№4. Ethical Hacking Labs. Шкідливе програмне забезпечення

12 квітня 2023 2 хвилин Автор: Endpool

Розуміння та запобігання зловмисному програмному забезпеченню

Зловмисне програмне забезпечення — це тип програмного забезпечення, призначене для шкоди комп’ютерній системі, її використання або несанкціонованого контролю над нею. Він може включати віруси, трояни, хробаки, шпигунське програмне забезпечення, програми-вимагачі та інші види шкідливих програм. Зловмисне програмне забезпечення може спричинити різноманітні проблеми, зокрема крадіжку даних, збої системи та значні фінансові втрати. Для захисту комп’ютерних систем від потенційних загроз важливо мати надійну стратегію захисту від шкідливих програм. Зловмисне програмне забезпечення є значною загрозою для комп’ютерних систем, яке може призвести до крадіжки даних, системних збоїв і фінансових втрат. Він включає різні шкідливі програми, такі як віруси, трояни, та програми-вимагачі. Сильна стратегія боротьби зі зловмисним програмним забезпеченням, включаючи програмне забезпечення та навчання співробітників, має вирішальне значення для запобігання або пом’якшення атак зловмисного програмного забезпечення.

Зловмисне програмне забезпечення, або зловмисне програмне забезпечення, — це тип програми, призначеної для завдання шкоди комп’ютерним системам, викрадення конфіденційних даних або отримання несанкціонованого доступу. Його можна поширювати різними способами, наприклад вкладеннями електронної пошти, завантаженнями або тактикою соціальної інженерії. Зловмисне програмне забезпечення може приймати різні форми, зокрема віруси, хробаки, трояни, шпигунське та рекламне ПЗ тощо. Ці шкідливі програми можуть мати руйнівний вплив на компанії та окремих осіб, що призведе до втрати даних, простою системи та фінансових збитків. Важливо мати надійне та сучасне рішення для захисту від зловмисного програмного забезпечення та навчити співробітників найкращим практикам запобігання атакам зловмисного програмного забезпечення.

njRAT – троян віддаленого доступу

njRAT — це RAT із потужними можливостями крадіжки даних. Окрім натискань клавіш для входу, він здатний отримувати доступ до камери жертви, викрадати облікові дані, що зберігаються в браузерах, завантажувати та завантажувати файли, виконувати процеси та маніпуляції з файлами та переглядати робочий стіл жертви. RAT допомагають зловмиснику отримати віддалений доступ до повного графічного інтерфейсу користувача, керувати комп’ютером жертви без його або її відома та здатні виконувати скринінг і захоплення камери, виконання коду, клавіатурний журнал, доступ до файлів, перехоплення паролів, керування реєстром тощо. Він заражає жертв за допомогою фішингових атак і дисків шляхом завантажень і поширюється через заражені USB-ключі або мережеві диски. Він може завантажувати та запускати додаткове шкідливе програмне забезпечення, виконувати команди оболонки, читати та записувати ключі реєстру, робити знімки екрана, реєструвати натискання клавіш і шпигувати за веб-камерами. Троян njRAT можна використовувати для контролю ботнетів (мережа комп’ютерів), дозволяючи зловмиснику оновлювати, видаляти, від’єднувати, перезапускати, закривати RAT і перейменовувати ідентифікатор його компанії. Зловмисник може додатково створити та налаштувати шкідливе програмне забезпечення для поширення через USB-накопичувачі за допомогою програмного забезпечення сервера Command and Control.

Цілі:

Створіть сервер за допомогою njRAT. Віддалений доступ до цільової машини.

Реквізити:

Windows 10 (зловмисник). Windows 7, 8 або Server (Target).

Створіть виконуваний сервер за допомогою njRAT

Увійдіть у Windows 10 і встановіть njRAT. Запустіть njRAT, з’явиться графічний інтерфейс і спливаюче вікно, у якому потрібно вказати порт, який ви хочете використовувати для взаємодії з цільовою машиною. Використовуйте номер порту за замовчуванням 5552 і натисніть «Пуск».

Натисніть «Конструктор» у нижньому лівому куті.

