Загрузка...

Заражение с помощью GIF

Тема в разделе Вирусология создана пользователем Morn1ngStar 18 фев 2018. 7512 просмотров

  1. Morn1ngStar
    Morn1ngStar Автор темы 18 фев 2018
    Заражение с помощью GIF


    В ходе работы будем использовать PowerShell Empire 2 поэтому я частично затрону вопрос установки и использования его в нашей связке.

    [IMG]
    Заражение с помощью GIF
    Как установить PowerShell Empire 2?
    Если у вас уже есть данная утилита, то можно переходить к следующей главе. Это небольшая инструкция для начинающих. Для начала необходимо скопировать данную утилиту с репозитария GitHub. Я буду выделять команды в своем терминале Kali Linux:

    git clone https://github.com/EmpireProject/Empire.git
    [IMG]
    Копирование в директорию
    Далее необходимо провести установку. Далее необходимо перейти в папку Empire. Выполняем несколько команд.

    cd Empire/cd setup./install.sh
    [IMG]
    Установка PowerShell Empire 2
    Далее необходимо вернуться в директорию и запустить файл. Для этого выполняем такие команды, после чего произойдет запуск утилиты:

    cd .../empire
    [IMG]
    Запуск утилиты
    Как создать исполняемую команду в PowerShell Empire 2?
    Чтобы получить доступ над нашей целью необходимо чтобы сгенерированный код был запущенный в командной строке. Сначала попробуем провести атаку, напрямую выполнив команду в Windows 10, а далее будем использовать метод, который позволит хорошо скрыть наш код.

    Для начала необходимо запустить команду и проверить активных "слушателей":

    liseners
    [IMG]
    Далее создадим учетную запись, которая позволит получить активные профиль для дальнейшего тестирования, для этого выполняем команды:

    uselistener httpexecutelisteners //проверяем наш созданный профиль
    [IMG]
    Успешное создание профиля
    Далее необходимо генерировать код для запуска для этого выполняем команду:

    launcher powershell http
    [IMG]
    Полученный код
    После этого копируем полученный код и запускаем его в командной строке на ОС нашей цели. Я для теста использовал Windows 10. После запуска на винде процесс обрабатывается и закрывается, а мы получаем сессию. После этого в терминале появиться такое окно:

    [IMG]
    Полученная сессия
    Маскируем наш код в GIF картинку
    Для этого нам нужен код, которые мы генерировали в предыдущих шагах. Рассмотрим выполнения этой процедуры в несколько шагов.

    Хочу отметить сразу, что тестирование проводилось на нескольких машинах Windows 7 и Windows 10 и все процедуры были успешными и удавалось получать доступ к нашей цели. Способ очень эффективный, так как не обнаруживаеться многими антивирусами.

    Шаг 1: Подготавливаем наш скрипт
    Скачать и посмотреть можно по этой ссылке. Далее необходимо добавить себе в блокнот. После этого необходимо вставить код из PowerShell Empire 2 в 37 строчку, как показано на скриншоте:

    [IMG]
    Вставляем код из PowerShell Empire
    Шаг 2: Конвертируем GIF-ку и добавляем в скрипт
    Для этого можно воспользоваться этим сервисом. Добавляем любую картинку в формате .gif[/IMG] и нажимаем convert to Base64.

    [IMG]
    Конвертирование картинки в Base64
    Далее необходимо добавить полученный код в наш скрипт, который мы использовали в первом шаге. Добавляем в 17 строку, как на скриншоте:

    [IMG]
    Добавляем .gif в формате base64
    Шаг 3: скрываем вредоносный файл от антивирусов
    Сделаем это с помощью программы Script Encoder Plus. Скачиваем, распаковываем, запускаем и выбираем операцию "Scramble" во вкладке "Script in "Before"", а в меню "Scripts"-"Encode script", более детально можно увидеть на скриншоте:

    [IMG]
    Обфусцификация
    После этого остается скопировать полученный результат в текстовый файл с форматом .hta. После запуска на компьютере нашей цели появиться гифка, а у нас успешная сессия. Способ очень интересный и может использоваться на практике.

    [IMG]
    Запуск
    Заключение
    Таким образом, этот способ можно использовать с применением СИ. Относительно быстро и просто можно получить доступ над целевым компьютером. Используйте с умом да и будет счастье.
     
  2. G0dNat1oN
    G0dNat1oN 18 фев 2018 Начинающий манимейкер 34 23 дек 2017
    Выглядит очень годно, и хорошо расписано.
    Сегодня бы же попробовал, но флешку с любимым Kali утерял ;c
     
  3. Dooda
    Dooda 18 фев 2018 31 13 май 2017
    Кажется годно. Надо протестировать)
    Ток вот я не знаю как правильно в кали юзать удаленный доступ XD
     
  4. blagoslovi
    blagoslovi 18 фев 2018 1014 21 май 2017
    Если это не копипаст, тут лишь за оформление симпа должна быть ^^
     
  5. ArtelLSK
    ArtelLSK 18 фев 2018 У меня симпатий: мало(( 28 4 окт 2017
    Ля я то думал будет .gif файл, и невозможное станет возможным, но нет...
     
  6. Dooda
    Dooda 18 фев 2018 31 13 май 2017
    Жиза,но наверное можно как-нибудь преподнести красиво
     
  7. ArtelLSK
    ArtelLSK 18 фев 2018 У меня симпатий: мало(( 28 4 окт 2017
    Ну наверно можно, но .hta не дефолтный файл для системы потому расширение будет видно, и умный человек его запускать не будет.
    Другое дело инжектить пикчу в программу, или написать bat-ник для запуска этой хуеты. Тода может прокатит.

    UPD: А может и дефолтное
     
  8. Morn1ngStar
    Morn1ngStar Автор темы 18 фев 2018
    Покажи мне умного человека! (Кроме местный+ LZT :oo: )
     
  9. Morn1ngStar
    Morn1ngStar Автор темы 18 фев 2018
    Авторство указано, но спасибо ;)
     
  10. xkurs0v0d
    xkurs0v0d 3 мар 2018 2 14 сен 2017
    А зачем такие манипуляции когда можно склейку сделать напрямую.
     
  11. rashidikil1994
    Не работает. Powershell создаётся всё, но agent, после запуска на винде, не добавляется. Пробовал на трёх машинах, безрезультатно.
     
  12. Raskolnikov
    Raskolnikov 7 май 2018 9 15 дек 2016
    Что-то ты не так сделал, все работает идеально
     
  13. balalaikenzor
    balalaikenzor 7 май 2018 кто я? 121 10 фев 2018
    Пойду делать бесплатные гифки на форум :prison:
     
Загрузка...
Top