sexta-feira, 23 de novembro de 2018

L0RDIX ferramenta hacker


Fala galera beleza?

Navegando pelos sites/foruns de segurança nessa semana, encontrei muitas informações sobre uma nova ferramenta de ataque multiuso que está sendo vendida na deepweb o L0RDIX:



Dashboard:



O pesquisador Ben Hunter da enSilo descobriu a ferramenta escrita em .NET e que mira máquinas windows sendo vendida em alguns foruns da Deepweb, o que seria até normal, porém o que me surpreendeu foi a quantidade de funções que a ferramenta possui, além da qualidade apresentada  e do suporte que os desenvolvedores prestam para os clientes (até canal no telegram tem) segue algumas delas:

- Anti-Analysis e anti-VM, possui funções para evitar ser detectado e analisado pelas ferramentas mais communs de checagem, além de conseguir detectar se está sendo rodado em ambiente virtual ou não (WMI queries e procuras nos registrys da máquina).

- Comunicação - a comunicação entre a máquina infectada e o server é feita via AES, porém antes que a primeira comunicação ocorra, a máquina envia diversas informações (OS, CPU, GPU, antivirus, privilégios, profile, RAM e outras) para o server, que envia um arquivo JSON contendo paramêtros configuráveis (Mining_status, Steaal etc) que servem para determinar quando os dados serão enviados, ou como a ferramenta deve atuar;

- Modulo de infecção USB - Infecção automática em dispósitivos USB conectados na máquina infectada:


- Persistencia - schtasks (Schtasks /create /tn [copy name] /tr [copy path] /st 00:00 /du 9999:59 /sc daily /ri [interval from configs] /f);

- Botnet - Oferece diversas ações (abrir uma URL no browser, executar um comando CMD, matar um processo específico, upload de arquivos, dowwnload/execução de arquivos):


- Roubou de carteira de bitcoin:

- Função de stealer - captura todos os logins salvos dos principais browsers, cookies e categorização de todos os arquivos da máquina infectada;

- Função de mineração - módulo de mineração:


- HTTP DDOS;

Galera a ferramenta está em desenvolvimento, então logo mais deverão chegar novas versões (se já não existem) que não serão detectadas pelos principais anti-virus/firewalls do mercado.

Fonte:
https://blog.ensilo.com/l0rdix-attack-tool

Abraços pessoal
às

Nenhum comentário:

Postar um comentário