GitHubじゃ!Pythonじゃ!

GitHubからPython関係の優良リポジトリを探したかったのじゃー、でも英語は出来ないから日本語で読むのじゃー、英語社会世知辛いのじゃー

malwaredllc

byob – BYOB(独自のボットネットを構築する)

投稿日:

BYOB(独自のボットネットを構築する)

BYOB(独自のボットネットを構築する)

免責事項 :このプロジェクトは、認定されたテストまたは教育目的にのみ使用する必要があります。

BYOBは、セキュリティ研究者や開発者が基本ボットネットを構築して運用するためのフレームワークを提供するオープンソースプロジェクトで、毎年何百万ものデバイスに感染し、最新のボットネットを生み出す洗練されたマルウェアの理解を深め、これらの脅威に対する対策を開発する。

これは、 RAT (リモート管理ツール)またはC2 (コマンド&コントロールサーバー)をゼロから作成することなく、開発者が独自のコードを簡単に実装し、クールな新機能追加できるように設計されています。

RATの主な機能は、任意のコード/ファイルをC2からメモリにリモートロードし、ディスクに何も書き込まずにターゲットマシンで実行できることです。

サーバ

usage: server.py [-h] [-v] [--host HOST] [--port PORT] [--database DATABASE]

永続データベースとコンソールを備えたコマンド&制御サーバー

  • コンソールベースのユーザインタフェース :クライアントホストマシンに直接端末アクセスを提供する逆方向TCPシェルを介してクライアントホストマシンを遠隔制御するための合理化されたコンソールインタフェース

  • Persistent SQLite Database :クライアントホストマシンに関する識別情報を格納する軽量データベース。任意の持続時間の切断によって永続的なTCPシェルセッションを維持し、長期的な偵察を可能にします。

  • クライアント – サーバーアーキテクチャ :ローカルにインストールされたすべてのPythonパッケージ/モジュールは、クライアントがターゲットマシンのディスクに書き込まずにリモートからインポートできるように自動的に利用可能になり、クライアントはターゲットマシンにインストールされていないパッケージ

クライアント

usage: client.py [-h] [-v] [--name NAME] [--icon ICON] [--pastebin API] [--encrypt] [--obfuscate] [--compress] [--compile] host port [module [module ...]]

ステージングされたペイロード、リモートインポート、無制限のモジュールで完全に検出されないクライアントを生成する

  • リモートインポート :サーバーにサードパーティ製のパッケージをリモートでインポートしたり、ディスクにダウンロードしたりダウンロードしたりすることなく、リモートからインポートします。

  • ディスクに書き込まれるものは何もありません。クライアントは、リモートインポートによって任意のコードが動的にメモリにロードされ、現在実行中のプロセスに直接インポートされるため、ディスクに何も書き込むことはありません。

  • ゼロ依存性(Python自体ではない) :クライアントは、Python標準ライブラリだけで動作し、非標準のパッケージ/モジュールをサーバからリモートにインポートし、スタンドアロンのPythonインタプリタでコンパイルすることができ、 Python自体がターゲットホスト上で見つからなくても、何でも実行できるようにする

  • ちょうど1つのクリックで新しい機能を追加する./byob/modules/ディレクトリにコピーするPythonスクリプト、モジュール、またはパッケージは、コマンド&コントロールサーバーの実行中に自動的にリモートでインポート/

  • 自分のモジュールを書く :基本的なモジュールテンプレートは./byob/modules/ディレクトリにあり、自分のモジュールを簡単で手間のかからないプロセスにすることができます

  • ブロッティングファイルサイズなしの無制限モジュールの実行 :リモートインポートを使用して、クライアントのファイルサイズに1バイトを追加せずに無制限の機能を追加する

  • 完全に更新可能 :各クライアントは、定期的にサーバにリモートインポートで利用可能な新しいコンテンツがあるかどうかチェックし、追加/削除されたものがあればそのメモリ内リソースを動的に更新します

  • プラットフォームに依存しない:すべてがPython(プラットフォームに依存しない言語)で書かれ、生成されたクライアントはオプションでコンパイルされて実行可能な実行可能ファイル( Windows )またはスタンドアロンアプリケーション( macOS

  • ファイアウォールをバイパスする :クライアントは、リバースTCP接続を介してコマンド&コントロールサーバーに接続します。これは、ほとんどのファイアウォールをバイパスします。これは、デフォルトのフィルタ設定では、

  • アンチウィルス対策対策 :既知のアンチウィルス製品の名前を持つプロセスをブロックすることで、アンチウィルスによって分析されるのを防ぎます

  • 解析を防止するためにペイロードを暗号化する:メインのクライアントペイロードは、それとともに生成されたペイロードステージャーにのみ存在するランダムな256ビットの鍵で暗号化されます

