iT邦幫忙

2018 iT 邦幫忙鐵人賽
DAY 15
0
Security

CEH 之越挫越勇系列 第 16

[Day15]惡意程式-實作篇

  • 分享至 

  • xImage
  •  

這裡介紹了一款很古早的後門:njRAT
如果已經更新 Windows7 SP2 最新系統更新 & 防火牆打開的話,那是無法實作噠 XD
//所以要實作的話,這裡的版本是 Windows7 SP1

njRAT

在(Win8)啟用 njRAT //這隻應該算是後門程式(?)
Win8:192.168.137.202
https://ithelp.ithome.com.tw/upload/images/20171220/201036476dWlNnk4U4.png

Build 完,後續會產生檔案至指定路徑,然後假設已經散佈到目標主機 (Win7)
Win7:192.168.137.156
https://ithelp.ithome.com.tw/upload/images/20171220/20103647KHmW2IACC3.png

當目標主機(Win7)已經執行之後,後續就算刪掉主檔,每次開機一樣都會啟動這項服務,執行時已默默註冊(regsvr32)在註冊表(Registry)中,如果有興趣的話,可以用autoruns去觀察。
https://ithelp.ithome.com.tw/upload/images/20171220/20103647ThCtVnlZ8Y.png

當目標 Win7 執行後,Win8 收到的畫面及功能:
https://ithelp.ithome.com.tw/upload/images/20171220/20103647Y26zLB5Wmy.png

觀察目標主機上細項的功能:
目前服務:
https://ithelp.ithome.com.tw/upload/images/20171220/20103647NN27f18VZI.png

監看遠端桌面:
//不是神不知鬼不覺,但你執行什麼還是會被發現噠
https://ithelp.ithome.com.tw/upload/images/20171220/20103647O4s9miUm0p.png

鍵盤側錄:
https://ithelp.ithome.com.tw/upload/images/20171220/201036471huBvaWPLs.png

就醬~。


上一篇
[Day14]惡意程式-概念篇
下一篇
[Day16]網路監聽-概念篇
系列文
CEH 之越挫越勇34
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 則留言

0
魷魚
iT邦新手 1 級 ‧ 2017-12-26 16:24:47

看到Windows 7 SP2前可以實作,立刻檢查一下,阿哩我的是Windows SP1!!!
上網查了一下,SP2泛指KB3125574這個更新包,而且更新完還是會顯示SP1,害我嚇了一跳XDDDD

虎虎 iT邦研究生 4 級 ‧ 2017-12-26 17:31:55 檢舉

那要來立馬實作一下嗎 =3=+++

魷魚 iT邦新手 1 級 ‧ 2017-12-27 08:27:42 檢舉

蠻好玩的,可能有時間可以來試試看~~
不過看起來跟公司的資產軟體資訊資產軟體有異曲同工之妙:D

我要留言

立即登入留言