В этой статье рассмотрим способ сокрытия трояна в документе, с помощью Social Engineering Toolkit (SET).
Еще по теме: Как хакеры скрывают вирусы в документах Office
Часто в пентесте есть необходимость скрыть троян в документе. Пользователи Windows редко устанавливают новые программы и с огромным подозрением относятся к приложениям, установить которые им предлагается в электронном письме.
Однако эти пользователи почти ежедневно открывают документы Word, презентации PowerPoint и файлы PDF. В эти файлы тоже можно встраивать пейлоады (полезную нагрузку). Инструмент Social Engineering Toolkit. (SET) абстрагирует детали Metasploit Framework и упрощает процесс создания и отправки вредоносных файлов.
Сокрытие трояна с помощью Social Engineering Toolkit (SET)
Выполните следующую команду, чтобы запустить SET:
|
1 |
kali@kali:~$ sudo setoolkit |
Когда инструмент запустится, вы должны увидеть следующее меню. Выберите вариант Social-Engineering Attacks (Атаки с использованием социальной инженерии), введя 1 в терминале:
|
1 2 3 4 5 6 7 8 |
1) Social-Engineering Attacks 2) Penetration Testing (Fast-Track) 3) Third Party Modules Затем выберите вариант Infectious Media Generator (Генератор зараженного носителя): 1) Spear-Phishing Attack Vectors 2) Website Attack Vectors 3) Infectious Media Generator 4) Create a Payload and Listener |
Затем выберите вариант File-Format Exploits (Эксплойты файлового формата), позволяющий внедрять полезную нагрузку в файлы различных типов:
|
1 2 |
1) File-Format Exploits 2) Standard Metasploit Executable |
Введите IP-адрес вашей машины Kali Linux.
После этого вы должны увидеть список доступных атак. Этот список файловых форматов будет меняться по мере устранения существующих и обнаружения новых уязвимостей.
Многие из этих атак работают только с определенной версией программного обеспечения, поэтому проведите разведку Osint, чтобы выбрать именно ту, которую использует ваша цель:
|
1 2 3 4 5 6 7 8 9 10 11 |
1) SET Custom Written DLL Hijacking Attack Vector (RAR, ZIP) 2) SET Custom Written Document UNC LM SMB Capture Attack 3) MS15-100 Microsoft Windows Media Center MCL Vulnerability 4) MS14-017 Microsoft Word RTF Object Confusion (2014-04-01) ... 13) Adobe PDF Embedded EXE Social Engineering 14) Adobe util.printf() Buffer Overflow ... 17) Adobe PDF Embedded EXE Social Engineering (NOJS) 18) Foxit PDF Reader v4.1.1 Title Stack Buffer Overflow 19) Apple QuickTime PICT PnSize Buffer Overflow |
Такие документы Microsoft Office, как Word, Excel и PowerPoint, поддерживают макросы — небольшие программы, которые пользователи могут написать для автоматизации решения задач в документах Office.
Макросы запускаются при открытии документа; однако Microsoft Office по умолчанию отключает их, поскольку они представляют угрозу безопасности. При открытии документа, содержащего макрос, Microsoft Office отображает предупреждение, позволяющее пользователю разрешить использование макросов.
Злоумышленник может встроить в документ вредоносный макрос, который скачивает и запускает пейлоад, когда пользователь открывает его. В 2021 году спонсируемая одним из государств хакерская группировка использовала вредоносный документ Word для взлома системы российского оборонного подрядчика. Об этой атаке, совершенной группой Lazarus, вы можете прочитать на сайте «Лаборатории Касперского».
Теперь, когда мы рассмотрели методы создания троянов для настольных компьютеров и серверов, создадим трояны для мобильных устройств.
