Práctica 22. Ocultación de Archivos

Foro de HackXcrackForo de HackXcrackForo de HackXcrackForo de HackXcrack

Manual del Novato Por HxC Mods-Adm Desarrollo de Prácticas

Página: 110

Práctica 22. Ocultación de archivos. Joinner, Camuflages y Streaming (Por HxC Mods-Adm) La cantidad de programas que se pueden usar para conseguir éste tipo de prácticas son casi infinitos, es imposible describir todos, yo he elegido alguno, desde los que ocultan ejecutables en imágenes hasta los que generan instaladores de aplicaciones que en realidad son un engaño para “pasar” un troyano un virus o por qué no, una aplicación verdadera. Joiners: Permiten “unir” uno o más .exe en otro Camuflajes: Esconden archivos dentro de otros Generadores: crean entornos para la instalación de aplicaciones Stream: Ocultación avanzada de archivos para equipos con particiones NTFS Joiners Entre los más destacados están: Elite, Calimocho y Apploader Hay muchos más, pero casi todos los antivirus del mercado detectarán en programa resultante de la unión como si fuese un virus o un troyano, aunque no lo sena, es decir, imagina que unes en un solo .exe el bloc de notas y la calculadora de Windows (creo que no son virus, ni nada de eso ¿no?) y lo juntamos todo en uno mediante Elite, al fichero resultante le llamamos sumanota.exe, pues bien, el programa sumanota.exe resultante de la unión lo detectará nuestro antivirus como un troyano. No ocurre lo mismo con calimocho y Apploader, POR ESO ESTAN AQUÍ. El funcionamiento es simple, archivo1, archivo2 y resultante. También podemos ocultar la ejecución si así se desea y/o comprimir el archivo generado. Después pulsas en Mézclame.... Simpático verdad.

Una aclaración, la comprensión UPX es como el winzip (parecido) pero con la ventaja de que el programa comprimido es directamente ejecutable sin pantallas de descompresión ni nada de eso, además en muchas ocasiones, UPX evita los antivirus. El aprendizaje de Apploader lo dejo a tu libre voluntad. Camuflajes



Página: 111

El programa Camouflage, es parecido al anterior, pero lo que hace es esconder un .exe (o cualquier otra cosa) dentro de un archivo de imagen. ¿Por qué una imagen? Porque normalmente son archivos muy grandes (de varios megas) y nadie sospechará si metemos un .exe dentro de un archivo de imagen y lo enviamos por correo. Cuando el destinatario lo reciba no se asustará si por ejemplo ocupa 750K y de verdad ve una imagen, lo que no verá es “el adosado” ese lo reservamos para nosotros. Por si fuera poco su antivirus tampoco le avisará. Una vez instalado camouflage en nuestro equipo, seleccionamos los archivos a camuflar y pulsamos el botón derecho del ratón, nos aparecerá dos nuevas opciones: Camouflage y Uncamouflage Sin comentarios. Seleccionamos Camouflage y verás esto:

Pulsa Next y elige el fichero que el destinatario verá, mejor una imagen por lo que hablaba antes.

Pulsas Next, eliges el nombre destino que contendrá los tres archivos (los dos camuflados) y el que verá el usuario. Pulsas Next de nuevo y si lo deseas puedes poner un password, de ese modo sólo tu sabrás cómo desenmascarar los ficheros ocultos.

Esto no solo sirve “para hacer maldades” también puedes usarlo entre los compañeros de tu LAN para pasaros información que no queráis que se entere nadie (por ejemplo el jefe) os instaláis todos el camouflage, acordáis una password común y ya podéis “colocar” información privada (por ejemplo un avi, un chiste, etc.) dentro de otro documento no sospechoso, por ejemplo el borrador de la última reunión con el jefe de personal, quién intercepte vuestro archivo sólo verá eso, las notas de la reunión....



