- Sử dụng một số Payload Options để gán cho virus thực thi như hiện lên một thông báo, ping tới một địa chỉ mạng, hay disable mouse và keyboard… Giao diện WSHWC SSPPYY Chức năng: Có
Trang 1Báo cáo trình bày kịch bản “Giả mạo mail tin cậy lừa nạn nhân tải về máy
file chứa virus”
I Giới thiệu một số tool tạo virus và nhúng file:
1 Tool tạo virus:
Windows Scripting Host Worm Constructer
Chức năng:
Có thể tạo virus dưới định dạng vbs
Các tính năng:
- Có thể chọn môi trường lây lan qua Outlook, P2P Networks, Pirch, Mirc.
- Sử dụng một số Payload Options để gán cho virus thực thi như hiện lên một thông báo, ping tới một địa chỉ mạng, hay disable mouse và keyboard…
Giao diện WSHWC
SSPPYY
Chức năng:
Có thể tạo virus dưới định dạng exe
Các tính năng:
- File virus được tạo có thể nhúng vào 1 file ảnh.
Trang 2- Virus này thực chất là 1 keylog, toàn bộ những thao tác của máy nạn nhân sẽ được gửi tới mail của master.
Giao diện SSPPYY
2 Tool nhúng file:
Stealth tool
Chức năng:
Có thể ẩn và chạy virus dưới một phần mềm trung gian.
Các tính năng:
- Add thêm dung lượng bytes cho phần mềm.
- Bind 2 file exe lại với nhau.
- Tạo file vbs để tránh các phần mềm antivirus.
- Chia nhỏ phần mềm thành các phần nhỏ.
Trang 3Giao diện Stealth Tools
II. Demo kịch bản:
1. Nội dung kịch bản:
Có 1 mail giả mạo là mail của công ty, muốn lừa nhân viên truy cập vào 1 link trang web tưởng chừng tin cậy để download về phần mềm “ketoan.exe” Nhưng thực tế, khi nạn nhân click vào sẽ được dẫn tới một link khác ẩn dưới đó Lợi dụng sơ hở của nạn nhân chủ quan không kiểm tra link down Nếu nạn nhân chạy phần mềm này đồng thời kích hoạt cả virus Virus này thực chất là 1 loại keylogger Toàn bộ thao tác của victim sẽ được gửi tới email của master
Mail thật: mail.vncert.vn
Mail giả mạo: mail.vncet.vnn
Địa chỉ mail giả mạo: ktht@vncert.vnn
Địa chỉ mail nạn nhân: ntkien@vncert.vn
Link down file phần mềm giả: http://vncert.vn/downloads/ketoan.exe
Trang 4Link down file phần mềm thật (đã bị nhúng virus) được ẩn dưới link trên:
ftp://vncert.vnn/downloads/congvan.exe
2. Triển khai kịch bản và kết quả thu được:
Tạo file virus định dạng exe sử dụng tool SSPPYY theo từng bước sau: Đặt tên cho file virus “spy.exe”
Nhúng ảnh cho file virus này Bước này tạm thời bỏ qua, không sử dụng
Trang 5Thiết lập địa chỉ email và ID truy cập để virus trên máy victim gửi log về.
Thiết lập listen port và password
Trang 6Có thể chọn option “Enable Aurora Server” để quản lý victim thông qua web browser với địa chỉ IP “192.168.16.27:80”
Tùy theo mục đích người sử dụng mà chọn kiểu log
Trang 7Sau khi hoàn thành việc tạo virus có tên “spy.exe” , ta tiến hành nhúng file virus này với một phần mềm trung gian “write.exe” để đánh lừa victim
Sử dụng stealth tool để thực hiện kỹ thuật nhúng này Ta vào tab Blind và nhập đường dẫn tới file “spy.exe” và file “write.exe”
Như vậy ta đã hoàn thành xong việc ngụy trang cho “spy.exe”
Trang 8Khi victim tải về và chạy file “ketoan.exe” này, khi đó sẽ đồng thời chạy phần mềm “write.exe” và kích hoạt “spy.exe”
Bước cuối cùng là quá trình giả mạo mail tin cậy để lừa nạn nhân tải về file “ketoan.exe” này
Trang 9Sử dụng tab “insert link” để ẩn link thật dưới link giả như trong hình sau: