[font=Verdana, Geneva, sans-serif]Bu yazıda, Windows İşletim Sistemine uzaktan erişmek için TheFatRat'ın Fully UnDetectable (FUD) üretmek için nasıl kullanılacağını göstereceğim.
[/font]
[font=Verdana, Geneva, sans-serif]TheFatRat nedir?:
TheFatRat, msfvenom (metasploit framework'ünün bir parçası) ve kolay post sömürme saldırısı ile backdoor'lar oluşturmak için kolay kullanılan bir araçtır.
Bu araç ile malware, trojan yada RAT'ı derler ve bu derlemeyle Windows, Android, Mac'ta çalıştırabiliriz.
Bu araçla oluşturulan zararlı yazılımların çoğunda Anti-Virüs taramalarını atlamak için bir kaç yetenek ve payload vardır.[/font]
[font=Verdana, Geneva, sans-serif]Anti-Virüs veya Güvenlik Yazılımı'nı atlatmak (FUD), Anti-Virüs tarafından kötü amaçlı olarak tespit edilmeden ve kullanıcıya bir uyarı vermeden saldırganla hedef arasında bir meta-erişim oturumu açılmasına izin verecektir.[/font]
[font=Verdana, Geneva, sans-serif]Anti-Virüs şirketleri genellikle virüs ve diğer kötü amaçlı yazılımları denetlemek için kendi veritabanlarını geliştirirler. Fakat günümüzde Online Multi Scan, Sandboxie ve Cloud gibi akıllı tarama sistemlerinin kullanılmasıyla birlikte çoğu önemli Anti-Virüs şirketi, imzaları birbirleri arasında paylaşma eğilimindedir ve bu imzalar bir yazılımın güvenilirliğini kanıtlamak için kullanılır.[/font]
[font=Verdana, Geneva, sans-serif]Bu yazıda TheFatRat'ı C Diliyle FUD oluşturmada kullanacağız. Payload'ı bir C Programıyla editleyerek Anti-Virüs yazılımı kötü niyetli olarak yakalayamayacaktır.[/font]
[font=Verdana, Geneva, sans-serif]Tamam, şimdi başlayalım.[/font]
[font=Verdana, Geneva, sans-serif]Gereksinimler:[/font]
[font=Verdana, Geneva, sans-serif]Bu saldırıyı gerçekleştirmek için aşağıdaki sistemleri kullanacağım:[/font]
[font=Verdana, Geneva, sans-serif]Yeni bir baseshell (yani Windows'taki karşılığı cmd) açın ve [size=small][font=Verdana, Geneva, sans-serif]ScreetSec'in [/font]TheFatRat'ını kurun.[/font][/size]
[font=Verdana, Geneva, sans-serif]Yukarıdaki kodlarla yapamazsanız alternatif yöntem:[/font]
[font=Verdana, Geneva, sans-serif]Şimdi TheFatRat'ı kurduk. Yeni bir baseshell açın ve FatRat'ı çalıştırın.[/font]
[font=Verdana, Geneva, sans-serif]Fatrat'ın eksik kütüphanelerini kurduktan sonra (her zaman sormaz) TheFatRat Menüsü'nü görürsünüz...
[/font]
[font=Verdana, Geneva, sans-serif]
[/font]
[font=Verdana, Geneva, sans-serif]Şimdi, Yerel IP adresinizin ne olduğunu kontrol edeceğiz, böylece bir sonraki adıma geçebiliriz.[/font][font=Verdana, Geneva, sans-serif] [/font][font=Verdana, Geneva, sans-serif]Yerel ipinizi kontrol etmek için yeni bir komut terminali açın ve ifconfig kullanın, inetiniz yerel ipinizdir.[/font]
[/font]
[font=Verdana, Geneva, sans-serif]TheFatRat nedir?:
TheFatRat, msfvenom (metasploit framework'ünün bir parçası) ve kolay post sömürme saldırısı ile backdoor'lar oluşturmak için kolay kullanılan bir araçtır.
Bu araç ile malware, trojan yada RAT'ı derler ve bu derlemeyle Windows, Android, Mac'ta çalıştırabiliriz.
Bu araçla oluşturulan zararlı yazılımların çoğunda Anti-Virüs taramalarını atlamak için bir kaç yetenek ve payload vardır.[/font]
[font=Verdana, Geneva, sans-serif]Anti-Virüs veya Güvenlik Yazılımı'nı atlatmak (FUD), Anti-Virüs tarafından kötü amaçlı olarak tespit edilmeden ve kullanıcıya bir uyarı vermeden saldırganla hedef arasında bir meta-erişim oturumu açılmasına izin verecektir.[/font]
[font=Verdana, Geneva, sans-serif]Anti-Virüs şirketleri genellikle virüs ve diğer kötü amaçlı yazılımları denetlemek için kendi veritabanlarını geliştirirler. Fakat günümüzde Online Multi Scan, Sandboxie ve Cloud gibi akıllı tarama sistemlerinin kullanılmasıyla birlikte çoğu önemli Anti-Virüs şirketi, imzaları birbirleri arasında paylaşma eğilimindedir ve bu imzalar bir yazılımın güvenilirliğini kanıtlamak için kullanılır.[/font]
[font=Verdana, Geneva, sans-serif]Bu yazıda TheFatRat'ı C Diliyle FUD oluşturmada kullanacağız. Payload'ı bir C Programıyla editleyerek Anti-Virüs yazılımı kötü niyetli olarak yakalayamayacaktır.[/font]
[font=Verdana, Geneva, sans-serif]Tamam, şimdi başlayalım.[/font]
[font=Verdana, Geneva, sans-serif]Gereksinimler:[/font]
- Senin seçeceğin bir Linux dağıtımı (Kali, Backtrack, Ubuntu, Pardus vb...),
- TheFatRat,
- Metasploit.
[font=Verdana, Geneva, sans-serif]Bu saldırıyı gerçekleştirmek için aşağıdaki sistemleri kullanacağım:[/font]
- Saldırı Makinesi: Kali Linux 2 Rolling
- Hedeflenen Makine: Windows 10
[font=Verdana, Geneva, sans-serif]Yeni bir baseshell (yani Windows'taki karşılığı cmd) açın ve [size=small][font=Verdana, Geneva, sans-serif]ScreetSec'in [/font]TheFatRat'ını kurun.[/font][/size]
git clone https://github.com/Screetsec/TheFatRat.git
cd TheFatRat/setup
chmod +x setup.sh && ./setup.sh
[font=Verdana, Geneva, sans-serif]Yukarıdaki kodlarla yapamazsanız alternatif yöntem:[/font]
$ git clone https://github.com/Screetsec/TheFatRat.git
$ cd TheFatRat
$ docker build -t=thefatrat .
$ docker run -it --name "thefatrat" thefatrat
[font=Verdana, Geneva, sans-serif]Şimdi TheFatRat'ı kurduk. Yeni bir baseshell açın ve FatRat'ı çalıştırın.[/font]
# fatrat
[font=Verdana, Geneva, sans-serif]Fatrat'ın eksik kütüphanelerini kurduktan sonra (her zaman sormaz) TheFatRat Menüsü'nü görürsünüz...
[/font]
[font=Verdana, Geneva, sans-serif]
Şimdi 6. seçimi yaparak Windows çalıştırılabilir (exe) sürüm payload oluşturacağız.
[font=Verdana, Geneva, sans-serif]"Create Fud Backdoor 1000% with PwnWinds"[/font]
Yukarıdaki resmindeki menüye benzer yeni bir menü gelecektir.
6. seçeneği seçiniz...
