Ở bài viết trước Anonyviet đã ra mắt công cụ AnonyvietTrojan mã hóa virus rat, malware,… chạy ngầm trên máy tính mà không bị Windows Defender phát hiện bằng cách sử dụng link tải trực tiếp rat về máy mang tên AnonyvietTrojan v1.1. Và trong bài viết này Anonyviet đã thêm 1 tính năng cho AT v1.1 đó chính là mã hóa RAT
Lưu ý: Bài viết này chỉ dành cho mục đích giáo dục. Mọi hành vi bất hợp pháp Anonyviet sẽ không chịu toàn bộ trách nhiệm
AnonyvietTrojan v1.1 – Cập nhật chức năng mã hóa RAT và vượt qua Windows Defender
Trước khi vào bài viết mình muốn bạn tìm hiểu về RAT là gì ? và cách thức hoạt động của nó ra sao thì hãy đọc bài viết này của Anonyviet nhé
Bài viết trước mình đã giới thiệu về AnonyvietTrojan v1.0 và công cụ cũng có ưu và nhược điểm của nó. Công cụ này chỉ hoạt động trên phiên bản Python 3.9 ( download Python phiên bản 3.9 tại đây), các phiên bản Python khác thì sẽ không hoạt động được đâu nhé. Và có rất nhiều bạn bảo tool lỗi NSudo và lỗi mã hóa code. Và trong phiên bản này thì tool đã được fix và hoạt động tốt hơn rất nhiều và Anonyviet đã fix hết lỗi đó và thêm tính năng đó là mã hóa rat, và như bạn đã biết rồi đó công cụ này chỉ vượt qua Windows Defender thôi nhé, máy nạn nhân cài thêm AntiVirus thứ 2 vào là coi như không hoạt động. Đến đây, chắc hẳn cũng sẽ có nhiều bạn hỏi rằng: “Tại sao mã hóa rồi lại chỉ vượt qua được mỗi Windows Defender ?” thì mình sẽ giải thích qua ví dụ sau nhé.
Ví dụ mình có một file virus.exe được mã hóa bởi base64 có dạng như sau: YW5vbnl2aWV0dHJvamFu sau khi đưa file virus.exe vào tool AnonyvietTrojan thì tool sẽ tự động mã hóa nó bằng base64 như trên và sau đó tool sẽ thay đổi các chữ cái và số trong mã base64, ví dụ mình thay Y là kí tự *, a là kí tự | và J sẽ là > thì mã base64 của mình đã thay đổi và mình đặt tên cho mã này là base64fake: *W5vbnl2|WV0dH>vamFu và như vậy chúng ta đã thấy sự thay đổi của nó nhưng nó sẽ không thể nào mà decode lại được nếu decode lại thì nó sẽ lỗi. Chính vì vậy, Windows Defender sẽ không coi đây là virus.
Lúc này tool sẽ lưu trữ mã base64fake đó và biên dịch sang 1 file exe khác và mình đặt tên cho là kocovirus.exe . Khi nạn nhân tải file kocovirus.exe và chạy nó thì Windows Defender sẽ không quét các tệp exe và sau đó mã base64fake của mình sẽ tự động thay đổi lại thành mã base64 ban đầu như trên, tiếp đến kocovirus.exe sẽ tự động decode mã base64 đó thành 1 file virus.exe và rat của bạn tự động chạy ngầm trên máy nạn nhân mà không bị Windows Defender xóa mà chúng ta thường gọi nó là Backdoor đấy !. Và sau đây là cách sử dụng
Để sử dụng tool thì hãy download tại đây nhé (pass giải nén: anonyviet). Khi giải nén xong bạn hãy mở cmd lên và trỏ đến thư mục AnonyvietTrojan và nhập lệnh setup cho tool python setup.pykhi setup xong bạn hãy nhập lệnh python anonyviet-trojan.py để vào tool. Ở đây mình chọn số 2 đó là mã hóa rat sau đó bấm enter
Tiếp đến bạn hãy nhập đường đường dẫn hoặc kéo thả file rat của bạn vào, và mình đặt tên cho program mới là setup “nhằm thao túng tâm lý”, tên payload thì bạn để tên uy tín một xíu ví dụ như là: svhost, system,… sau đó bạn đặt icon cho program thì nhấn y và Enter sau đó nhập đường dẫn chứa file .ico của bạn hoặc kéo thả vào cũng được, còn bạn không thích đặt icon thì nhấn n sau đó enter và chọn 1 trong 2 công cụ để biên dịch.
Ở đây thì mình chọn Nuitka để biên dịch sang ngôn ngữ C và tự động sang exe luôn, Nuitka thì khả năng rat vượt qua Windows Defender sẽ cao hơn rất nhiều nhé nên Anonyviet mới thêm nó vào. Sau khi hoàn tất chúng ta sẽ đợi vài giây để nó build
Bạn nào mà sử dụng Nuitka trong quá trình Generating mà gặp trường hợp này thì hãy yes all hết nhé
Khi build xong file exe của bạn sẽ được lưu trong thư mục Output
Và bây giờ bạn hãy mở máy ảo nên để thử xem RAT có qua mắt được Windows Defender không nhé!
Bài viết này được thực hiện để nghiên cứu, vui lòng không sử dụng vào mục đích vi phạm pháp luật
Vậy là bài viết đến đây là kết thúc. Bạn nào yêu thích công cụ này hãy để lại bình luận phía dưới để mình sẽ làm thêm 1 số chức năng và hỗ trợ tool chạy được trên Kali Linux. Chúc bạn có một ngày tốt lành !
Bạn cũng có thể đọc thêm bài viết AnonyvietTrojan – Công cụ giúp Virus vượt qua Windows Defender trên website Anonyviet