantes, tantas, que necesitaremos de vuestras propuestas y colaboración para poder exprimir la idea al máximo.

Para el desarrollo de este proyecto seguiremos tres fases fundamentales:

• Fase troyano: En esta fase se desarrollará y se explicará cómo introducir en una aplicación Android código “malicioso”. Lo que se pretende con esto es generar una capa oculta al usuario, de forma que al ejecutar una aplicación (aparentemente inofensiva) se instale un servicio permanente cuyo fin sea ejecutar órdenes obtenidas de un cliente web.
• Fase de lectura de órdenes: En esta fase se mostrará cómo se parsea contenido xml en Android, en concreto se parseará el código xml que generemos con la herramienta Flu.
• Fase de ejecución de órdenes: En esta última fase veremos y definiremos qué órdenes podremos ejecutar en el teléfono móvil.

Empezando por la fase troyano, hoy mostraremos cómo construir un servicio permanente en Android  que se ejecute siempre que el usuario encienda su dispositivo móvil.

Un servicio (clase Service) es un proceso asociado a una aplicación que se usa generalmente para hacer tareas con las que el usuario no tiene interacción. Para entenderlo mejor, un ejemplo de servicio que podemos ver en nuestro teléfono móvil Android es el servicio de la aplicación whatsapp cuya tarea principal es comprobar si tenemos mensajes en el servidor dirigidos a nosotros.

Ahora vamos a crearnos nosotros uno. Creamos un nuevo proyecto Android con una clase principal Main que hará las funciones de aplicación benévola y lanzará nuestro servicio. La actividad Main vamos a dejarla, en términos de diseño, tal y como se nos ofrece al crear el proyecto, salvo por un par de líneas extra que lanzarán el servicio. El código de la actividad Main tendrá este aspecto:

Como podemos observar, creamos una instancia de la clase Intent con la particularidad de que la clase Trojan simplemente se dedicará a interceptar eventos. El evento que nos interesa interceptar, en este caso, es el de inicio o arranque del sistema operativo del dispositivo móvil. Una vez que un sistema Android ha iniciado envía una acción broadcast llamada android.intent.action.BOOT_COMPLETED, nuestro objetivo es interceptar dicho evento. Para interceptar eventos, debemos crearnos una clase que herede de BroadcastReceiver, que será la encargada de interceptar los eventos que indiquemos en el fichero AndroidManifest.xml. La clase Trojan que intercepta eventos tendrá este aspecto:

Dentro de esta clase aprovecharemos para lanzar un servicio que se ejecute temporalmente. La forma de lanzar un servicio es muy parecida a la de lanzar una nueva actividad, simplemente creamos una nueva instancia de Intent con la clase destino Servicio, e iniciamos dicho servicio mediante el método startService propio de la clase Context. La clase Servicio será distinta a una actividad normal, en vez de heredar de Activity heredaremos de Service.

Al heredar de Service debemos reescribir algunos métodos, en este caso nos interesan los métodos onCreate y onStart. Al crearse, el servicio entrará en el método onCreate donde le diremos que cree un Timer, que será el encargado de gestionar que la tarea del servicio se haga de forma periódica. En el método onStart, crearemos la tarea periódica TimerTask y se la pasaremos a nuestro timer para que la ejecute cada 30 segundos. En cada ejecución sacaremos un log en el depurador, de forma que podamos observar que el servicio se está ejecutando tal y como deseamos.

Todavía falta nos falta el último paso, indicar al AndroidManifest.xml el servicio, el broadcast receiver,  el evento a interceptar y los permisos necesarios. Nuestro fichero AndroidManifest.xml quedaría de la siguiente forma:

Como podemos ver, tenemos declarados nuestra actividad Main, el receiver Trojan registrado al evento android.intent.action.BOOT_COMPLETED de inicio del sistema, el servicio y los permisos para registrarse al evento de inicio del sistema.

Si nos fijamos, nuestro servicio no aparece en las aplicaciones activas del teléfono, pero sí que podremos encontrarlo en servicios en ejecución. Más adelante intentaremos que esto no ocurra, cambiando de estrategia o camuflándolo de alguna manera. Esperemos que esto os sirva ya que este esquema puede ser aplicable a muchos más escenarios del que aquí proponemos.

Como siempre, os adjunto el código.

Saludos!!

