[attach]126448973[/attach]
最近看到有人發表了資安相關的主題 - https://wwwgg.eyny.com/thread-11979142-1-1.html
有了些想法和個人見解,因此來跟大家分享~~
我個人認為Metasploit+Meterpreter比較好用,Meterpreter附有一大堆強大的模組,例如導出後門類型和obfuscater,且Kali Linux預設就有了
TheFatRat雖然不錯,但功能卻沒有Metasploit強大
況且github上還有一堆開源且支援Metasploit的工具,例如shelter
其實不管是用哪種RAT,只要其生成後門Signature Code的被記錄了
不管用什麼方法Obfuscate,都很難騙過防毒軟體
最好是以自己的想法寫專屬於自己的後門,或到暗網去找
最好做成像botnet的client端一樣
本人偏向使用VBScript,因為非專業人士較難發現其蹤跡
功能較少,基本就Uninstall、Update、 Run Script等功能
因此有很高的機率繞過防毒軟體
*提供部分程式碼以供參考 -
我在這裡稱這種後門為Stealthy,非常難以被發現
當電腦被Stealthy感染後,主控端可以選擇什麼都不做,保持遠端存取權
等待時機再植入功能健全但較容易被發現的後門
就算被發現了,Stealthy也不會有事,可以做更好的obfuscate後再更新
例如: 用Android Studio撰寫偽造成Web App 的程式(我自己沒試過,Java語言對我來說太噁心了,由於我是針對Windows平台的,所以是用.Net Framework。用這語言寫的後門幾乎都有提供Entry Point,這導致它們很容易被obfuscate)
保持與偽裝成網站的Server的連線(建議用VPN+Port Forwarding,我在其他主題的回覆有說明過,這裡不做說明),傳送HTTP請求,網站再下達命令,這樣看起來就像合法的App
其實現在較時尚的方法是直接使用合法且熱門的社交媒體Bot API來撰寫後門,例如Discord, Telegram,這種後門的好處就在於它的便利性與極低的可疑度
請自行搜索Discord Selfbot、Telegram Remote Bot等關鍵字,建議到Github尋找相關參考資源
防毒軟體對日異月新的病毒防不勝防,永遠不要認為有了防毒軟體就安全了
以下提供幾個小Tip來防範:
1.如果從網路上下載了來路不明的檔案,一定要先用SandBoxie跑過一便,搭配Proxifier之類的嗅探工具就更完美了
要是懶得安裝,那麼就把檔案傳到線上沙箱掃描 - https://sandbox.anlyz.io/#!/files
它會給你非常詳盡的報告,包括請求的IP、VirusTotal報告、檔案資訊等等資料
2.有網路攝影機的人,平時沒在用就把它貼起來
3.Hitman Alert能有效的保護個人隱私,搭配Comodo Firewall會更好
4.如果已知後門為.Net Framework架構(用ExeInfo得知)
線上檔案識別工具 - [ur]https://www.toolsley.com/file.html
用Dnspy來進行Reverse Engineering
另外還有例如: DIE、.NET Reflector、pestudio、UniExtract 2.0、HxD等工具
請自行爬文
5.(會持續更新)
*相關文章 - 難以被防毒軟體偵測的鍵盤側錄後門
*免責聲明
本人並未詳細說明如何製作"病毒",僅分享方向以及手法。
本圖像皆從網上搜集轉載,不承擔任何技術及版權問題。
以上資訊僅供研究用途,目的在於公布駭客的邏輯思路,以達到防範的效果。
本人亦不承擔會員將本站資源用於盈利和/或非法目的之任何後果和/或法律責任。
歡迎光臨 伊莉討論區 (https://attach1201.eyny.com/) | Powered by Discuz! |