I am an amazing person.

2 분 소요

Beast

2022-10-17-25비스트

Beast로 backdoor를 만들어서 해 보겠습니다.


구성도

2022-10-17-01구성도

beast 프로그램이 윈도우로 옮길때 악성 바이러스로 인식이 되서 리눅스에서 옮기도록 하겠습니다.


vsftpd 설정

vim /etc/vsftpd/ftpusers
# Users that are not allowed to login via ftp
#root
bin
daemon
adm
lp
sync
shutdown
halt
mail
news
uucp
operator
games
nobody

root만 주석처리 해주시면 됩니다.


xp -> backdoor 생성

2022-10-17-02비스트설치

2022-10-17-03비스트설치

Listen port 6666만 확인해 주시면 됩니다.

save Server를 누르면 경로에 server라는 파일이 생깁니다.


server파일 공유하기

2022-10-17-04공유

2022-10-17-05공유

2022-10-17-06공유

공유 폴더를 하나 만들어서 2003과 공유 해주시면 됩니다.


server 파일 확인

2022-10-17-07공유실행

작업 관리자에 들어가야 볼 수 있습니다.


backdoor - Direct

xp -> backdoor 접근

2022-10-17-08xp에서실행


xp -> 상대 컴퓨터 드라이브 내용 보기

2022-10-17-09만들기

상대 드라이브를 보고 디렉터리를 하나 만들어 보겠습니다.


2003 -> 확인

2022-10-17-10확인

hahaha 디렉터리가 만들어 졌습니다.


xp -> 상대 바탕화면 보기

2022-10-17-11바탕화면

하시고 난 뒤에 다시 start를 눌러 주시면 됩니다.

2022-10-17-12바탕화면


xp -> 상대 프로그램 실행 목록

2022-10-17-13작업목록


xp -> clip board

2022-10-17-14클립보드

2003 메모장에 내용을 입력하고 ctrl + c(복사)를 하시면 그 내용이 출력이 됩니다.


xp -> 상대 컴퓨터 기능을 제한

2022-10-17-15스머프

Hide icons를 누르면 2003 바탕화면에 icon이 다 숨겨 집니다.

그 밑에 다른 기능들도 다 비슷한 기능 입니다.


xp -> 사용에 불편함을 주거나 장난

2022-10-17-16스머프

2022-10-17-17채팅

Fun Stuff 입니다.

마우스를 숨기거나 채팅을 하는 등의 기능이 있습니다.


xp -> Misc

2022-10-17-18메시지

2022-10-17-19키로거

2022-10-17-20키로거

2022-10-17-21키로거


xp -> windows

2022-10-17-22크래쉬


2003 -> 재시작 후 확인

2022-10-17-23재시작

재시작 후 작업 관리자를 보면 그대로 실행되고 있습니다.

자동으로 재시작이 되도록 설정이 되어 있는 것입니다.


xp -> kill server

2022-10-17-24킬서버

xp에서 kill server를 하시면 아예 종료 됩니다.

위와 같이 공격자 -> 공격 대상으로 가는 건 direct backdoor라고 하며 공격 대상 -> 공격자는 reverse backdoor라고 합니다.


backdoor 기능 모음

2022-10-17-31매니저

2022-10-17-32윈도우

2022-10-17-33스머프

2022-10-17-34tjqj

2022-10-17-35misc




backdoor - Reverse

xp -> backdoor 생성

2022-10-17-26리버스커넥션

2022-10-17-27리버스커넥션


xp -> 2003 공유 폴더로 파일 이동

2022-10-17-28리버스커넥션

server_R 파일을 이동 시키고 실행 해주시면 됩니다.

2022-10-17-29리버스커넥션

연결이 되면 공격 대상의 IP주소와 아이콘이 생성 됩니다.


xp -> Test

2022-10-17-30확인

잘 연결이 되었음을 확인 해봤습니다.


Trojan Horse (트로이 목마)

r_server.exe 를 너구리.exe 안에 포함시켜서 너구리 실행시 같이 실행

xp -> 신너구리.exe 만들기

2022-10-17-37신너구리


2003 -> 공유폴더로 신너구리.exe받기

2022-10-17-36공유

2003에서 신너구리.exe를 받았는데 오류로 인해 실행이 되지 않아서 xp를 clone하여 하나 더 만들어서 진행 하도록 하겠습니다.

진행 사항에 딱히 변동은 없습니다.

새로운 구성도

2022-10-17-41구성도


clone xp -> 신너구리 실행

2022-10-17-38너구리실행


xp -> clone xp로 test

2022-10-17-40테스트


rootkit

의미 : 실행된 악성코드를 눈치 채지 못하게 숨기는 도구

clone xp -> rootkit 다운

2022-10-17-42루트킷

vsftpd로 rootkit을 가져온 다음에 c드라이브에 압축을 해제 하겠습니다.


clone xp -> 신너구리 pid확인

2022-10-17-43pid

신너구리 pid를 확인하고 이 pid를 이용해 숨겨 보도록 하겠습니다.


clone xp -> rootkit으로 숨기기

2022-10-17-44숨기기

fu -ph pid를 입력하니 작업 관리자에서 신너구리.exe가 사라진 것을 볼 수 있습니다.


clone xp -> pc hunter

2022-10-17-45pchunter

pc hunter라는 프로그램을 통해 숨겨진 파일을 찾을수 있습니다.


injection 설정

xp -> injection 설정

2022-10-17-46신신너구리

2022-10-17-47신신너구리


xp -> clone of xp로 test

2022-10-17-48신신너구리


clone of xp -> 작업 관리자 확인

2022-10-17-49신신너구리

injection 설정할 때 체크했던 notpad.exe가 그대로 적용된 모습 입니다.


clone of xp -> 메모장 실행

2022-10-17-50신신너구리

메모장만 실행해도 notpad.exe로 실행되는 모습 입니다.

이런식으로 위장해서 들어가는 방법도 있습니다.


업데이트:

댓글남기기

참고

Snmp

1 분 소요

SNMP

Docker

11 분 소요

docker