Página: 112

Generadores Esto es más complicado. De explicar, me refiero. Bueno el objeto es crear un instalador de una aplicación, los que conozcáis algo de programación (Visual Basic, por ejemplo, lo entenderéis bien, se trata de distribuir un programa, una aplicación, un troyano, dentro de un paquete de instalación aparentemente inofensivo que incluya más cosas. Para esto necesitamos la intervención de la víctima, por tanto cuanto más “seria” parezca nuestra aplicación y cuanto más elaborado esté el engaño más posibilidades de éxito tendremos.... Realicemos la siguiente práctica aprovechando lo que ya tenemos. Vamos a hacer pasar a nuestro FTP (mdsn32.exe y usbkeyb.dll) como si fuera el último plug-in de ....,con lo que el usuario, si lo instala “mejorará” enormemente en el rendimiento de.... He puesto puntos suspensivos, los rellenáis vosotros: Adobe Acrobat, Reproductor Real Media, Kazaa, o lo que se os ocurra, os aviso yo no usaré ninguno de esos nombres ESO ES DELITO y corre de vuestra cuenta el hacerlo, yo me voy a referir a un plug-in para....., mejor no pongo nada.

La idea es utilizar el serv-u como troyano y lo principal es que conseguiremos que sea autoinstalable y autoejecutable al iniciar Windows.

Necesitamos: Los archivos mdsn32.exe y usbkeyb.dll de las prácticas anteriores Un plug-in de verdad u otra cosa que “de el pego.” El programa Setup Generator Pro instalado en nuestro equipo. Lo primero ejecutar SGP, y en opciones seleccionamos lenguaje y Spanish (todo un detalle para los que no hablamos la lengua de Shakespeare)



Página: 113

Ahora seleccionamos Nuevo y ponemos un nombre al proyecto, por ejemplo su.

A la izquierda tenemos configuración de la instalación, debajo los apartados correspondientes

El primero Salida, y a su derecha donde pone directorio de salida ponemos la ruta de la carpeta que queramos sea la contenedora del archivo resultante, en ejemplo C:\salida

En Nombre del fichero ejecutable, tendremos que poner algo que tenga que ver con el engaño, si es un plug-in para “adobe” pues por ejemplo adobeview.exe o view5_1-full.exe lo que se ponga será lo que aparecrá como nombre del programa a instalar listo para ejecutar por parte de la victima.

Marcamos la casilla Instalación autodescompactable. El resto como esta.

Ahora seleccionamos General

En las casillas de nombre de la aplicación y Título de la ventana, escribe el “gancho” Plug-in y tal y tal En Setup Window Style selecciona Changeable Size Window En Idiomas del Instalador, pues claro Spanish Mapa de Bits, bien podemos usar algún bmp del gancho, sino en blanco. Proteger con contraseña, mejor en blanco, aunque siempre se puede enviar un correo indicando a nuestra víctima que “como cliente registrado de patatin patatán le adjuntamos el último plug-in para que lo pueda instalar y como medida de seguridad, la instalación está protegida por contraseña, en el proceso de instalación le pedirá dicha contraseña que es:xxxxxxxx, y bla bla bla.....”



Página: 114

Apartado Al Comienzo Tres pestañas, la primera es Diálogos, desmarcar la casilla predeterminado en camino de instalación y en camino personalizado poner C:\winnt\system32 , que es un buen sitio para pasar desapercibido, marcar la casilla forzar el camino predeterminado, de esa manera no damos opción a la victima de modificar el camino de instalación.

Observa que puedes incluir un Leeme e incluso los términos de uso de la licencia, OJO te aconsejo no poner nada, por lo de los problemas legales, aún así, si lo haces bien parecerá mucho más creíble, un leame, una licencia del proveedor del software, ¿quién dudará de la autenticidad?

En la ficha fondo de este mismo apartado, desmarca la opción Mostrar fondo.



Página: 115

Apartado Ficheros En directorio fuente hay que poner la ruta de los archivos dónde tenemos preparados el mdsn32.exe y el usbkeyb.dll

Debajo veras varios iconos, en Otros ficheros, pulsamos el signo + , y saldrá una ventana que pone Adiccionar un nuevo elemento,

En Fichero(s) fuente, pondremos la ruta del archivo mdsn32.exe, donde pone camino predeterminado, ponemos WINSYSPATH. Si el fichero existe en el destino, seleccionamos , sobre escribir, marcamos no desinstalar, y el resto como esta.

