Инжектор буквенно-цифрового шелл-кода Powershell с инструментарием социальной инженерии

В этой статье мы объясним вам, как создать бэкдор обратной оболочки с помощью набора инструментов социальной инженерии.

Сначала мы должны загрузить Kali Linux и из «Приложения» выбрать «Инструменты социальной инженерии», а затем «Набор инструментов социальной инженерии».

Когда в терминале откроется набор инструментов социальной инженерии, мы должны выбрать «Атаки социальной инженерии», выбрав вариант «1».

В следующем меню нам нужно выбрать «Powershell Attack Vectors», поэтому введите «9» и нажмите «Enter. »

Затем выберите 1-й вариант для «Инжектор буквенно-цифрового шеллкода Powershell» и укажите свой IP-адрес и номер порта, который вы хотите прослушивать. Как только все будет установлено, SEToolkit сгенерирует код PowerShell и сохранит его в следующем месте «/root/.set/reports/powershell».

Если вы хотите запустить прослушиватель прямо сейчас, введите «yes», и он автоматически запустит мульти-обработчик Metasploit для вас.

Теперь перейдите в следующую папку «/root/.set/reports/powershell/» и просмотрите содержимое. Вы увидите, что наш бэкдор PowerShell был сохранен как «x86_powershell_injection.txt». Нам нужно переместить этот файл на наш веб-сервер и переименовать его с расширением «.bat».

Пример: (root @ kali: ~ / .set / reports / powershell # mv x86_powershell_injection.txt / var / www / html / Evil-Files / hello_world. летучая мышь).

Как только вредоносный файл будет загружен и запущен, злоумышленник получит обратное соединение оболочки через meterpreter.

Как показано на скриншоте, нам удалось получить полный сеанс meterpreter, поэтому мы можем взаимодействовать с ним и использовать его в дальнейшем.

Оболочки бэкдора довольно часто прикрываются псевдонимами и обфускациями кода. Идентификация дополнительно затруднена, поскольку многие приложения основаны на внешних системах, использующих внешние модули; в некоторых случаях это связано с уязвимостями или присущим косвенным доступом. Сканеры, основанные на эвристических принципах и принципах маркировки, не смогут идентифицировать скрытый код в таких системах. Независимо от того, выделяется ли бэкдор, стандартные методы облегчения (или даже переустановка фреймворка), вероятно, не собираются исключить его из приложения. Это особенно актуально для бэкдоров, постоянно присутствующих в перезаписываемой памяти.

Рекомендуется изменять шестнадцатеричные символы бэкдора с помощью программного обеспечения, такого как «HxD Hex Editor», чтобы антивирусные программы не могли обнаружить паттерны бэкдора.