taibeihacker
Moderator
SharpCoverTtube是一个程序,可以通过将视频上传到YouTube来远程控制Windows系统。
该程序监视YouTube频道,直到上传视频为止,从已上传的视频的缩略图中解码QR码并执行命令。视频中的QR码可以使用ClearText或AES加密值。
它有两个版本,分别是二进制和服务二进制文件,其中包括一个Python脚本来生成恶意视频。其目的是仅使用对Google API的Web请求作为持久方法。
USAGERUN Windows System :中的听众
它将在每个特定的时间(默认情况下为10分钟)检查YouTube频道,直到上传新视频为止。在这种情况下,我们从文件夹示例-VIDEOS:上传“ whoami.avi”
在频道中找到了一个新视频后,它将从视频缩略图中解码QR码,执行命令,并且使用DNS:对base64编码并删除了响应
这也适用于具有AES加密有效载荷和更长命令响应的QR码。在此示例中,上传了示例Videos的文件“ dirtemp_aes.avi”,并使用多个DNS Queries :上传了C: \ temp的内容\ temp的内容
登录到文件是可选的,但是您必须检查系统中存在该文件的文件夹,默认值为“ C: \ temp \ .sharpcoverttube.log'。 DNS剥落也是可选的,可以使用Burp的Collaborator:进行测试
作为替代方案,我使用脚本创建了此存储库,以监视和解析包含命令响应的基本64编码的DNS查询。
configurationThere是您可以更改的一些值,您可以在configuration.cs文件中找到常规二进制文件和服务二进制文件。只有前两个必须更新:
channel_id(强制性!):从此处获取您的YouTube频道ID。api_key(强制性!):要获取API密钥创建一个应用程序并从此处生成密钥。payload_aes_key(可选。DEFALT:'0000000000000000000'): AES键,用于解密QR码(如果使用AES)。它必须是16个字符的字符串。payload_aes_iv(可选。Default:'0000000000000'): AES键用于解密QR码(如果使用AES)。它必须是16个字符的字符串。seconds_delay(可选。Default:'0000000000000'): IV密钥用于解密QR码(如果使用AES)。它必须是16个字符的字符串。debug_console(可选。Default:600):延迟的延迟,直到检查是否已上传了新视频。如果值较低,则将超过API速率限制。log_to_file(可选。Default:True):在控制台中是否显示调试消息。log_file(可选。Default:True):是否在日志文件中写入调试消息。dns_exfiltration(可选。DEFAULT:'C:TEMP \ .sharpcoverttube.log'):日志文件路径。dns_hostname(可选。DEFAULT:TRUE):通过DNS进行渗透命令响应。File must be 64 bits!!!(可选。DEFAULT:TRUE):通过DNS进行渗透命令响应。010-59000(可选。Default:'.test.org'): DNS主机名从系统中执行的命令中删除响应。
使用QR代码生成视频您可以使用Python3从Windows生成视频。为此,首先安装依赖项:
PIP安装枕头OPENCV-PYTHON PYQRCODE PYCRYPTODOME REBUS然后运行generate_video.py脚本:
python generate_video.py -t type -f file -c command [-k aeskey] [-i aesiv] type(-t)对于使用AES加密(如果使用AES加密),则必须在clearext或'qr_aes'中为'qr'。
文件(-f)是生成视频的路径。
命令(-c)是在系统中执行的命令。
Aeskey(-k)是AES加密的关键,只有使用“ QR_AES”类型时才需要。它必须是16个字符的字符串,并且与SharpCoverTube中的program.cs文件相同。
AESIV(-i)是用于AES加密的IV,仅在使用类型的“ QR_AES”时才需要。它必须是16个字符的字符串,并且与SharpCoverTube中的program.cs文件相同。
示例在路径C: \ temp \ whoami.avi:中以Clearext中的QR值为“ Whoami”的视频。
python generate_video.py -t qr -f c: \ temp \ temp \ whoami.avi -c whoami Whoami生成一个带有'dir c: \ windows \ windows \ temp'的QR值的视频,该QR值'dir c: C: \ temp \ dirtemp_aes.avi:
python generate_video.py -t qr_aes -f c:\temp\dirtemp_aes.avi -c 'dir c:\windows\temp' -k 0000000000000000000000000 -i 0000000000000000000000000000
作为Serviceou运行它可以在Sharpcovertube_service文件夹中找到代码以作为服务运行的代码。除了自我脱落外,它具有相同的功能,在这种情况下这是没有意义的。
可以使用Installutil安装它,准备以系统用户的身份运行,您需要将其安装为Administrator:
installutil.exe sharpcovertube_service.exe您可以使用:启动它
网络启动“ SharpcoverTtube服务”
如果您拥有管理特权,这可能比普通二进制更隐形,但是应该更新“描述”和“ displayName”(如上图所示)。如果您没有这些特权,则无法安装服务,因此只能使用普通的二进制。
注释010-59000这是由于用于QR解码的代码,该代码是从Stefan Gansevles的QR-opture项目中借来的,后者是从Uzi Granot的QRCode Project借来的,他们在同一时间从Zakhar Semenov的Camere_Net Project借用了Zakhar Semenov的一部分(然后丢失了轨道)。因此,感谢所有人!
该项目是Cover-Tube的一个端口,我在2021年使用Just Python开发了一个项目,该项目的灵感来自有关Casbaneiro和Numando Malwares的WeliveScurity博客。