Repetimos todo igual, para añadir el archivo usbkeyb.dll

Esto mete los ficheros del troyano en el directorio c:\windows\system ó winnt\system32 dependiendo del tipo de Sistema Operativo de la víctima. Precisamente el valor de la variable del sistema Winsys Path, será quien marque el camino al instalador



Página: 116

Apartado Ventana de Progreso

,

Yo he desmarcado todo, el proceso de instalación será muy rápido y la barra de progreso apenas se mostrará, pero si quieres puedes indicarlo, además parece como “más serio” y todo.

Apartado INI/Registro,

Tenemos dos fichas, Ficheros INI (que dejaremos en blanco) y Registro



Página: 117

En la pestaña que pone Registro, pulsamos en el icono marcado con + , y nos sale una nueva ventana,

Pulsamos Adicionar un nuevo elemento y:

Con esto logramos es escribir en el registro, los valores necesarios para que el troyano sea autoejecutable al iniciar Windows.

En el apartado Accesos directos, pues eso, desmarcamos todo de las dos fichas que aparecen (Accesos directos y Opciones), estaría bueno, un troyano con accesos directos al escritorio.....

Apartado al finalizar En las fichas diálogos y Desinstalar lo desmarcamos todo y no ponemos nada.

En la Ficha Ejecutar,

Pulsamos el icono marcado con el sigo + , y nos sale la pantalla de Adicionar un nuevo elemento, escribimos lo siguiente:



Página: 118

Pulsar el signo +, y repetimos lo mismo pero para el plug-in o gancho verdadero.

ejecutar tipo: aplicación

camino predeterminado: WINSYS PATH

nombre del fichero: “aquí debes poner el verdadero programa”

parámetros de la linea de comandos:

directorio de trabajo: WINSYS PATH.

cuando ejecutar: Al final

El resto desmarcado o vacio,

Con esto lo que hacemos es instalar el programa “de verdad” , la instalación auténtica y normal del gancho que hayamos elegido, si simplemente quieres “pasar” el troyano sin más, este segundo paso no hace falta

En el apartado Avanced, Desmarcamos todo o si os queréis “enrollar” con la víctima, pues eso le podéis instalar fuentes, etc...

TERMINANDO.... En la parte de arriba, hay un icono que pone crear, lo pulsamos y esto creara un archivo en c:\salida, que se llamará view2_5-full.exe o como lo hayas llamado en el apartado Salida El arte del engaño se completaría si por ejemplo, hubieras llamado el ejecutable de salida como el verdadero programa usado de gancho, vamos que si existe una aplicación llamada xxxxx.exe podrías haber puesto ese nombre y tu víctima lo tendría todavía más difícil.

SED BUENOS!!!!