У діалоговому вікні Builder введіть IP-адресу комп’ютера -зловмисника – Windows 10 , позначте опцію Copy to StartUp і Registry StarUp , а потім клацніть Build , як показано нижче:

Збережіть файл  та назвіть його як Example.exe . Тепер нам потрібно використати будь-яку техніку, щоб надіслати цей сервер до потрібної цілі поштою чи будь-яким іншим способом. Щоб полегшити роботу в цій лабораторній роботі, я скопіював файл Example.exe у спільне мережеве розташування.

Запустіть сервер на цільовій машині

У цій лабораторній роботі я використовую віртуальну машину Windows 7 SP1.Примітка . Обов’язково ввімкніть брандмауер на цільовій машині.Перетягніть файл Example.exe на робочий стіл і двічі клацніть його. Як ви бачите нижче, підключення було успішно встановлено.

Поверніться до Windows 10 (зловмисник). Коли ціль двічі клацає сервер, виконуваний файл починає працювати, а графічний інтерфейс njRAT, що працює на Windows 10, встановлює постійне з’єднання з цільовою машиною, як показано нижче: GUI відображає основні деталі машини, такі як IP-адреса , ОС.

Маніпулювання файлами на цільовій машині

Клацніть правою кнопкою миші на виявленій цільовій машині та виберіть «Диспетчер» . Двічі клацніть будь-який каталог на лівій панелі. Ви можете клацнути правою кнопкою миші будь-який вибраний каталог і керувати ним за допомогою контекстних параметрів:


Керуйте процесами

Натисніть «Диспетчер процесів» у верхньому меню. Вас буде перенаправлено до диспетчера процесів, де ви зможете клацнути правою кнопкою миші будь-який процес і виконати такі дії, як « Знищити », «Видалити » та «Перезапустити».

Керуйте підключеннями

Клацніть «З’єднання» у верхньому меню та виберіть певне з’єднання, клацніть його правою кнопкою миші та виберіть «Закрити з’єднання» . Ця дія розриває з’єднання між двома машинами, які спілкуються через певний порт.

Керуйте реєстрами

Клацніть «Реєстр» у верхньому меню та виберіть реєстр на лівій панелі, клацніть правою кнопкою миші пов’язані з ним файли реєстру, з’являться кілька параметрів для керування ними.

Запустіть Remote Shell

Натисніть Remote Shell у верхньому меню. Ця дія запускає віддалений командний рядок цільової машини.

Запустіть файл

У головному вікні njRAT клацніть правою кнопкою миші на цільовій машині та виберіть «Запустити файл» . Зловмисник використовує ці параметри для віддаленого виконання сценаріїв або файлів зі свого комп’ютера.

Запустіть підключення до віддаленого робочого столу

Клацніть правою кнопкою миші на цільовій машині та виберіть «Підключення до віддаленого робочого столу» . Це запускає підключення до віддаленого робочого столу без згоди цільового комп’ютера. Ви зможете дистанційно взаємодіяти з машиною-жертвою за допомогою миші або клавіатури. Таким же чином ви можете вибрати віддалену камеру та мікрофон , щоб стежити за ціллю та відстежувати голосові розмови.

Виконайте реєстрацію ключів

Перейдіть на Windows 7 (цільова машина) . Припустімо, що ви законний користувач і виконуєте кілька дій, наприклад вхід на будь-який веб-сайт або введення тексту в деяких документах.Тепер поверніться до Windows 10 машини / njRAT GUI і клацніть правою кнопкою миші на цільовій машині, виберіть опцію Keylogger . З’явиться вікно клавіатурного шпигуна, у якому відображаються всі натискання клавіш, які виконує мета.

Якщо жертва намагається розірвати з’єднання, перезавантаживши машину, однак, як тільки жертва знову ввійде, клієнт njRAT автоматично встановить з’єднання.