"[font=Verdana, Geneva, sans-serif]Create Backdoor with C / Meterperter_reverse_tcp (FUD 97%)[/font]"
[font=Verdana, Geneva, sans-serif]Şimdi, Yerel IP adresinizin ne olduğunu kontrol edeceğiz, böylece bir sonraki adıma geçebiliriz.[/font][font=Verdana, Geneva, sans-serif] [/font][font=Verdana, Geneva, sans-serif]Yerel ipinizi kontrol etmek için yeni bir komut terminali açın ve ifconfig kullanın, inetiniz yerel ipinizdir.[/font]
# ifconfig
[font=Verdana, Geneva, sans-serif]LHOST'yi yerel ip adresinizle değiştirin.
LPORT'u seçtiğiniz bir port yapınız. Mesela 443'ü kullanacağım.[/font]
[font=Verdana, Geneva, sans-serif]TheFatRat şimdi çıktı dosyası için bir "base name" isteyecektir.
Örneğin FUD için bir "base name" seçin; çıktı dosyanızın adı olacaktır.
Oluşturduğunuz FUD'u (TheFatRat/output) kurulum dizininin içinde bulabilirsiniz.[/font]
[font=Verdana, Geneva, sans-serif]Şimdi çalıştırılabilir bir FUD oluşturduk.[/font]
[font=Verdana, Geneva, sans-serif]Artık payload'ımız var, şimdi listener (dinleyiciyi) ayarlamamız gerek. TheFatRat ana menüsüne geri dönmeliyiz.[/font]
Hedef sistemlerinize uygun dinleyiciyi seçin.
Şimdi dinleyici kuruldu.
Payload'ı Windows 10 hedef makinesine hızlı bir şekilde aktaracağım.
Yükü aktarmak için bir "[font=Verdana, Geneva, sans-serif]USB Disk[/font]" kullanacağım, ancak sende belirlediğin işletim sistemine uygun exploit yada diğer zararlı trojan sokma yöntemlerinden birini kullanarak programı hedefte çalıştırabilirsin.
Uzun uzun bu yöntemlere bu yazıda girmek istemiyorum. Çünkü bu hem bu yazının konusu değil hemde forumda fazlasıyla yazılmış yazı var...
Hiç bir şey yapamazsan sosyal mühendisliğini kullan bir cloud'a PDF yükle ve binder kullanarak içine exe göm. Yada makro kullanarak doc, xls içine göm...
[font=Verdana, Geneva, sans-serif]Yukarıdaki ekran görüntülerinden de görebileceğiniz gibi, artık hedef makine ile ters bağlantıya (back connection) sahip olabiliyoruz.
[/font]
[font=Verdana, Geneva, sans-serif]Bu yararlı Exploit komutlarından bazılarını denemek isteyebilirsiniz:[/font]
[font=Verdana, Geneva, sans-serif][size=small][font=Verdana, Geneva, sans-serif]– record_mic[/font]
[/font][/size]
[font=Verdana, Geneva, sans-serif]– webcam_snap[/font]
[font=Verdana, Geneva, sans-serif]– webcam_stream[/font]
[font=Verdana, Geneva, sans-serif]– dump_contacts[/font]
[font=Verdana, Geneva, sans-serif]– dump_sms[/font]
[font=Verdana, Geneva, sans-serif][size=small][font=Verdana, Geneva, sans-serif]– geolocate[/font][/font][/size]
[font=Verdana, Geneva, sans-serif]Payload kontrolü için WWW.VIRUSTOTAL.COM kullanmayınız... [/font]
[font=Verdana, Geneva, sans-serif]Çünkü executable file incelemeye düşer ve yakın zamanda FUD Hex ve crypt algoritmanız deşifre olur ve yakalanır...[/font]
[font=Verdana, Geneva, sans-serif]WWW.NODISTRIBUTE.COM kullanınız...[/font]
Gizli içeriği görüntüleme kayıtlı kullanıcılar için mevcuttur!
[font=Verdana, Geneva, sans-serif][Trsz_kwT][/font]