Tạo một backdoor không thể phát hiện sử dụng msfencode

[DDos]

Metasploit Framework ngoài những module cho phép scan, cũng như khai thác, nó còn cung cấp cho người thử nghiệm thâm nhập khả năng để tạo ra một file có thể thực thi từ chính payload của nó. Trong bài viết này, mình sẽ mô phỏng cách chúng ta có thể tạo một payload thực thi mà nó có thể được sử dụng như một backdoor và hoạt động rất hiệu quả để tránh khỏi sự phát hiện của phần mềm diệt virus.

​

Đầu tiên, bạn cần xác định payload mà bạn muốn sử dụng để tạo file thực thi. Ở đây mình sử dụng payload windows/meterpreter/reverse_tcp. Tùy chọn -S sẽ hiển thị thông tin chi tiết về payload này.

Trên hình bạn có thể thấy payload này chỉ yêu cầu tham số LHOST (địa chỉ IP của máy tấn công). Do đó, để tạo file .exe với payload này, bạn sử dụng lệnh như hình dưới đây:

Tham số RHOST bạn sử dụng địa chỉ IP của bạn, tham số X sẽ đưa ra file .exe. Ở đây, mình tạo tên file này là ddos.exe
Tiếp đến, bạn mở metasploit và sử dụng module exploit/multi/handler

Khi file ddos.exe được thực thi trên máy nạn nhân, thì bạn sẽ nhận được kết nối từ máy nạn nhân tới:

Phương pháp này chỉ hoạt động, khi trên máy tính nạn nhân không sử dụng bất cứ một phần mềm diệt virus nào. Khi mình scan file này bằng phần mềm diệt virus AVG 2014 Free:

​

Để tránh khỏi sự phát hiện của virus, mình sẽ sử dụng msfencode

Mình sẽ tạo file ddos.exe mới nhưng nó được mã hóa bởi shikata_ga_nai một lần và nó sẽ tránh xa sử dụng các ký tự x00x0ax0d

Gửi file này tới máy nạn nhân, phần mềm diệt virus không hề phát hiện file này là độc hại.

Khi file này được thực thi, bạn sẽ nhận được kết nối từ máy chạn nhân tới:

Chú ý: Để tăng hiệu quả của việc tạo file thực thi, bạn có thể sử dụng một mã hóa nhiều lần, hoặc sử dụng các kiểu mã hóa lồng nhau.

 

Re: Tạo một backdoor không thể phát hiện sử dụng msfencode

Thank bạn
Bạn cho hỏi, trong ảnh đầu tiên có dòng Total size: 290, đơn vị là Byte hay KByte?

 

Re: Tạo một backdoor không thể phát hiện sử dụng msfencode

Thank bạn
Bạn cho hỏi, trong ảnh đầu tiên có dòng Total size: 290, đơn vị là Byte hay KByte?

Đơn vị Byte...

 

Re: Tạo một backdoor không thể phát hiện sử dụng msfencode

nhưng phần mềm để viết tải ở đâu thế ạ

 

Re: Tạo một backdoor không thể phát hiện sử dụng msfencode

nhưng phần mềm để viết tải ở đâu thế ạ

Bạn có thể download tại: http://www.rapid7.com/products/metasploit/download.jsp

 

Re: Tạo một backdoor không thể phát hiện sử dụng msfencode

Sao khi mình encode lại file thực thi, chạy file đó trên win 7 lại bị lỗi nhỉ?

 

Re: Tạo một backdoor không thể phát hiện sử dụng msfencode

Mình cũng vậy, khi chạy file thực thi nó bị báo lỗi trên win7, winxp mình chưa thử.
i

 

Re: Tạo một backdoor không thể phát hiện sử dụng msfencode

Cho mình hỏi với,,khi mình dung module msfpayload windows/shell/reverse_tcp tạo ra 1 backdoor đuôi exe, lệu mình có thể dấu nó vào 1 file ảnh để cho victim ko phát hiện ra không ? Nếu có mọi người có thể chi cho mình không, và nếu không thì có cách nào để dấu backdoor mà ko để victim, hay phần mềm diệt virus phát hiện không ?

 

Re: Tạo một backdoor không thể phát hiện sử dụng msfencode

Cho mình hỏi với,,khi mình dung module msfpayload windows/shell/reverse_tcp tạo ra 1 backdoor đuôi exe, lệu mình có thể dấu nó vào 1 file ảnh để cho victim ko phát hiện ra không ? Nếu có mọi người có thể chi cho mình không, và nếu không thì có cách nào để dấu backdoor mà ko để victim, hay phần mềm diệt virus phát hiện không ?

Có cách đó bạn... Bạn search trên forum sẽ thấy bài viết của mình đề cập tới vấn đề này...

 

Re: Tạo một backdoor không thể phát hiện sử dụng msfencode

con Backdoor này không bị phát hiện khi nó được gửi qua máy victim. Vậy liệu nó có bị phát hiện khi chạy ko anh DDOs!

 

Re: Tạo một backdoor không thể phát hiện sử dụng msfencode

cho e hỏi shiakata_ga_nai là gì vậy ạ? Có sẵn hay phải download vậy?

 

Re: Tạo một backdoor không thể phát hiện sử dụng msfencode

Cho em hỏi luôn là làm sao từ máy attack có thể làm cho backdoor khởi động cùng với win trên máy victim vậy ạ ?

 

Re: Tạo một backdoor không thể phát hiện sử dụng msfencode

cho e hỏi shiakata_ga_nai là gì vậy ạ? Có sẵn hay phải download vậy?

Cho em hỏi luôn là làm sao từ máy attack có thể làm cho backdoor khởi động cùng với win trên máy victim vậy ạ ?

shiakata_ga_nai nó là một dạng mã hóa để vượt mặt phần mềm diệt virus và được tích hợp sẵn trong metasploit. Sau khi bạn khai thác thành công trên máy mục tiêu thì bạn dùng backdoor Persistent có sẵn trong metasploit nhé.

 

Re: Tạo một backdoor không thể phát hiện sử dụng msfencode

shiakata_ga_nai nó là một dạng mã hóa để vượt mặt phần mềm diệt virus và được tích hợp sẵn trong metasploit. Sau khi bạn khai thác thành công trên máy mục tiêu thì bạn dùng backdoor Persistent có sẵn trong metasploit nhé.

Cảm ơn anh.
Anh có thể cho em biết cái backdoor đó nằm chỗ nào vậy ạ?
Và làm sao cho backdoor khởi động cùng với win ạ?
Em đang tìm hiểu chưa rành lắm.

 

Re: Tạo một backdoor không thể phát hiện sử dụng msfencode

Cảm ơn anh.
Anh có thể cho em biết cái backdoor đó nằm chỗ nào vậy ạ?
Và làm sao cho backdoor khởi động cùng với win ạ?
Em đang tìm hiểu chưa rành lắm.

Sau khi khai thác thành công và có một metepreter từ máy nạn nhân tới máy kẻ tấn công, em nhập persistent -h, sẽ hiển thị menu hướng dẫn (ví dụ như tham số t: thiết lập thời gian sau bao lâu thì tự động kết nối tới máy của kẻ tấn công...)