안녕들 하시죠 !
저번시간에는 악성코드를 만든 후 카카오톡 설치파일과 합치고, 핸들러를 켜 놨었습니다.
이제 피해자PC에서 악성코드를 실행시키고 들키지않게 프로세스 목록에서 숨겨보겠습니다.
준비가 안되신 분들은 아래의 URL을 따라해보시면 좋겠습니다.
https://hongpossible.tistory.com/36?category=770424 // 1. Veil-evasion을 이용한 백신에 탐지되지 않는 악성코드 만들기
https://hongpossible.tistory.com/37?category=770424 // 2. 악성코드와 정상적인 설치파일 합치기
피해자 PC로 카카오톡 설치파일을 이동 후, 실행시키게되면 공격자PC에서는 세션이 오픈됩니다.
sessions 명령어를 통해 세션을 확인한 후,
sessions -i 1 로 1번세션과 연결을 합니다.
sysinfo로 피해자PC의 사양 확인, pwd로 현재 경로를 확인합니다.
피해자PC에서 작업관리자에 들어가보면 저렇게 대놓고 hongpossible.exe 가 실행되고 있음을 알 수 있습니다.
알아차리지 못하도록 migrate명령어를 이용해 다른 프로세스로 이주( 도망 )해 보겠습니다.
우선 ? 를 입력해 명령어 목록을 보겠습니다.
밑으로 쭉 내려보시면 migrate = Migrate the server to another porcess 라고 되어있는 것 보니 맞습니다.
운영체제가 돌아가는 동안 필수적인 프로세스라 하면 explorer.exe가 있는데요.
ps -S explorer.exe
explorer.exe의 PID가 1996이라고 나옵니다.
이제 migrate 1996 명령어를 통해 몸을 숨기겠습니다.
감쪽같이 사라졌습니다.
오늘은 여기까지입니다 감사합니다 !
'보안 > System hacking' 카테고리의 다른 글
| 바이러스와 웜의 차이점 (0) | 2018.12.12 |
|---|---|
| [1-4] ④ 악성코드로 피해자PC 장악하기 (0) | 2018.11.11 |
| [1-4] ② 악성코드와 정상적인 설치파일 합치기 (6) | 2018.11.11 |
| [1-4] ① Veil-evasion을 이용한 백신에 탐지되지않는 악성코드 만들기 (0) | 2018.11.10 |
| Veil framework 설치 (0) | 2018.10.28 |