Для Яши про ReX

Дата публикации 7 сен 2017 | Редактировалось 10 янв 2018

Сетевой червь "ReX"


© 2016 - 2017 sysenter (JID: dart@crypt.am)


Назначение и описание

ReX предназначен для осуществления доступа от машины №0 к целевой машине №End по заданному при его запуске на хосте №0 с соответствующими параметрами в командной строке, конфигурационном файле или оверлее. Главное, что необходимо понять - доступ и работа с целевой машиной №End осуществляется НЕ НАПРЯМУЮ, а ПО ЦЕПОЧКЕ №0 - №1 - №2 - ...- №х- ... - №End. Это бывает необходимо для секретных либо финансовых учреждений, где строжайше ограничен доступ к определенной системе.

В параметрах указывается вся цепочка доступа: IP, User, Password и отдельные флаги (см. далее).

В результате имеем постоянный доступ через все указанные машины к целевой.
На хосте №0 таким образом мы имеем консольное окно командной строки, как если бы мы открыли ее на хосте №N. То есть получаем строго по заданной цепи хостов НЕ ПРЯМОЙ шелл на хост №End. Причем привелегии могут быть: User, Administrator, System, Trusted Installer - задается флагом.

Так же осуществляется проброс портов (любых доступных) через всю цепочку, например для RDP - порт задается флагом.

Так же возможно скачивание или загрузка любых файлов, папок и т.д. и их запуск на исполнение при необходимости не только на целевой машине №End, но и на любой промежуточной или всех сразу - задается как параметром, так и возможно вручную после открытия консольного окна командной строки - для этого в интерпретаторе командной строки появится после осуществления миссии доступа к целевой системе №End несколько дополнительных команд.

После завершения оператором на хосте №0 сессии, либо ктото обнаружит и закроет на целевой машине процесс или это произойдет на одном из промежуточных звеньев цепочки - оператор увидит информацию об этом. Все процессы в цепочке при этом начнут завершаться в обратном порядке, их файлы самоудаляться на кластерном уровне, с учетом возможных теневых копий, восстановление и выявление возможности, что они когда то присутствовали - на 100% исключается.

Доп. возможности, опциональные (планы)


  • Ручное управление во время распространения, с выбором маршрута оператором в реальном времени, в зависимости от топологии сети.
  • Использование хешей, а не паролей.
  • Использование брутфорса.
  • Использование новых уязвимостей SMB, и, соответственно, проникновение по всей сети вообще, то есть по фрактальной древовидной схеме. В данном случае "ReX" может служить только как носитель.

К моменту написания за 11 месяцев "ReX" не детектируется никакими АВ, т.к использовался и используется исключительно таргетно.
Стоимость разработки составила ~ 10 btc. Срок полного окончания ~ 7 - 8 месяцев.
Запуск в работу был осуществлен через 4 недели с начала разработки. Имелись лишь функции получения шелла через цепочку. Осталной функционал дорабатывался уже во время использования, так же оптимизировался код и алгоритмы.

Исходные коды не продаются.


На пальцах.

как если бы глубоко под землей стоял комп, но к нему был доступ только с компа генерала, а к компу генерала только комп полковника, к компу полковника - только комп майора, к компу майора ..... и т.д. в итоге червь налаживает связь по всей цепи и доступ получает рядовой без палева вообще :))) как типа в Operation Potao.

2 3.077
RET

RET
Well-Known Member

Регистрация:
5 янв 2008
Публикаций:
17