Voici une configuration de base pour utiliser Subseven

Voici une configuration de base pour utiliser Subseven
Il y a trois principaux programmes :
•
•
•
Sub7.exe
c’est le client, programme utilisé pour la prise de main à distance
Editserver.exe
c’est un programme qui permet de configurer un server.exe personnalisé
Server.exe
c’est le serveur qui permet d’ouvrir un port sur la machine esclave.
Attention ne jamais l’exécuter car vous pourrez vous même devenir une victime d’un
pirate.
Il faut d’abord configurer le server pour l’exécuter sur le poste esclave.
I. Ouvrer EditServer.exe
Choisissez run in normal mode
Le port par défaut est de 27374 mais il est conseillé de le changer pour ne pas se faire repérer
par les scanner.
Utilisé un port supérieur à 1024.
Puis choisissez un mot de passe, à cause encore des scanners.
Dans la case victime name tapez le nom de votre victime. Cela vous servira si vous avez
plusieurs victimes et vous le verrez plus tard si vous utilisé une méthode de notification, se
nom appparaîtra.
La case protect password protège vos donnés si une personne repère le troyen.
Il peut être intéressant de cocher la case wait for reboot, car si la victime à un doute et qu’elle
explore la base de registre elle ne verra rien tant qu’elle n’aura pas redémarrer la machine.
Dans server filename cocher specify et changer srv32.exe en par exemple windowsupdate.exe
ce qui va permettre si le troyen est détecté par un firewall d’avoir ce genre de
message « voulez-vous permettre à windowsupdate.exe de se connecté à Internet », vous avez
beaucoup de chance que l’utilisateur clic sur oui.
II. Passons maintenant à startup methods
Les différentes startup methods sont les métodes que Windows va utiliser pour ouvrir le
server à chaque démarrage
laisser l’option « registry runservices »
Si le poste esclave utilise un autre système d’exploitation que Windows98,95 ne cocher pas
les case Windows 9x only
Il ne reste plus que new method #2 et new method #3
III. allons maintenant dans notification
Cette section va servir à vous avertir au moment ou la victime sera connecter. Elle vous
enverra, sans se douter :
le numéro de port, son nom et le mot de passe que vous avez configuré au préalable.
Vous pouvez être averti de 5 façons différentes. Vous pouvez en configurer plusieurs.
Add ICQ notify
Permet de recevoir directement un message par ICQ (vous devez installer ICQ sur votre pc),
mais la victime n’est pas obligé de posséder ICQ.
Entrer ici votre UIN et cliquer OK
Add E-mail notify
Permet de recevoir un message par E-mail, a chaque fois que la victime est connecté.
L’inconvénient est que la victime crée un compte hotmail à chaque connexion, ce qui risque
de poser des problèmes.
Add IRC notify
Permet de recevoir un message par IRC.L’inconvénient est que le message peut-être public.
add SIN notify (Static Ip Notification)
Idéale si vous utilisez une connexion permanente.
Tapez votre adresse Ip, ici 192.168.1.2 mettez un espace est tapez le numéro de port par
lequel vous voulez être avertit, ici 6000.
Puis ouvrez le programme sin.exe
Cochez la case listen on port est inscrivez le numéro de port ici 6000 et attendez le message
Add CGI notify
le server va envoyer un script CGI sur votre site Internet, mais il faut que votre hébergeur
accepte ce genre de script.
Pour ma part j’ai utilisé l’option add SIN notify, ce qui me donne :
IV. Allons maintenant dans Blinded files
Cet écran vous permet d’attacher un autre fichier au server.
Lorsque la victime exécute le server, le programme joint va s’exécuter pendant que le trojan
s’installe. En clair, si vous attacher une photo, le trojan s’installera en arrière plan pendant que
la photo s’affichera à l’écran. La victime ne constate rien d’anormal.
Cliquez sur “add executed file” et sélectionnez le fichier a joindre. Mais la taille du trojan
augmente en fonction du fichier que vous attachez….
Je décide de ne pas ajouter de fichier à mon serveur.
V. Allons maintenant à plugins
Il est possible d’ajouter des plugins qui vont permettre d’améliorer les fonctions de Subseven
de 2 façon. Exemple : s7passwords.dll permet de voir les mot de passe en clair.
Directement en cliquant sur add binded plugin et d’ajouter les plugins voulues.
Ceci augmentera sensiblement la taille du serveur
Après que le serveur soit installé en cliquant sur add web plugin
Après avoir téléchargé les pluggins sur un site Web, donnée lui le chemin : nom du site + le
nom du plugin.dll
VI. Cliquons maintenant sur restrictions
Permet de restreindre le server à certaine commande.
Cliquer sur add allowed feature et choisir dans la liste les éléments voulus.
VII. Aller maintenant sur E-mail
Permet de recevoir certaines informations directement par mail.
Cette fonction n’est pas nécessaire, car on peut le faire une fois connecté.
Si vous cocher la case
(inscrivez votre adresse mail) tout ce
qui est tapé au clavier vous sera envoyé, il faut au préalable installé le plugin s7passwords.dll
Si vous cocher la case
tout les mots de passe en clair vous
seront envoyé, il faut au préalable installé le plugin s7passwords.dll
VIII. Cliquons sur exe icon/other
*
Cette section va permettre d’exécuter le serveur sans que la personne ne se doute de quelque
chose.
Cocher la case enable fake error message puis sur configure error message.
Vous pouvez fabriquer un message qui soit le plus anodin possible, exemple :
Voici le message qui apparaîtra :
la dernière coche change server icône est très intéressante elle permet de changer l’icône du
serveur. Choisissez une icône en fonction du fichier
Voilà votre serveur est prêt vous n’avez plus qu’a cliquer sur save as
Donner lui un nom suivi d’une extension d’un exécutable.