  • リバースエンジニアリングの防止 :デフォルトでは、仮想マシンまたはサンドボックスが検出された場合、クライアントは実行を中止します

モジュール

クライアントがリモートからインポートできる11の利用後モジュール

  1. byob.modules.keyloggerbyob.modules.keylogger ):ユーザーのキーストロークと入力されたウィンドウ名を記録する
  2. スクリーンショットbyob.modules.screenshot ):現在のユーザーのデスクトップのスクリーンショットを撮る
  3. Webcambyob.modules.webcam ):ライブストリームを表示するか、Webカメラから画像/ビデオをキャプチャする
  4. Ransombyob.modules.ransom ):ファイルを暗号化し、ランダムなBTCウォレットを生成して身代金を支払う
  5. Outlookbyob.modules.outlook ):ローカルOutlookクライアントからの電子メールの読み取り/検索/アップロード
  6. パケットスニッファbyob.modules.packetsniffer ):ホストネットワーク上でパケットスニファを実行し、.pcapファイルをアップロードする
  7. 永続性byob.modules.persistence ):5つの異なる方法を使用してホストマシン上に永続性を確立する
  8. 電話byob.modules.phone ):クライアントのスマートフォンからのテキストメッセージの読み取り/検索/アップロード
  9. 特権のエスカレートbyob.modules.escalate ):権限のない管理者特権を得るためにUACバイパスを試みる
  10. ポートスキャナbyob.modules.portscanner ):他のオンラインデバイスとオープンポートをローカルネットワークでスキャンする
  11. プロセス制御byob.modules.process ):ホスト上で現在実行中のプロセスのリスト表示/検索/終了/監視

コア

ジェネレータとサーバで使用される6つのコアフレームワークモジュール

  1. ユーティリティbyob.core.util ):多くのモジュールで使用されるその他のユーティリティ関数
  2. ハンドラbyob.core.handlers ):クライアントから完了したタスクの結果を受け取るハンドラを要求する
  3. セキュリティbyob.core.security ):Diffie-Hellman IKE&3暗号化モード(AES-256-OCB、AES-256-CBC、XOR-128)
  4. ローダーbyob.core.loaders ):サーバーからパッケージ/モジュール/スクリプトをリモートにインポートする
  5. ペイロードbyob.core.payloads ):依存関係、パッケージ、モジュールをリモートからインポートするための逆方向TCPシェル
  6. Stagersbyob.core.stagers ):解析と検出を防ぐためにユニークなペイロードを生成する
  7. ジェネレータbyob.core.generators ):クライアントジェネレータのコードをすべて動的に生成する関数
  8. データベースbyob.core.database ):コマンド&コントロールサーバーとSQLiteデータベース間の相互作用を処理する

目的

貢献者歓迎! あなたが思いついた新機能や改善点があれば、自由にプルリクエストを発行してください!

  1. リモートインポート暗号化リモートでインポートされるパッケージ/モジュールのデータストリームの暗号化(機密性/信頼性/整合性を維持し、デシリアライゼーションに起因するリモートコード実行の脆弱性を防ぐ)
  2. トランスポートタイプ – より多くのトランスポートタイプ(HTTP / S、DNSなど)のサポートを追加
  3. 電話/ SMSモジュールを改善する – 連絡先リストがターゲットホスト上に見つかったときに電子メール/テキストメッセージによる拡散機能を追加する
  4. Outlook /電子メールモジュールの改善 – 連絡先リストがターゲットホスト上に見つかった場合、電子メール/テキストメッセージによる拡散機能を追加する
  5. Ransomモジュールの改善 – Bitcoin交換APIを使用してターゲットホストに固有の一時的なウォレットアドレスを生成し、支払いを受けずに一定時間後に期限切れになり、支払い時にC2サーバーに通知する方法を追加するウォレットの有効期限が切れている
  6. バグ修正 – バグや問題を修正する

接触

メール アドレスdanielvegamyhre@gmail.com

Twitter







-malwaredllc
-, , , , , , , , , , , , ,

執筆者:

malwaredllc

byob – BYOB(独自のボットネットを構築する)

投稿日:

(さらに…)







-malwaredllc
-, , , , , , , , , , , , ,

執筆者:

colental

byob – BYOB(独自のボットネットを構築する)

投稿日:

(さらに…)







-colental
-, , , , , , , , , , , , , ,

執筆者:

colental

byob – BYOB(独自のボットネットを構築する)

投稿日:

(さらに…)







-colental
-, , , , , , , , , , , , , ,

執筆者: