Last update: 29/05/2007


Display this page in english

Vidéos de démonstrations de x90re's backdoors
Cette page présente une série de vidéos retraçant la simulation d'une attaque ciblée de l'entreprise "Victim" basée sur les outils "x90re's backdoors" :
  • La première vidéo présente les différents outils utilisés et résume le principe de l'attaque.
  • Les autres vidéos sont des captures réalisées lors de l'attaque.

Accès aux vidéos
Les vidéos ont été encodées en XviD. Une fois ce codec installé, elles devraient pouvoir être lues par tous les players.
Présentation du principe de l'attaque de "Victim"
Présentation du principe de l'attaque - 6.70 Mo - 9:52
Cette vidéo présente tout le contexte et les outils utilisés lors de l'attaque, je vous conseille donc fortement de commencer par elle (disponible uniquement en anglais).  
Simulation de l'attaque de "Victim"
Les vidéos suivantes retracent toute l'attaque. Chacune représente une étape particulière. Elles sont classées chronologiquement.
Partie I : Création du forwarder
Génération de la backdoor - 15.45 Mo - 3:56
  • Création des shellcodes de Fratus et Injecter
  • Concaténation des shellcodes
  • Infection d’une application avec le résultat
Exécution de la backdoor sur l’ordinateur personnel - 8.21 Mo - 1:45
  • Utilisateur lance l’application infectée
  • Backdoor s’exécute et se connecte sur BlackMoon
Transformation de la backdoor en relais - 8.37 Mo - 2:34
  • Upload des modules/ressources requis pour transformer la backdoor en relais
  • Activation des modules
Partie II : Attaque de "Victim"
Génération de la backdoor - 15.64 Mo - 4:23
  • Création des shellcodes de Parsifal et Injecter2
  • Concaténation des shellcodes
  • Dissimulation du résultat dans une image
  • Exécution et configuration de Metasploit
Exécution de la backdoor sur le poste interne - 5.83 Mo - 1:31
  • Connexion de l’utilisateur sur le faux site web
  • Introduction de la backdoor via l’image
  • Redirection du navigateur sur Metasploit
  • Envoi de l’exploit par Metasploit
  • Exécution de la backdoor
Etablissement de la communication avec BlackMoon - 11.92 Mo - 2:11
  • Utilisateur lance IE pour accéder au web
  • Backdoor récupère les paramètres de connexion
  • Backdoor se connecte sur BlackMoon
Exploration de l’ordinateur avec un "cmd" distant - 5.54 Mo - 2:06
  • Upload du module "cmd" en mémoire
  • Initialisation du module
  • Module donne accès à un "cmd" distant
  • Exploration de l’arborescence de l’ordinateur
Vol de documents confidentiels - 9.83 Mo - 2:56
  • Upload en mémoire et activation du module "cps" permettant la compression des fichiers transférés
  • Upload en mémoire du module "fif" et lancement d’une recherche récursive de documents confidentiels
Chiffrement de documents importants - 10.17 Mo - 1:57
  • Upload et activation du module "cryptfile"
  • Utilisation de ce module pour chiffrer des documents importants et wiper les originaux
Vol d’identifiants web - 4.28 Mo - 1:34
  • Utilisation d’une fonctionnalité intrinsèque de Parsifal pour voler les identifiants de connexion à un site web accédé en HTTPS
Vol d’identifiants POP/IMAP - 2.76 Mo - 0:54
  • Utilisation d’une fonctionnalité intrinsèque de Parsifal pour voler les identifiants de connexion à un serveur de messagerie (POP ou IMAP)
Vol des identifiants administrateur - 2.93 Mo - 0:56
  • Utilisation d’une fonctionnalité intrinsèque de Parsifal pour voler les identifiants administrateur lors de l’exécution d’un "run as"
Espionnage des e-mails - 2.85 Mo - 0:50
  • Utilisation d’une fonctionnalité intrinsèque de Parsifal pour espionner les e-mails envoyés en ajoutant une adresse mail en bcc
Installation d’une backdoor pour survivre au redémarrage - 5.67 Mo - 1:44
  • Génération d’une nouvelle version de Parsifal via WiShMaster
  • Utilisation de la commande "install" pour installer backdoor (upload + ajout entrée dans clé "Run")
Fonctionnalité de rootkit en user-land - 3.16 Mo - 1:02
  • Présente une fonctionnalité intrinsèque de Parsifal permettant de cacher des répertoires et des entrées dans la base de registre
Une remarque/un bug ?
N'hésitez pas à m'écrire pour me faire part de vos remarques/suggestions : Benjamin CAILLAT