PEInjector: infectar ejecutables "al vuelo"

Hace más de un año vimos la posibilidad de añadir payloads en ejecutables "al vuelo" con BDFProxy, lo que significaba para nosotros el descubrimiento de un vector de infección muy interesante durante un ataque MiTM.

Hoy os presentamos PEInjector, una herramienta que también puede infectar ejecutables de Windows (PE COFF) y que además incluye un proxy (interceptor) que también es capaz de modificar los ejecutables al "vuelo" pero mucho más completo y con mayor rendimiento: parcheo más transparente, infección ELF o MACH-O, PE code cave jumping, parcheo IAT y otros métodos de parcheo más "estáticos".

Características generales:

• Soporte de archivos PE x64 y x86.
• Código abierto
• Totalmente funcional en Windows y Linux, incluyendo scripts de instalación automatizada.
• Puede funcionar en hardware embebido, probado en una Raspberry Pi 2.
• En Linux, todos los servidores se integrarán automáticamente como servicio, sin necesidad de configuración manual.
• Escrito en C plano, no se requieren librerías externas (peinjector).
• La integración MiTM está disponible en C, Python y Java. Se incluye un ejemplo de implementación en Python.
• Facilidad de uso. Cualquier persona que pueda configurar un router en casa podrá configurar el servidor de inyector.
• Creador de shellcodes integrado y de fácil uso. Todos los shellcodes disponibles en 32 y 64bits con cifrado automático opcional.
• Podemos personalizar nuestro propio código shell e inyectarlo directamente o como un nuevo thread.

Contenido completo en fuente original HackPlayers