—

Descarga Proyecto

===============================================================

Curso de introducción a Android (Instalación del Android SDK + Hello World)

Curso de introducción a Android II (Creando nuestra primera aplicación)

Curso de introducción a Android III (Escáner de redes WIFI)

Curso de introducción a Android IV (Crackeando redes Wifi)

Curso de introducción a Android V (Flu-AD)

===============================================================

Buenas a todos, nuestro amigo pcastagnaro nos ha enviado un interesante vídeo sobre como configurar Flu con el hosting gratuito 000webhost.com. A continuación lo podéis ver, ¡disfrutadlo!:

[There is a video that cannot be displayed in this feed. Visit the blog entry to see the video.]

saludos!

Hola que tal, soy Bt.Slax

Y en este tutorial les enseñare una de las tantas técnicas que existen para camuflar el server de Flu para que la victima lo ejecute sin ninguna duda.

1 – Descargar/Ejecutar el programa que vamos a necesitar:

• SFX Compiler

2 – Ir  a  Panel de control\Apariencia y personalización  luego a  Opciones de Carpeta, después a la pestaña de ver, para luego desmarcar la opción  (ocultar las extensiones de archivos para tipos de archivos conocidos) que trae marcada por defecto Windows.

Como pueden observar ahora pueden ver las extensiones de sus archivos:

3 – Ejecutan SFX Compiler:

Ahora agregan el server de Flu y alguna presentación de Power Point.

Ahora se van a la pestaña de Options para que puedan configurar cual de los dos archivos se ejecutara primero. Bueno yo le he puesto que se ejecute primero la presentación y luego que se ejecute el server.

Ahora procedemos a guardarlo poniéndole el título de presentación que hayamos escogido el cual tiene que ser llamativo XD.

4.  Listo ya lo tenemos ahora es cuestión de que lo envíen por correo a sus enemigos jeje

Bueno eso es todo espero les haya servido un poco.

Saludos y hasta un próximo tutorial.

Buenas a todos, tras dedicarle Pablo y yo unas horas a las mejoras de Flu, hoy hemos publicado una nueva versión de nuestro pequeño juguete, ya vamos por la versión beta 0.3.2

Esta versión se caracteriza principalmente porque se ha añadido una nueva funcionalidad que os permitirá realizar capturas de pantalla remotas de la máquina víctima, pulsando un simple botón, y visualizarlas de una manera cómoda desde el Servidor Web:

Por otro lado, hemos realizado algunas mejoras en la seguridad del servidor Web, que habíamos dejado un poco de lado hasta próximas versiones.

Finalmente, gracias a Chueco95, se han realizado mejoras en la estabilidad del ejecutable de Flu, resolviendo algunos de los errores que se presentaban cuando el servidor Web estaba caído, o fallaba la conexión por algún motivo. Además, se ha resuelto un pequeño bug que hacía que no se pudiese, en algunos casos, acceder remotamente al fichero donde se encuentran las pulsaciones de teclado capturadas por el keylogger.

Esperamos que os guste, podéis descargarlo gratis como siempre desde el siguiente enlace:

http://www.flu-project.com/descarga-flu

Próximos pasos:

Para la siguiente versión de Flu os pedimos a los desarrolladores voluntarios la implementación de un sistema de intercambio de ficheros entre cliente y servidor. Para ello, si queréis, podeis ayudaros del código ya implementado con el que en esta nueva versión subimos las capturas de pantalla al servidor Web.

Por otro lado, sería interesante la implementación de un sniffer de red (existen por Internet varias clases ya implementadas que podéis reutilizar), para poder capturar información del tráfico de la red en la que se hospeda la máquina infectada, como cookies de sesión, etc. ¿Veis por dónde vamos verdad? =)

saludos!

Buenas a todos, hoy tenemos el placer de presentaros la nueva versión de Flu, a la que hemos denominado Flu b0.3.1. Esta nueva versión se caracteriza principalmente porque por fín (como muchos ya nos habíais pedido) contiene un generador de bots, por lo que ya no hará falta tener Visual Studio para compilar el código.

Nos gustaría agradecer en especial a “Gasdejava”, ya que ha sido el compañero de la comunidad TroyanosyHacks.net que se ha currado el código, y nosotros no hemos tenido nada más que adaptarlo a la nueva versión de Flu b0.3. ¡Gracias!

Además del generador de bots, esta nueva versión soluciona algunos bugs y problemas de estabilidad que nos habéis ido reportando en las últimas semanas.

Os dejamos con el vídeo de presentación de Flu b0.3.1:

[There is a video that cannot be displayed in this feed. Visit the blog entry to see the video.]

Como siempre, podéis descargar la nueva versión de Flu desde el siguiente enlace:

http://www.flu-project.com/downloadflu

P.D. Ninguna gallina ha sido maltratada durante la grabación del anuncio }=P