Cara Masuk Komputer Seseorang Tanpa Kata Sandi

Setelah peretas mengonfigurasi Metasploit di server pribadi jarak jauh, membuat skrip sumber daya untuk otomatisasi, dan membuat muatan sederhana, ia dapat memulai proses kontrol jarak jauh komputer Windows 10 seseorang hanya dengan beberapa saat akses fisik meskipun komputer dalam keadaan mati.

Berikut ini langkah-langkahnya:

Langkah 1
Boot Perangkat Target dengan Live USB

Karena 2 port USB akan digunakan pada akhirnya dalam serangan ini, jika hanya ada 1 port USB, Anda mungkin harus membawa hub USB sehingga Anda dapat menghubungkan USB langsung dan USB muatan.

Dengan komputer target yang benar-benar dimatikan, semua USB dan hard drive eksternal yang mungkin tersambung ke komputer harus dihapus. Kemudian masukkan USB live yang dibuat dengan Etcher ke dalam laptop Windows 10.

Untuk mengakses manajer boot, F12 , F10 , Fn + F2 atau beberapa kombinasi tombol harus ditekan saat komputer target dibooting. Karena setiap pabrikan komputer menangani bootloader secara berbeda, tidak ada cara yang dapat diandalkan untuk menunjukkan ini.

Di bawah ini adalah gambar dari manajer boot khusus yang menampilkan opsi boot, tetapi boot manager target mungkin tampak jauh berbeda.

Opsi "boot USB" harus dipilih.

Setelah beberapa saat, Kali atau versi Linux apa pun yang Anda buat akan meminta nama pengguna dan kata sandi. Nama pengguna default adalah "root" dan kata sandinya adalah "toor" ("root" mundur).

Langkah 2
Pasang Volume Windows

Nama drive (atau "nama volume") pada kebanyakan komputer kemungkinan akan disebut "Windows" atau "Windows 10." Sebagian besar komputer hanya dilengkapi dengan 1 hard drive internal, jadi tidak akan sulit untuk menentukan nama volumenya. Catat nama volume yang diperlukan untuk bagian selanjutnya dari tutorial ini.

Pasang volume Windows dengan mengklik 2 kali drive yang terletak di desktop Kali. Ini akan membuat file dan folder di hard drive dapat dinavigasi. Manajer file Kali secara otomatis akan muncul dan menampilkan isi dari hard drive.

Dalam contoh saya di bawah ini, Anda dapat melihat direktori "Pengguna" dan "Program Files" sepenuhnya dapat diakses.

Langkah 3
Masukkan USB Payload

Selanjutnya masukkan USB muatan ke komputer target. Perangkat baru akan muncul di desktop. Klik 2 kali perangkat untuk memasangnya dan catat nama volume di bilah alamat pengelola file. Nama volume akan diperlukan dalam langkah-langkah selanjutnya.

Langkah 4
Nonaktifkan Pertahanan Komputer (Opsional)

Instruksi penghapusan Windows Defender, SmartScreen, dan antivirus (AV) berikutnya secara teknis merupakan langkah opsional. Melumpuhkan sistem pertahanan mesin tidak akan merusak OS atau membuat pesan kesalahan yang menakutkan ketika reboot, tetapi ikon antivirus yang hilang di baki aplikasi dapat menimbulkan kecurigaan dengan pengguna target. Memeriksa pengaturan Windows Defender setelah ini dilakukan mungkin juga memperingatkan pengguna dan spesialis TI tentang beberapa jenis pelanggaran keamanan.

Mungkin untuk mengambil pendekatan yang jauh lebih tidak mengganggu seperti menggunakan serangan DNS yang akan memungkinkan penyerang untuk melakukan serangan phishing dan hanya melibatkan memodifikasi 1 file teks. Untuk artikel ini saya ingin benar-benar menunjukkan berapa banyak kerusakan yang dapat ditimbulkan pada komputer yang dimatikan.

Nonaktifkan Windows Defender

Windows Defender adalah komponen penghapus antivirus dan malware dari sistem operasi Windows. Di antara banyak fitur keamanannya ini mencakup sejumlah agen keamanan real-time yang memantau beberapa area umum dari sistem operasi untuk perubahan yang mungkin telah dimodifikasi oleh penyerang.

USB dan hard drive secara otomatis dipasang ke direktori/ media / nama pengguna /.Direktori yang berisi file Windows Defender dapat ditemukan menggunakanperintah find. Buka terminal dan ketik perintah di bawah ini.

find / media / root / -type d -iname * Windows \ Defender *

The -type d argumen menginstruksikan menemukan ke direktori pencarian saja, sedangkan -iname mengatakan menemukan mengabaikan sensitivitas kasus. Jadi itu akan menemukan direktori bernama "Windows Defender," "windows defender," atau "WiNdOwS dEfEnDeR."Wildcards (*) yang digunakan pada ujung pencarian istilah instruksi menemukan daftar direktori dengan "Windows Defender" di mana saja di nama folder, apakah itu di awal, akhir, atau di tengah-tengah nama folder.

Ada 6 direktori yang dilaporkan memiliki "Pembela Windows" dalam namanya. Semua direktori dapat dihapus dengan perintah di bawah ini.

find / media / root / -type d -iname * Windows \ Defender * -exec rm -rf {} \;

Menambahkan -exec ke perintah memberitahu menemukan untuk mengambil direktori Windows Defender yang ditemukan dan secara otomatis menghapusnya menggunakan perintah rm .The rm-rf {} \; adalah bit aktual yang memerintahkan untuk menghapus direktori secara rekursif.

Menjalankan perintah find sebelumnya lagi sekarang harus menghasilkan direktori "Windows Defender" yang ditemukan.

