Antes de empezar descarga el troyano de aquí. Se trata de la última versión. Puedes leer aquí más información sobre la última versión del subseven.
Editando un servidor al gusto.
El primer paso que voy a explicar es como construir nuestro servidor personalizado, pues este es el paso más importante y en el que muchos se pierden. En próximas entregas trataré de explicar las distintas funciones del cliente.
Abramos pues el archivo editserver.exe, el programa se nos mostrará tal que así:
Una vez abierto el programa debemos cargar en el nuestro servidor (archivo server.exe), para ello debemos pulsar en la parte superior donde están los ...
Se abrirá una ventana de dialogo para seleccionar el archivo que queremos editar, recuerda que solo funcionará con el servidor de la versión 2.3, selecciona el archivo y listo.
Una vez seleccionado el servidor pulsamos en el botón Read (a la derecha) para leer la configuración que trae el servidor por defecto (si ya lo habías editado antes entonces te mostrará la configuración que le habías puesto).
Ahora que ya tienes cargado el servidor viene lo importante, configurarlo a tu gusto. Las opciones son las siguientes:
Server extension: aquí elegimos la extensión que tendrá el archivo final, tenemos varias para elegir, exe, pif, com, bat, scr. Debes elegir una, la más típica y por tanto la más sospechosa es exe.
Install directory: aquí elegiremos en que directorio queremos que se esconda el servidor una vez que haya sido ejecutado, podemos elegir entre 2 rutas diferentes, system y windows, elige la que más te convenga.
Protect server: aquí podemos ponerle una contraseña al servidor para que solo nosotros podamos usarlo, elige un buen password y recuerdalo.
Custom directory: aquí podemos poner el directorio que queramos (ver Install directory). Esta opción es una alternativa a los directorios comunes, si no sabes bien que poner aquí no marques esta opción y dejala en blanco.
Melt: marcaremos esta opción si queremos que el servidor se borre al ser ejecutado, imagina que envias el servidor con el nombre foto.exe a la víctima, si esta opción está marcada al ejecutar el servidor éste se copiará al directorio que hayamos puesto en la configuración y el archivo original se borrará automáticamente.
Wait for reebot: si marcamos esta opción el servidor no empezará a funcionar hasta que se reinicie la máquina donde está instalado, si no la marcas el servidor empezará a funcionar nada más ejecutarse.
Run server visible: marcando esta opción el servidor funcionará visible, se usa para pruebas en el propio ordenador, para camuflar el servidor debes desmarcar esta opción.
Server name: aquí debes ponerle un nombre al servidor, de lo contrario no podrás guardar tu configuración. Importante, el nombre debe contener la extensión, por ejemplo servidor.exe, servidor.pif, etc.
Ahora si observas la parte izquierda del programa verás más botones, pulsa el que dice Fake messages.
En esta sección puedes crear un mensaje de error personalizado, así cuando la victima ejecute el troyano se le mostrará un mensaje diciendo lo que tu hayas configurado, la victima pensará que el archivo no funciona al ver el mensaje, pero ya estará infectado.
Para activar el mensaje falso marca la casilla que pone enable. Elige algún icono a la derecha, el icono se mostrará junto al mensaje. Configuralo al gusto, puedes ver como queda el mensaje de error pulsando el botón que pone Test.
Vuelve a los botones de la izquierda, pulsa en Startup methods. Esta es una parte muy importante de la configuración, si no seleccionas nada entonces el servidor solo funcionará una vez. Si marcas alguna de las casillas entonces el servidor funcionará cada vez que se inicie windows.
Si marcas alguna de las casillas que comienzan por Registry entonces deberás cubrir también el campo que dice Key name (puedes poner por ejemplo un nombre engañoso como drivers). No puedo recomendarte un método de inicio, el más común es Registry Run. Lo importante es que marques alguna casilla para que el servidor se inicie con windows. Y recuerda que si eliges alguno de los métodos que empiezan por Registry debes rellenar la casilla que pone Key name.
