Last update: 29/05/2007


EtatStable
Version1.10
Mise à jour29/05/2007

Projet RConnect
"RConnect" est une backdoor très simple de type reverse connect utilisée pour illustrer les possibilités ouvertes par la shellcodisation via WiShMaster.

Illustration de WiShMaster par RConnect
RConnect est une backdoor type reverse connect qui a pour unique objectif d'illustrer une utilisation de WiShMaster (un générateur de shellcodes pour Windows). Je vous encourage donc à parourir la page dédiée à cet outil avant de poursuivre la lecture de celle-ci.
Il est également important de noter que cette utilisation n'est qu'un exemple, que j'ai choisi car il se place dans la continuité d'un autre de mes projets : "x90re's backdoors".
L'objectif de WiShMaster n'est en aucun cas de protéger des codes malicieux, mais uniquement de générer des shellcodes pour Windows. Les techniques d'encodage, d'injection de thread et d'infection rendues possibles par la shellcodisation de RConnect sont parfaitement connues et utilisées depuis longtemps par des codes malicieux.
L'objectif de ces présentations est que chacun puisse bien les comprendre, connaître les qualités et les défauts des firewalls personnels et puisse de manière objective évaluer le risque.

WiShMaster est le résultat d'un développement de quelques mois sur mon temps libre et ouvre déjà pas mal de possibilités.
Il est donc évident qu'il existe des outils beaucoup plus puissants, inconnus du "grand public", développés par des personnes ayant clairement des objectifs lucratifs. La mise à disposition de WiShMaster aspire à tenter de légèrement rétablir ce déséquilibre, afin que les spécialistes de la sécurité puissent eux aussi mener leurs propres tests.
En images...
Afin que vous puissiez avoir rapidement un aperçu de cette shellcodisation par WiShMaster, j'ai réalisé une série de vidéos. Celles-ci ont été réalisé avec la version 1.00 de WiShMaster, légèrement différente de l'actuelle version, mais le principe reste globalement identique.
Celles-ci viennent illustrer le document "WiShMaster&RConnect", disponible dans la partie "Ressources" ci-dessous. Je vous conseille donc de le lire si vous souhaiter bien comprendre les opérations effectuées.

Il faut noter que lors de l'enregistrement de la vidéo, l'outil de capture consommait une très grande partie des ressources de mon système, ce qui explique que celui-ci semble souvent ramer énormément.

Cette vidéo présente le principe de la backdoor RConnect : Après un rapide aperçu du code source, une compilation classique est effectuée afin de produire la backdoor sous sa forme "normale". La backdoor est ensuite copiée et lancée dans une VMware. Elle se connecte alors sur un netcat s'exécutant sur l'hôte principal, offrant un accès "cmd distant" sur la VMware.
Cette vidéo présente la shellcodisation de RConnect : Dans un premier temps, un script "patch.pl" qui adapte les fichiers de l'archive RConnect.zip à votre arborescence est lancé. La shellcodisation a proprement parlé est ensuite effectuée en quelques clics avec WiShMaster. La vidéo se termine par un rapide test en local.
Cette vidéo présente une shellcodisation "avancée" de RConnect : deux shellcodes sont tout d'abord générés ; un représentant RConnect et l'autre l'injecter, qui injecte RConnect dans une instance cachée du navigateur par défaut
"Infector", un petit outil maison (non disponible actuellement) est alors utilisé pour infecter un exécutable "WindowApplication.exe".
Ce programme, une simple application de test affichant une fenêtre graphique, symbolise bien sûr un programme réel.
La vidéo se termine par le lancement en local de "WindowApplication.exe" infecté, afin de tester l'exécution de la backdoor.
Cette dernière vidéo simule une mini-attaque d'un ordinateur personnel à partir du programme infecté "WindowsApplication.exe" généré dans la troisième vidéo. La cible est un poste Windows XP SP2 équipé du firewall personnel Kerio. La victime lance l'application "WindowsApplication.exe" en étant loggée en administrateur. RConnect s'injecte alors dans un processus navigateur caché puis se connecte sur le serveur du pirate, lui offrant un accès "cmd distant". Le pirate génère alors un service encapsulant RConnect, l'upload sur la cible via un tftp et l'installe. Après le redémarrage le pirate immédiatement un accès SYSTEM sur la cible, sans même que l'utilisateur ait besoin de se logger.
Accès aux ressources
Le binaire WiShMaster est téléchargeable sur la page dédié à cet outil.
Cette archive regroupe toute les ressources nécessaires pour reproduire la shellcodisation de RConnect. A noter que la partie injecteur a été déportée dans un projet séparé "Injecter", disponible également sur ce site.
Un document présentant rapidement le principe de WiShMaster
Un document présentant la shellcodisation de RConnect par WiShMaster
Les mêmes documents en HTML, sur le site de SecuObs
Une remarque/un bug ?
Ce projet est réellement en développement intense. N'hésitez donc pas à me faire part de vos remarques/suggestions pour l'améliorer: Benjamin CAILLAT