Nonaktifkan Windows SmartScreen

SmartScreen adalah lapisan keamanan tambahan yang dikembangkan oleh Microsoft. Ini berjalan di latar belakang sebagai proses "antimalware service executable" dan memindai aplikasi dan file terhadap database malware Microsoft. Bahkan dengan Windows Defender dihapus, SmartScreen masih dapat menandai muatan sebagai berbahaya dan mengarantinakannya.

Untuk menghapus SmartScreen, gunakan perintah di bawah ini.

find / media / root / -iname * smartscreen.exe * -exec rm -rf {} \;

Semua file dan direktori yang berisi "smartscreen.exe" akan dihapus.

Nonaktifkan Perangkat Lunak Keamanan Pihak Ketiga (Antivirus)

Avast sering dianggap sebagai salah satu dari 5 solusi perangkat lunak antivirus gratis terbaik yang tersedia untuk berbagai platform, jadi saya menginstal perangkat lunak antivirus gratis mereka pada komputer target untuk tujuan demonstrasi.

Untuk menemukan dan menghapus semua file dan folder dengan "avast" di mana saja dalam nama, gunakan perintah di bawah ini.

find / media / root / -iname * avast * -exec rm -rf {} \;

Jika tidak jelas antivirus mana yang digunakan, jelajahi direktori "ProgramData" dan "Program Files" secara manual atau gunakan perintah finduntuk enumerasi.

find / media / root / -iname * SearchTermHere *

Dengan antivirus binari sekarang digosok dari perangkat, komputer benar-benar rentan terhadap segala jenis muatan yang dapat Anda bayangkan.

Langkah 5
Simpan Payload ke Folder Startup

Windows memiliki folder "Startup " yang digunakan untuk secara otomatis meluncurkan program apa pun yang ada di dalamnya saat pengguna login ke akun di komputer. Ini dirancang untuk kenyamanan dan memungkinkan pengguna untuk menempatkan pintasan aplikasi yang sah (misalnya, peramban web, pengolah kata, pemutar media, dll.) Dan skrip ke dalam folder kapan saja.

Menyerang Semua Pengguna

Ada 2 direktori Startup yang dapat digunakan untuk secara otomatis mengeksekusi payload. Untuk menjalankan payload terhadap semua pengguna di sistem operasi, payload "Windows Security.exe" pada payload USB harus disimpan ke direktori Windows di bawah ini.

C: \ ProgramData \ Microsoft \ Windows \ Start Menu \ Program \ StartUp

Perintah cp di bawah ini dapat digunakan untuk menyalin payload Msfvenom yang disimpan pada USB muatan ke dalam folder Startup "Semua Pengguna".

cp / media / root / USB # 2 VOLUME NAME / Windows \ Security.exe / media / root / WINDOWS VOLUME NAME / ProgramData / Microsoft / Windows / Start \ Menu / Programs / StartUp /

Bagian # 2 VOLUME NAMA USB dan WINDOWS VOLUME NAME dalam perintah di atas harus diubah ke nama volume USB dan Windows yang sebenarnya. The ls perintah dapat digunakan untuk memverifikasi Windows Security.exe itu benar disalin ke folder Startup.

Hanya Menyerang 1 Pengguna

Jika seorang pengguna individu pada perangkat sedang ditargetkan, penyerang malah akan menggunakan direktori Startup di bawah ini.

C: \ Users \ TARGET USERNAME \ AppData \ Roaming \ Microsoft \ Windows \ Start Menu \ Program \ Startup

Perintah di bawah ini dapat digunakan untuk menyalin payload ke folder Startup target pengguna, dengan demikian, hanya mempengaruhi pengguna tertentu.

cp / media / root / USB # 2 VOLUME NAME / Windows \ Security.exe / media / root / Pengguna \TARGET USERNAME / AppData / Roaming / Microsoft / Windows / Start \ Menu / Program / Startup /

Langkah 6
Unmount Volume Windows

Itu saja untuk menghapus perangkat lunak antivirus dan memasukkan muatan Msfvenom. Sebelum mematikan Kali, penting untuk secara manual meng-unmount volume Windows. Ketika menguji serangan ini saya menemukan bahwa memaksa Kali untuk mematikan sebelum melepas volume Windows kadang-kadang mencegah volume dari menyimpan perubahan ke drive yaitu payload Msfvenom tidak benar menyimpan ke volume setelah mematikan.

Untuk melepaskan volume Windows dengan luwes, klik kanan pada drive, dan pilih "Unmount Volume" dari menu kontekstual.

Dengan volume Windows benar unmount, matikan USB langsung, ambil USB flash drive Anda, dan menjauh dari komputer seperti tidak terjadi apa-apa serangan selesai.

Langkah 7
Lakukan Manuver Pasca Eksploitasi

Setelah komputer target dihidupkan oleh pengguna target, payload Msfvenom di folder Startup akan secara otomatis berjalan dan membuat koneksi ke server penyerang menjalankan Metasploit selama komputer terhubung ke internet.

Gambar di bawah adalah contoh koneksi baru yang sedang dibuat.

Komputer yang dikompromikan akan mencoba untuk terhubung ke VPS Metasploit setiap kali dinyalakan. Untuk melihat sesi yang tersedia, cukup ketikkan sesi ke terminal msf.

sesi

Ketika komputer yang dikompromikan terhubung ke server Metasploit, mereka secara otomatis diberi nomor "ID". Untuk menghubungkan ke sesi baru dibuat, gunakan -iargumen untuk saya nteract dengan sesi.

sesi -i 1

Sebuah shell meter meter baru akan dibuat memungkinkan penyerang untuk berinteraksi langsung dengan komputer yang disusupi.