Volvamos a los botones de la izquierda y pulsemos sobre Notifications. Hay 2 tipos de notificaciones, la sin y cgi/php (esta última es mediante web y no voy a explicarla). Marcamos la opción sin, y en sin settings escribimos nuestra dirección no-ip donde pone dns/ip, y en la otra casilla, a continuación de los : escribiremos un número de puerto que es importante recordar pues el cliente escuchará las conexiones de los infectados en ese puerto. Por ejemplo ponemos el puerto 1234, y tendremos que abrir ese puerto en nuestro router para recibir las conexiones. Recuerda que esta nueva versión es de conexión inversa.
Volvemos a los botones de la izquierda, pulsamos en Win Firewall, y marcamos las 3 casillas que aparecen, con ello desactivaremos las defensas de windows.
Volvemos a los botones de la izquierda, pulsamos Bind Files, en la parte derecha pulsamos sobre files y luego sobre add files. Esta opción sirve para juntar nuestro servidor con una aplicación inofensiva, por ejemplo un crack o una animación en flash. Si juntamos nuestro servidor con otro archivo el resultado será un solo archivo que contiene nuestro servidor y otro archivo que disimulará la infección.
Volvemos a los botones de la izquierda, y nos queda el último, Exe Icon, sirve para ponerle el icono que queramos a nuestro servidor. Hay miles de iconos en internet, bajate algunos y prueba a ponerselos al servidor.
Volvemos a los botones de la izquierda, el de abajo del todo donde dice Save/as Settings, una vez que tengas configurado el servidor solo tienes que darle a ese botón y elegir una de las opciones que salen, save settings escribirá la configuración en el servidor que hayas cargado previamente, y save settings as salvará una nueva copia del servidor con tu nueva configuración dejando sin tocar el servidor original.
Ahora voy a explicar básicamente como poner el cliente a funcionar y dejarlo listo para recibir las conexiones de los infectados.
Abrimos el client.exe y pulsamos donde indica la flecha amarilla en la foto:
En la nueva ventana escribimos el puerto que hayamos configurado con el editserver.exe en la sección Notifications, debes poner el mismo puerto. Despues le das a open port, en la foto el puerto elegido es el 999, pero tu pon el tuyo, y recuerda que debes abrir ese puerto en el router.
Puede salirte una alerta de windows adviertiendo que el cliente de sub7 está tratando de ponerse a la escucha, debes permitir el acceso dandole a permitir acceso.
Si todo está configurado correctamente en cuanto el servidor sea ejecutado por la víctima tratará de conectarse al cliente y te aparecerá un cartel avisando de las conexiones abajo a la izquierda, junto al reloj.
Y en el cliente podrás ver las conexiones, en la ventana SIN:
Ahora solo tienes que experimentar las diferentes funciones del programa. Las iré explicando en proximos mensajes.
7 comentarios:
muy bueno solo tengo una duda cuando le damos en save setting as al pareces sale un problema lo cual yo lo guarde como save setting mi pregunta el creo un archivo llamado subbound pero este pesa 0kb supungo q esta mal
ahora nuestro server es el server?
Anónimo, efectivamente ahora el server.exe tiene tu nueva configuración.
Hola amigo!
Realmente funciona, lo probé con mi Ubuntu infectando un XP y funciona de maravilla.
Gracias!
disculpa no puedo cargar el server xq cuando lo descargo no me permite guardar el comprimido ni descomprimirlo en alguna carpeta... ke es lo q tengo q hacer?'
No entiendo el paso de "bind files" hay que seleccionar algo o dejarlo asi??
Tengo un problema con el server, en la Pc de la victima su Firewall detecta el archivo y en la configuracion del server tengo las casillas marcadas que deshabilitan las defensas de Windows.. Explicame que pasa.
porfavor me podeis mandar los arcuivos que se descargan por correo:dareher2001@gmail.com
Publicar un comentario