1. Giới thiệu chung về Backdoor
Trước khi tìm hiểu bài này bạn cần biết backdoor là gì?
Đây là khái niệm để chỉ một loại Trojan, sau khi được cài đặt vào máy nạn nhân sẽ tự mở ra một cổng dịch vụ cho phép kẻ tấn công (hacker) có thể kết nối từ xa tới máy nạn nhân, từ đó nó sẽ nhận và thực hiện lệnh mà kẻ tấn công đưa ra.
Thông thường, việc xác định những phần mềm đang sử dụng có được an toàn hay không vốn rất khó khăn, thì để tìm và phát hiện ra các Trojan “cửa hậu” lại là vấn đề nan giải gấp bội. Việc phát hiện ra những backdoor vừa nguy hiểm với phương thức hoạt động rất tinh tế như các loại sau đây cũng không phải là vấn đề đơn giản.
2. Cách thức tạo một backdoor
Chúng ta cùng tìm hiểu backdoor (cổng sau) trên môi trường MSF(Metasploit Framwork).
Để tạo backdoor trên msfconsole ta dùng msfpayload. Để xem cách sử dụng và cú pháp ta dùng msfpayload -h
3. Các bước tạo một payloads backdoor
Bước 1: Tạo Backdoor.Sau khi xem các thông số mở console ta tiến hành tạo backdoor như sau:
Một trong những payload mà các hacker đều yêu thích đó chính là meterpreter. Có một câu hỏi đặt ra là tại sao người ta lại yêu thích meterpreter đơn giản khó phát hiện, hỗ trợ rất nhiều tùy chọn trong quá trính khai thác máy nạn nhân như : keylog, webcam, hasdump …Trong tham số command tôi có sử dụng reverse_tcp là cho phép quá trình kết nối ngược về máy của attacker. Có thể hiểu một cách đơn giản là máy attacker mở cổng kết nối chờ máy victim kết nối vào. Hình thức này khác với các backdoor cổ điển là thường mở cổng trên máy nạn nhân. Nếu máy nạn nhân có firewall chặn chiều inbound thì coi như không thiết lập được kết nối. Còn với tùy chọn ở trên chỉ cần máy victim cho phép duyệt web với cổng 443 là ta có thể kết nối và điểu khiển máy nạn nhân.
Bước 2: Lắng nghe đợi kết nối.Bước 3: Gửi file backdoor sang máy nạn nhân rồi thực thi.
Bằng cách nào đó ta gửi cho máy victim làm sao họ thực thi file đó để chúng ta có thể kết nối được vs máy victim
Ta sẽ thấy có kết nối ngược lại về máy attacker và trả lại cú pháp lệnh trên meterpreter như sau:
Bước 4: Khai thác.
Gõ dòng lệnh kiểm tra thông tin máy đã bị nhiễm backdoor: sysinfoLấy thêm thông tin và địa chỉ ip của máy victim:
Gọi shell command-line trên máy victim:
Và đến đây chúng ta có thể tùy ý khai thác trên máy nạn nhân thêm tài khoản, bật remote và mọi thứ nếu bạn muốn.
Vậy trong bài viết này tôi đã hướng dẫn các bạn một các căn bản sử dụng msfpayload để tạo ra backdoor, trojan kết nối vào máy tính nạn nhân. Trong các phân tiếp theo tôi sẽ hướng dẫn các bạn làm sao để vượt mặt các chương trình antivirus, các hình thức khai thác nâng cao sử dụng metepreter.
Vũ Quý Hòa
Tạo backdoor với Metasploit Framework
4/
5
Oleh
Unknown