Создаем вирус для Windows
В этой статье продолжим изучать тему малвари и рассмотрим еще один способ создания вируса бэкдор с помощью инструмента Veil на Kali Linux
Привет, друзья!
Работа с различными вредоносными файлами — это область в которой должны обязательно разбираться хакеры. Мы уже много раз рассказывали об инструментах создания вирусов для различных операционных систем. В этой статье продолжим изучать тему малвари и рассмотрим еще один способ создания вируса бэкдор с помощью инструмента Veil на Kali Linux (или любом другом дистрибутиве Linux).
Как создать вирус для Windows с помощью Veil на Kali Linux
Вирус бэкдор (троян, rat) — это вредоносное ПО, цель которого — скрытое подключение, получение информации и манипуляция удаленным компьютером.
Далее покажу, как я создал вирус бэкдор для компьютера с Windows, запуск и работу которого не смог обнаружить даже антивирус. После запуска вируса я смог удаленно управлять компьютером, делать снимки с вебки, скрины, использовать кейлоггер и т. д.
Давайте рассмотрим шаги для создания вируса...
1. Установка Veil на Linux
Первым шагом будет установка Veil. Если вы используете отличный от Kali Linux дистрибутив, тогда нужно также установить Metasploit.
Для быстрой и тихой установки Veil на Kali Linux:
/usr/share/veil/config/setup.sh --force --silent
2. Использование фреймворка Veil
После установки для запуска фреймворка, используем команду:
Фреймворк Veil состоит из двух инструментов Evasion и Ordinance, которые можно отобразить командой:
Нас интересует Evasion, поэтому вводим:
2.1 Создание исполняемого файла вируса
В вирусах типа бэкдор создается обратное соединение. Когда целевой пользователь запускает вредоносный файл вируса, компьютер пытается соединиться с компьютером хакера. Этот процесс называется «бэкконнект». Атака идет изнутри, поэтому антивирусы не всегда могут обнаружить подобную атаку. По этой причине лучше использовать порт 8080 — это обычным порт используемый для подключения к сайтам.
Для отображения списка полезных нагрузок (вирусов), используем команду:
Я буду использовать 15-й вариант. Эта опция в качестве языка программирования полезной нагрузки Meterpreter использует golang:
Для создания вируса нужно задать параметры LPORT и LHOST.
- LPORT — IP-адрес атакующего компьютера. Чтобы узнать свой IP-адрес, используйте команду ifconfig.
- LHOST — порт для подключения. Я буду использовать 8080, но вы можете выбрать другой порт.
Сигнатурный анализ антивируса основан на поиске в файлах уникальной последовательности байтов — сигнатуры, характерной для определенного вируса. Для каждого нового вируса определяется его сигнатура. Полученные данные помещают в базу данных вирусных сигнатур, с которой работают все антивирусы.
Если сигнатура вашего вредоносного файла присутствует в этой базе, антивирус пометит ваш файл как подозрительный. Поэтому рекомендуется использовать обновленную версию Veil, так как обновленная версия лучше справится с маскировкой вируса и позволит обойти антивирус.
Следующие настройки я использовал для обхода антивируса. Это не обязательная часть, но лишняя защита вредоноса не помешает.
Для создания вируса выполняем команду:
Дайте имя файлу. Я назвал его backdoor_8080, но в реальном взломе, чтобы он не вызывал подозрений, вы должны назвать его иначе.
Созданный вирус будет сохранен в каталоге:
2.2 Подключение к удаленному компьютеру
Теперь запустим фреймворк Metasploit. Чтобы запустить Metasploit, откройте терминал и выполните команду:
Выбираем модуль multi/handler:
Изменим параметры в соответствии с нашими требованиями. Выполним следующие команды:
set PAYLAOD windows/meterpreter/reverse_https
IP — это IP-адрес нашего компьютера, который мы использовали во время создания вируса.
2.3 Доставка вируса на целевой компьютер
Теперь можно отправить вирус на целевой компьютер. Если у вас есть нет физического доступа к устройству, тогда можете применить методы социальной инженерии.
2.4 Тестирование вируса на Windows
Запускаем вирус на компьютере Windows (в моем случае — файл backdoor_8080.exe).
Возвращаемся в Metasploit и видим, что открыта сессия metepreter. А значит мы взломали удаленный компьютер и можем с ним взаимодействовать.
Сессия Meterpreter будет выглядеть так, как показано выше. Чтобы получить справку по командам, введите:
Теперь можно изменять привилегии пользователя, скачивать и заливать файлы, запускать исполняемый файл как службу, делать снимки экрана, сохранять нажатия клавиш и многое другое.
Данный способ можно использовать в локальной сети. Если вы хотите использовать удаленно, тогда необходимо настроить удаленное соединение с помощью Ngrok.