Voici une configuration de base pour utiliser Subseven
Transcription
Voici une configuration de base pour utiliser Subseven
Voici une configuration de base pour utiliser Subseven Il y a trois principaux programmes : • • • Sub7.exe c’est le client, programme utilisé pour la prise de main à distance Editserver.exe c’est un programme qui permet de configurer un server.exe personnalisé Server.exe c’est le serveur qui permet d’ouvrir un port sur la machine esclave. Attention ne jamais l’exécuter car vous pourrez vous même devenir une victime d’un pirate. Il faut d’abord configurer le server pour l’exécuter sur le poste esclave. I. Ouvrer EditServer.exe Choisissez run in normal mode Le port par défaut est de 27374 mais il est conseillé de le changer pour ne pas se faire repérer par les scanner. Utilisé un port supérieur à 1024. Puis choisissez un mot de passe, à cause encore des scanners. Dans la case victime name tapez le nom de votre victime. Cela vous servira si vous avez plusieurs victimes et vous le verrez plus tard si vous utilisé une méthode de notification, se nom appparaîtra. La case protect password protège vos donnés si une personne repère le troyen. Il peut être intéressant de cocher la case wait for reboot, car si la victime à un doute et qu’elle explore la base de registre elle ne verra rien tant qu’elle n’aura pas redémarrer la machine. Dans server filename cocher specify et changer srv32.exe en par exemple windowsupdate.exe ce qui va permettre si le troyen est détecté par un firewall d’avoir ce genre de message « voulez-vous permettre à windowsupdate.exe de se connecté à Internet », vous avez beaucoup de chance que l’utilisateur clic sur oui. II. Passons maintenant à startup methods Les différentes startup methods sont les métodes que Windows va utiliser pour ouvrir le server à chaque démarrage laisser l’option « registry runservices » Si le poste esclave utilise un autre système d’exploitation que Windows98,95 ne cocher pas les case Windows 9x only Il ne reste plus que new method #2 et new method #3 III. allons maintenant dans notification Cette section va servir à vous avertir au moment ou la victime sera connecter. Elle vous enverra, sans se douter : le numéro de port, son nom et le mot de passe que vous avez configuré au préalable. Vous pouvez être averti de 5 façons différentes. Vous pouvez en configurer plusieurs. Add ICQ notify Permet de recevoir directement un message par ICQ (vous devez installer ICQ sur votre pc), mais la victime n’est pas obligé de posséder ICQ. Entrer ici votre UIN et cliquer OK Add E-mail notify Permet de recevoir un message par E-mail, a chaque fois que la victime est connecté. L’inconvénient est que la victime crée un compte hotmail à chaque connexion, ce qui risque de poser des problèmes. Add IRC notify Permet de recevoir un message par IRC.L’inconvénient est que le message peut-être public. add SIN notify (Static Ip Notification) Idéale si vous utilisez une connexion permanente. Tapez votre adresse Ip, ici 192.168.1.2 mettez un espace est tapez le numéro de port par lequel vous voulez être avertit, ici 6000. Puis ouvrez le programme sin.exe Cochez la case listen on port est inscrivez le numéro de port ici 6000 et attendez le message Add CGI notify le server va envoyer un script CGI sur votre site Internet, mais il faut que votre hébergeur accepte ce genre de script. Pour ma part j’ai utilisé l’option add SIN notify, ce qui me donne : IV. Allons maintenant dans Blinded files Cet écran vous permet d’attacher un autre fichier au server. Lorsque la victime exécute le server, le programme joint va s’exécuter pendant que le trojan s’installe. En clair, si vous attacher une photo, le trojan s’installera en arrière plan pendant que la photo s’affichera à l’écran. La victime ne constate rien d’anormal. Cliquez sur “add executed file” et sélectionnez le fichier a joindre. Mais la taille du trojan augmente en fonction du fichier que vous attachez…. Je décide de ne pas ajouter de fichier à mon serveur. V. Allons maintenant à plugins Il est possible d’ajouter des plugins qui vont permettre d’améliorer les fonctions de Subseven de 2 façon. Exemple : s7passwords.dll permet de voir les mot de passe en clair. Directement en cliquant sur add binded plugin et d’ajouter les plugins voulues. Ceci augmentera sensiblement la taille du serveur Après que le serveur soit installé en cliquant sur add web plugin Après avoir téléchargé les pluggins sur un site Web, donnée lui le chemin : nom du site + le nom du plugin.dll VI. Cliquons maintenant sur restrictions Permet de restreindre le server à certaine commande. Cliquer sur add allowed feature et choisir dans la liste les éléments voulus. VII. Aller maintenant sur E-mail Permet de recevoir certaines informations directement par mail. Cette fonction n’est pas nécessaire, car on peut le faire une fois connecté. Si vous cocher la case (inscrivez votre adresse mail) tout ce qui est tapé au clavier vous sera envoyé, il faut au préalable installé le plugin s7passwords.dll Si vous cocher la case tout les mots de passe en clair vous seront envoyé, il faut au préalable installé le plugin s7passwords.dll VIII. Cliquons sur exe icon/other * Cette section va permettre d’exécuter le serveur sans que la personne ne se doute de quelque chose. Cocher la case enable fake error message puis sur configure error message. Vous pouvez fabriquer un message qui soit le plus anodin possible, exemple : Voici le message qui apparaîtra : la dernière coche change server icône est très intéressante elle permet de changer l’icône du serveur. Choisissez une icône en fonction du fichier Voilà votre serveur est prêt vous n’avez plus qu’a cliquer sur save as Donner lui un nom suivi d’une extension d’un exécutable.