Это особенно актуально для бэкдоров, постоянно присутствующих в перезаписываемой памяти.
В сфере кибербезопасности бэкдор намекает на любую стратегию, с помощью которой утвержденные и неутвержденные клиенты могут обойти обычные меры безопасности и получить доступ пользователей высокого уровня (также известный как root-доступ) к инфраструктуре ПК, сети или программному приложению. Находясь внутри, киберпреступники могут использовать косвенный доступ для получения личной и финансовой информации, внедрения дополнительных вредоносных программ и взлома устройств.
В этой статье мы объясним вам, как создать бэкдор обратной оболочки с помощью набора инструментов социальной инженерии. Идея этой атаки состоит в том, чтобы настроить приемник полезной нагрузки, который принимает входящие соединения от систем на базе Windows. Затем запустите обработчик полезной нагрузки и дождитесь входящих подключений после того, как код PowerShell будет доставлен целевому пользователю. Когда целевой пользователь запускает этот файл, открывается удаленный сеанс. Есть много способов доставить код PowerShell целевому пользователю, но мы не будем вдаваться в подробности. Имейте в виду, что вам необходимо находиться в той же сети, что и ваш целевой пользователь.
Сначала мы должны загрузить Kali Linux и из «Приложения» выбрать «Инструменты социальной инженерии», а затем «Набор инструментов социальной инженерии».
Когда в терминале откроется набор инструментов социальной инженерии, мы должны выбрать «Атаки социальной инженерии», выбрав вариант «1»
В следующем меню нам нужно выбрать «Powershell Attack Vectors», поэтому введите «9» и нажмите «Enter. »
Затем выберите второй вариант для «Powershell Reverse Shell» и укажите свой IP-адрес и номер порта, который вы хотите прослушивать. Как только все будет установлено, SEToolkit сгенерирует код PowerShell и сохранит его в следующем месте «/root/.set/reports/powershell». Наконец, эта программа спросит вас, хотите ли вы запустить слушатель сейчас. Если вы наберете «да», он начнет прослушивать входящие соединения.
Теперь давайте переместим код PowerShell на наш веб-сервер, чтобы мы могли быстро доставить его на нашу целевую машину.
Пример: (root @ kali: ~ # mv /root/.set/reports/powershell / var / www / html / Evil-Files /).
Поскольку наш код сохранен в виде файла «.txt», мы не сможем его запустить, поэтому нам нужно преобразовать его в исполняемый файл.
Скопируйте необработанный код бэкдора PowerShell и вставьте его во вновь открытый файл NotePad, затем сохраните его как файл «something.ps1».
Затем нам нужно отредактировать этот код в «Редакторе сценариев PowerGUI». Откройте инструмент и вставьте код в редактор сценариев.
Затем выберите вкладку «Инструменты» и щелкните параметр «Скомпилировать скрипт…».
В окне «Скомпилировать скрипт» нажмите кнопку «Зависимости».
Затем на панели файлов PowerShell найдите файл «.ps1», который мы сохранили ранее, и нажмите кнопку «ОК» .
Чтобы сохранить все изменения, нажмите кнопку «ОК» в окне «Сценарий компиляции», и наш исполняемый файл PowerShell будет готов и сохранен на рабочем столе компьютера.
Когда этот файл «powershell.exe» выполняется на компьютере жертвы, он отправляет обратное соединение оболочки на компьютер злоумышленника, как показано на снимке экрана.
Если вы считаете, что использование команды оболочки SEToolkit немного сложно, не волнуйтесь, вы также можете прослушивать входящее соединение через netcat.
Пример: (root @ kali: ~ # nc -l -p 443 –v)
После внедрения бэкдоры сложно избавиться от них. Обычно обнаружение включает использование программных сканеров для поиска известных вредоносных программ в файловой структуре сервера. Как бы то ни было, эта процедура склонна к ошибкам. Оболочки бэкдора довольно часто прикрываются псевдонимами и обфускациями кода. Идентификация дополнительно затруднена, поскольку многие приложения основаны на внешних системах, использующих внешние модули; в некоторых случаях это связано с уязвимостями или присущим косвенным доступом. Сканеры, основанные на эвристических принципах и принципах маркировки, не смогут идентифицировать скрытый код в таких системах. Независимо от того, выделяется ли бэкдор, стандартные методы облегчения (или даже переустановка фреймворка), вероятно, не собираются исключить его из приложения. Это особенно актуально для бэкдоров, постоянно присутствующих в перезаписываемой памяти.