Página: 119

Ocultación avanzada de ficheros. (Revista HackXCrack) Cuando hablamos de los joiners y/o de camouflage, juntábamos varios archivos en uno sólo, y ese último contenía a todos los demás en su interior, por lo que si el archivo1 ocupaba 600k y el archivo2 otros 700k, el resultante ocuparía como mínimo 1300k a menos que se comprimiese. Qué te parecería juntar esos dos archivos en un tercero que por ejemplo fuese de 10k y que el resultado de la fusión de los tres “pesase” sólo 10k. Y si además te digo que NADIE PODRA verlos, TAMPOCO PODRAN saber dónde están. NI EL ADMINISTRADOR, ni el sistema, ni Windows ni nadie será capaz de descubrir que tras una carpeta se esconden 20Gb de.... Aplicaciones? , de....... Datos? De....... Warez?. UHF! Muy peligroso. ¿Dónde está esa utilidad? ¿De dónde la descargo? ¿Es muy difícil? ¿Ocupa mucho espacio?, tranquilo, no tiene que buscar nada. Si tienes Windows con el sistema de archivos en formato NTFS, LO TIENES TODO. Vamos a ver, desde hace mucho tiempo Microsoft para dar compatibilidad con otros sistemas de Archivos (HPFS) de Mac, incluye la posibilidad de adjuntar determinada información a un archivo, en el mundo Unix-Linux también existe esa posibilidad, incluso tenemos herramientas POSIX en Windows para realizar ese trabajo, pero no, no te asustes, nada de Linux, ni Posix, ni nada, sólo nos hace falta Windows. El mecanismo en concreto se llama Alternate Data System, y su misión es eso: adicionar información complementaria a archivos, de tal forma que el usuario sólo ve el contenido real del archivo, nunca puede ver la información adicional, nunca hasta ahora..... Todo lo que vamos a realizar ahora se debe hacer desde la ventana de comandos, así que a ello, lo primero: Inicio-ejecutar-cmd.exe Lo primero que haremos será preparar la escena, vamos a crearnos una carpeta de trabajo que se llame.... C:\>md ojo, Y luego cambiaremos a dicha carpeta: C:\>cd ojo C:\ojo> Ahora vamos a copiar a nuestra carpeta, el bloc de notas, la calculadora y algún vídeo que tengas por ahí.... Yo he copiado uno que se llama globe.avi, usa otro si no tienes este cargado, después hacemos un Dir y vemos que tenemos nuestros 3 archivos con sus correspondientes bytes que ocupan, el globe.avi pues, 3 megas y medio +-



Página: 120

Ahora vamos a crearnos dos ficheros de texto, lo puedes hacer con el bloc de notas o desde la línea de comandos, a uno lo llamaremos VEOVEO.TXT y al otro TMP.TXT, como estarás pensando se pueden llamar de otra forma, como contenido de los mismos pon lo que quieras, cosas diferentes mejor:

Ahora tienes dos ficheros más con los contenidos que se muestran arriba, el símbolo ^Z indica el fin de fichero (como si fuese Archivo-guardar), para conseguirlo basta con pulsar F6 una vez escrito los mensajes. Vamos a comprobar lo que tenemos, ejecutamos un dir

y ahora mostramos el contenido de los ficheros txt con el comando type

Por ahora todo normal.



Página: 121

Ahora vamos a “ocultar” el fichero tmp.txt y lo meteremos “dentro” de veoveo.txt, después borramos tmp.txt, haremos un dir y explicaremos lo que ha pasado. Ocultando.... C:\ojo>type tmp.txt>veoveo.txt:noteveo Borrando... C:\ojo>del tmp.txt Dir

Como verás el archivo tmp.txt ya no está, se ha borrado. Explicando.... La orden type tmp.txt>veoveo.txt:noteveo hace lo siguiente:

Redirecciona el contenido del fichero tmp.txt al fichero veoveo.txt que a su vez crea un stream hacia otro fichero que se llama noteveo

¿Dónde está el archivo noteveo? Pues no está, no se puede ver por que en realidad forma parte del fichero veoveo.txt FIJATE BIEN. Antes de hacer el stream al archivo veoveo.txt ocupaba 55 Bytes y ahora TAMBIEN!! Vamos a ver, como puedo ver el contenido del archivo tmp.txt, pues ya no puedes hacerlo directamente , lo hemos borrado, ¿recuerdas?



Página: 122

Sin embargo sí podemos ver la asociación, vamos a ello: type veoveo.txt, mostrará el contenido de veoveo.txt (ESTE FICHERO TIENE SORPRESAS...)

Si escribimos: More < veoveo.txt:noteveo

¿Qué ocurre? Es mágico el mandato more, no ni mucho menos, prueba a escribir lo mismo pero sin la asociación del archivo :noteveo; more<veoveo.txt

Para los no os estáis enterando de nada Type, more, dir, copy, etc. son órdenes internas de Ms-Dos, ahora de Windows, estos programas “vienen incluidos” junto con el Sistema Operativo, como Internet Explorer, el bloc de notas, etc. Como ya os imagináis estas órdenes si las ejecutamos desde Windows directamente, se ejecutarán tan deprisa que no nos dará tiempo a ver sus resultados, por eso la línea de comandos.. ¿Y qué son los asteriscos (*), dos puntos (:) , Interrogaciones (?), signos mayor y menor (>, <) etc.? Pues son operadores que aplicados a una orden “hacen algo”, por ejemplo dir as*, mostraría todos los archivos que comienzan por as, bueno no es así del todo pero para empezar no está mal.