Троян HTTP RAT

Трояни HTTP/HTTPS можуть обійти будь-який брандмауер і працювати як прямий тунель HTTP, але працює навпаки. Вони використовують веб-інтерфейси та порт 80 для отримання доступу. Виконання цих троянів відбувається на внутрішньому хості та породжує «дочірніх програм» у заздалегідь визначений час. Дочірня програма здається користувачем брандмауера, тому вона дозволяє програмі отримати доступ до Інтернету. Однак цей дочірній елемент виконує локальну оболонку, підключається до веб-сервера, яким володіє зловмисник в Інтернеті, через легітимний HTTP-запит і надсилає йому сигнал готовності. Правоподібна відповідь від веб-сервера зловмисника насправді є серією команд, які дитина може виконати в локальній оболонці машини. Аудит мережі щодо HTTP RAT, як правило, складніший, а також важливий, оскільки більшість брандмауерів та інших пристроїв захисту периметра не можуть виявити трафік, створений трояном HTTP RAT. Трояни віддаленого доступу (RAT) — це шкідливі програми, які непомітно працюють на комп’ютері хоста та надають зловмисникам віддалений доступ і контроль. RAT може забезпечити бекдор для адміністративного контролю над цільовим комп’ютером. Після зламу цільової системи зловмисник може використовувати її для розповсюдження RAT на інші вразливі комп’ютери та створення ботнету.

Цілі:

Створіть сервер і запустіть HTTP Trojan на Windows Server 2012. Запустіть сервер з віртуальної машини Windows 10.

Реквізити:

Віртуальна машина Windows Server 2012 (зловмисник). Віртуальна машина Windows 10 (Target).

Створення трояна на Windows Server

Увійдіть у Windows Server 2012 і встановіть інструмент HTTP RAT TROJAN: (https://anonfile.com/HaT8v9Jbn7/HTTP_RAT_TROJAN_zip). Двічі клацніть httprat.exe , з’явиться головне вікно HTTP RAT, як показано нижче:

Зніміть прапорець біля опції «Надіслати сповіщення з IP-адресою на пошту» , введіть порт сервера 84 і натисніть «Створити».

Після створення файлу httpsserver.exe відобразиться спливаюче вікно, натисніть « ОК» і надайте доступ до файлу віртуальній машині Windows 10 . Файл буде збережено в папці HTTP RAT TROJAN, як показано нижче:

Запустіть троян у Windows 10

Тепер увійдіть у Windows 10 і перейдіть до місця, де ви зберегли файл httpsserver.exe. Двічі клацніть, щоб запустити троян.

Ви зможете побачити процес Httpserver в диспетчері завдань:

Проаналізуйте цільову машину

Поверніться до Windows Server 2012 і запустіть веб-браузер. Введіть IP-адресу Windows 10 в адресному рядку, щоб отримати доступ до машини.

Якщо все працює, ви повинні отримати таке вікно:

Клацніть посилання «Запущений процес» , щоб переглянути список процесів, запущених у Windows 10 . Звідси можна вбити будь-який процес.

Натисніть «Огляд» , а потім клацніть «Диск С» , щоб переглянути вміст цього диска.

Натисніть відомості про комп’ютер , щоб переглянути інформацію про комп’ютер, користувачів і обладнання.

Після цього завершіть процес Httpserver.exe у Windows 10 .

Обфускація трояна за допомогою SwayzCryptor

SwazCryptor — шифрувальник (або «шифрувальник»), який дозволяє користувачам шифрувати вихідний код своєї програми. Crypter — це програмне забезпечення, яке використовується для приховування вірусів, кейлоггерів або будь-яких інструментів RAT від антивірусів, щоб антивірусні програми не виявляли та не видаляли їх. Він просто додає приховані значення кожному окремому коду у вихідному коді. Таким чином, джерело стає прихованим, що ускладнює його сканування інструментами AV.

Цілі

Як зашифрувати троян і зробити його частково/повністю непомітним.

Реквізити

Віртуальна машина Windows 10 (зловмисник). Віртуальна машина Windows 7 або 8 (Target).

Сканування шкідливого файлу

Увійдіть у Windows 10. Запустіть веб-браузер і введіть URL-адресу: (https://antiscan.me). Завантажте файл шкідливого ПЗ, створений у попередній лабораторній роботі , і запустіть сканер.

Зашифруйте троянський файл за допомогою SwayzCryptor

Завантажте SwayzCryptor і запустіть програму.

Ви можете легко перевірити, чи все працює, за допомогою njRAT , поділитися шкідливим файлом з будь-якою віртуальною машиною Windows, запустити файл за допомогою njRAT, відкритого на машині Windows 10.

