Сетевой червь "ReX"
© 2016 - 2017 sysenter (JID: dart@crypt.am)
Назначение и описание
ReX предназначен для осуществления доступа от машины №0 к целевой машине №End по заданному при его запуске на хосте №0 с соответствующими параметрами в командной строке, конфигурационном файле или оверлее. Главное, что необходимо понять - доступ и работа с целевой машиной №End осуществляется НЕ НАПРЯМУЮ, а ПО ЦЕПОЧКЕ №0 - №1 - №2 - ...- №х- ... - №End. Это бывает необходимо для секретных либо финансовых учреждений, где строжайше ограничен доступ к определенной системе.
В параметрах указывается вся цепочка доступа: IP, User, Password и отдельные флаги (см. далее).
В результате имеем постоянный доступ через все указанные машины к целевой.
На хосте №0 таким образом мы имеем консольное окно командной строки, как если бы мы открыли ее на хосте №N. То есть получаем строго по заданной цепи хостов НЕ ПРЯМОЙ шелл на хост №End. Причем привелегии могут быть: User, Administrator, System, Trusted Installer - задается флагом.
Так же осуществляется проброс портов (любых доступных) через всю цепочку, например для RDP - порт задается флагом.
Так же возможно скачивание или загрузка любых файлов, папок и т.д. и их запуск на исполнение при необходимости не только на целевой машине №End, но и на любой промежуточной или всех сразу - задается как параметром, так и возможно вручную после открытия консольного окна командной строки - для этого в интерпретаторе командной строки появится после осуществления миссии доступа к целевой системе №End несколько дополнительных команд.
После завершения оператором на хосте №0 сессии, либо ктото обнаружит и закроет на целевой машине процесс или это произойдет на одном из промежуточных звеньев цепочки - оператор увидит информацию об этом. Все процессы в цепочке при этом начнут завершаться в обратном порядке, их файлы самоудаляться на кластерном уровне, с учетом возможных теневых копий, восстановление и выявление возможности, что они когда то присутствовали - на 100% исключается.
Доп. возможности, опциональные (планы)
- Ручное управление во время распространения, с выбором маршрута оператором в реальном времени, в зависимости от топологии сети.
- Использование хешей, а не паролей.
- Использование брутфорса.
- Использование новых уязвимостей SMB, и, соответственно, проникновение по всей сети вообще, то есть по фрактальной древовидной схеме. В данном случае "ReX" может служить только как носитель.
К моменту написания за 11 месяцев "ReX" не детектируется никакими АВ, т.к использовался и используется исключительно таргетно.
Стоимость разработки составила ~ 10 btc. Срок полного окончания ~ 7 - 8 месяцев.
Запуск в работу был осуществлен через 4 недели с начала разработки. Имелись лишь функции получения шелла через цепочку. Осталной функционал дорабатывался уже во время использования, так же оптимизировался код и алгоритмы.
Исходные коды не продаются.
На пальцах.
как если бы глубоко под землей стоял комп, но к нему был доступ только с компа генерала, а к компу генерала только комп полковника, к компу полковника - только комп майора, к компу майора ..... и т.д. в итоге червь налаживает связь по всей цепи и доступ получает рядовой без палева вообще )) как типа в Operation Potao.
Для Яши про ReX
Дата публикации 7 сен 2017
| Редактировалось 10 янв 2018