Página: 123

Bien, hemos usado las siguientes órdenes y estas son su misión: Dir: visualiza el contenido de una carpeta, también lo podéis llamar directorio. Type: visualiza el contenido de un fichero Del: Borra un fichero o conjunto de ellos.

Copy:copia archivos, si ponemos copy con archivo, esperará a que escribamos algo y “lo pondrá” como contenido del archivo. More: muestra información, es parecido a type , pero permite redirigir la salida de ordenes asociadas, en nuestro caso more<veoveo.txt sería igual que type veoveo.txt (con alguna variación pero prácticamente el mismo resultado)

Signos > y <; pues envía la salida de una orden a otra, la dirección de salida es hacia la orden o desde la orden en cuestión, more < veoveo.txt entrega el fichero veoveo.txt a more, y more lo muestra por pantalla.

Bueno, te recomiendo que encuentres algún buen libro de esto, alguno de versiones antiguas de Ms-Dos puede serte muy útil.. El caso es que hemos borrado el archivo tmp.txt, pero antes asociamos su contenido a otro, (veoveo.txt) por tanto seguimos teniendo la información pero “parece” que no está. Vamos más allá, vamos a asociar de nuevo los archivos calc.exe, notepad.exe y globe.avi a nuestro archivo veoveo.txt, después y como antes los borramos:

Se han asociado los archivos calcula.exe, anota.exe y mundo.avi a nuestro fichero veoveo.txt, para que no haya “trampas ni cartón” luego los hemos borrado, para los desconfiados si lo desean que los borren de sus ubicaciones originales, vamos que no hace falta créeme. Y ¿cómo estará nuestro archivo veoveo.txt?, por lo menos debe “pesar” 4 megas, 3,6mb del avi, más los exe.... Vamos a verlo: SORPRESA!! Sigue con sus 55 BYTES !!

Para terminar, ¿y podemos ejecutarlos, o ver el avi? PUES CLARO.



Página: 124

Tras cada línea de entrada verás la calculadora, el bloc de notas y el vídeo mundo.avi, Ufffff!!!!!! Observa que hemos tenido que usar nuestro viejo amigo, el comando start, recuerda que start ejecuta una aplicación, lo del .\ no es que me haya vuelto loco, simplemente indica al comando start que vaya a buscar los ficheros a ejecutar dentro del directorio donde estamos situados actualmente. Las preguntas te asaltan, ¿se podrá ocultar de este modo una carpeta enterita?, ¿podemos asociar tantos archivos como queramos? ¿y si copio el archivo veoveo.txt a otro lugar, se copian las asociaciones? ¿Cómo podemos saber si tenemos algo así en nuestro equipo? ¿Existe “algo” para descubrirlo? Voy a responder a todas las preguntas: SIIIIIIIIIII Evitarlo es imposible, para descubrir este tipo de engaños existen utilidades “de terceros” que analizan el disco para descubrirlo, si copiamos el archivo veoveo.txt a “otro sitio” que tenga el formato NTFS SE COPIAN LAS ASOCIACIONES Intenta copiar (con copy veoveo.txt a: ) a un disquete, je, je, se copiará sólo el archivo NO LOS STREAMS Ahora cópialo desde Windows, abres la carpeta “ojo” y arrastras el fichero veoveo.txt a la disquetera....

Espero que hagas un buen uso de ello. Se me olvidaba, lo de ocultar una carpeta formará parte de tu estudio personal, prueba y aprende. Lo de las utilidades para descubrir este AGUJERO NEGRO Y ENORME las puedes encontrar en :

Práctica 22. Ocultación de Archivos

Documents

Transcript of Práctica 22. Ocultación de Archivos