Віртуальне середовище аналізу шкідливих програм

REMnux

REMnux — це набір інструментів на базі Linux, призначений для зворотного проектування та аналізу шкідливих програм. Він містить набір безкоштовних інструментів із відкритим вихідним кодом, які можна використовувати для перевірки зловмисного програмного забезпечення та виконання заходів реагування на інциденти. REMnux розроблено для використання у віртуальній машині, що допомагає захистити хост-систему під час проведення аналізу. Його використовують аналітики зловмисного програмного забезпечення, служби реагування на інциденти та інші спеціалісти з безпеки.

Натиснути тут

Tsurugi Linux

Tsurugi Linux — це новий сильно налаштований дистрибутив Linux (перший випуск 3 листопада 2018 р. на конференції з безпеки AvTokyo в Японії) на основі версії Ubuntu 16LTS (64-розрядна з новим спеціальним ядром 5.4.2) і розроблений для підтримки розслідувань DFIR, аналіз шкідливого програмного забезпечення та OSINT-діяльність.

Натиснути тут

FLARE VM

FLARE VM — це вільнодоступна віртуальна машина на базі Windows із відкритим вихідним кодом, розроблена для зворотного проектування, аналізу зловмисного програмного забезпечення та пошуку загроз. Він поставляється з попередньо налаштованими різними інструментами, такими як налагоджувачі, дизассемблери та декомпілятори для аналізу зловмисного програмного забезпечення Windows і підозрілих файлів. FLARE VM підтримується командою розширеного зворотного проектування FireEye Labs (FLARE), і вона регулярно оновлюється найновішими інструментами аналізу та плагінами.

Натиснути тут

Інструменти Windows

ProRat

ProRat — це інструмент віддаленого адміністрування, написаний мовою C і здатний працювати з усіма ОС Windows. ProRat був розроблений, щоб дозволити користувачам керувати власними комп’ютерами віддалено з інших комп’ютерів. Однак зловмисники використали його для власних мерзенних цілей. Деякі хакери беруть під контроль віддалені комп’ютерні системи, щоб провести атаку на відмову в обслуговуванні (DoS), яка робить цільову систему недоступною для звичайного особистого чи бізнес-користування.


Натиснути тут

Theef

Theef — це програма на базі Windows для клієнта та сервера. Сервер Theef — це вірус, який ви встановлюєте на цільовий комп’ютер, а клієнт Theef — це те, що ви потім використовуєте для контролю вірусу. Theef — це троян віддаленого доступу, написаний на Delphi, який надає зловмисникам віддалений доступ до системи через порт 9871.


Натиснути тут

Інструмент створення вірусів JPS

JPS Virus Maker — це комп’ютерна програма, яка дозволяє користувачам створювати власні комп’ютерні віруси. Зазвичай він використовується в освітніх або тестових цілях, щоб допомогти користувачам зрозуміти поведінку вірусів і способи захисту від них. Однак програма також може бути використана для зловмисних цілей, тому слід бути обережним при її використанні. Створення та розповсюдження вірусів є незаконним і може призвести до тяжких наслідків.


Натиснути тут

Regshot

Regshot — це чудова утиліта, яку можна використовувати для порівняння кількості записів реєстру, які було змінено під час інсталяції або зміни параметрів системи. Це чудовий інструмент для усунення несправностей і моніторингу реєстру. Метою цього програмного забезпечення є порівняння вашого реєстру в двох окремих точках шляхом створення знімка реєстру перед будь-якими системними змінами або коли програми додаються, видаляються чи змінюються, а потім робиться другий знімок після внесених змін і порівнюється їх.


Натиснути тут

Інші статті по темі
Реверс інжиніринг та скриптиСервіси
Читати далі
№5. Ethical Hacking Labs. Сніфінг
Sniffing - це техніка захоплення та аналізу мережевого трафіку з метою отримання конфіденційної інформації або моніторингу мережі для усунення несправностей. Це може бути використано як для законних, так і зловмисних цілей, тому важливо забезпечити належні заходи безпеки мережі.
276
Знайшли помилку?
Якщо ви знайшли помилку, зробіть скріншот і надішліть його боту.