HackWare.ru
- Введение
- Что такое полезная нагрузка (payload)
- Что такое бэкдоры и трояны
- Инструкция по использованию MSFvenom – генератора полезной нагрузки
- Как создать полезную нагрузку
- Виды полезной нагрузки MSFvenom
- Как узнать опции полезной нагрузки MSFvenom
- Форматы полезной нагрузки
- Примеры генерации полезной нагрузки в MSFvenom
- Работа с бэкдорами в Metasploit
- Основы работы в Meterpreter (Meta-Interpreter)
- Скрытый доступ к удалённому рабочему столу (VNC)
- Закрепление доступа
- Модули последующей эксплуатации Metasploit
- Когда обратный шелл не нужен
- Заключение
В этой заметке будет рассмотрен вопрос скрытого управление компьютером на Windows.
Указанная задача может быть решена различными способами. В том числе с применением легитимных программ – к примеру, VNC серверами, TeamViewer (если добавить в автозапуск и скрыть отображение иконки в трее), а также специализированного ПО, в том числе коммерческого. Здесь будет показано, как контролировать чужой компьютер используя Metasploit.
Статья не охватывает проблему доставки полезной нагрузки, инфицирования компьютера жертвы и вопросы предотвращения обнаружения, в том числе антивирусами. Главная цель этого материала – взглянуть на бэкдор глазами хакера для понимания принципов работы и значения угроз. Будет показано, как получить полный доступ над файловой системой, загружать или запускать любой файл, менять разнообразные системные настройки и даже выходить за пределы компьютера: делать снимки веб-камерой, делать видео- и аудио- захват с веб-камеры.
На протяжении все статьи будет постоянно употребляться термин «полезная нагрузка» (payload) и некоторые другие. Поэтому начнём с определения этих понятий.
Как приглядывать за «нужными» ПК
Вообще, программ для мониторинга за компьютерами довольно-таки много. Но сегодня остановлюсь на одной весьма интересной зарубежной софтине — MoniVisor .
MoniVisor
Официальный сайт (ссылка на MoniVisor для мониторинга ПК с Windows) : https://www.clevguard.com/windows-monitoring-software/
Так в чем ее основные преимущества:
- позволяет вести мониторинг за ПК с разными версиями Windows (если вы хотите контролировать смартфон, планшет и пр. устройства на Android — то у этого же производителя есть KidsGuard Pro) ;
- ее крайне легко и быстро настроить — 1 мин.! (ниже в заметке покажу, как это делается);
- программа работает незаметно (никто не узнает, что вы присматриваете за своими ПК);
- позволяет просматривать «почти всё» : какие сайты посещаются, что загружается, скрины экрана, переписка в Skype, почте, нажатия на клавиатуре и т.д.;
- минусы : программа платная (но есть 100%-манибек (для тестирования). Если вы не собираетесь мониторить десятки устройств — то цена вполне демократичная в ~10$/месяц). Также она на англ. — но это легко исправляется, если в браузере разрешить переводить страницу.
Ниже свой пример покажу именно в MoniVisor. Кстати, у них есть и своя инструкция, из которой вы можете узнать насколько хорошо работают удаленные сотрудники.
TeamViewer
Мощная кроссплатформенная утилита для получения доступа к удалённому компьютеру (Windows, macOS, Linux, Chrome OS), причём сделать это можно не только с другого компьютера, но и со смартфона или планшета на базе iOS, Android, Windows Phone и BlackBerry. Достаточно только установить клиент, завести учётную запись, ввести уникальный ID клиента и пароль, как вы уже сможете вкушать все прелести доступа. Имеется очень гибкая настройка параметров отображения картинки (актуально при низкой пропускной способности трафика) и функциональные клавиши, а ещё есть чат и окно для быстрого обмена файлами. TeamViewer абсолютно бесплатен для некоммерческого использования. Настоящий Must Have!
Ограничение и сброс неконтролируемого удалённого доступа
Что можно настроить в неконтролируемом доступе? Допустим, вы и есть удалённый пользователь, который предоставляет постоянный доступ к своему компьютеру или мобильному устройству более опытному товарищу, дабы тот мог без препятствий подключаться к вам в любое время и помогать. Дружба крепкая проверяется годами, годы её могут проверить, а могут и нет. И вот если дружба вдруг не пройдёт проверку, как себя обезопасить от возможных негативных действий уже бывшего товарища?
Друзья, в крайнем случае можно просто удалить с компьютера или мобильного гаджета AnyDesk. Но если программа или приложение ещё понадобятся, можно их не удалять. В любой момент мы можем сменить пароль неконтролируемого доступа или вообще отключить его. Идём в те же настройки безопасности программы, где мы всё изначально настраивали. Кстати, быстрый доступ к этим настройкам в десктопной программе, как и в мобильном приложении, реализован прямо в главном окне, это ссылка «Изменить пароль доступа».
И в настройках безопасности либо отключаем неконтролируемый доступ, либо меняем пароль. Здесь также есть опция «Удалить токены авторизации». Это сброс автоматического входа на всех удалённых компьютерах, где программа AnyDesk запоминала пароль неконтролируемого доступа. На таких удалённых компьютерах при удалении токенов авторизации пароль нужно будет вводить снова. Но, как по мне, друзья, то надёжнее всё же смена пароля неконтролируемого доступа.
Ниже у нас будет возможность выставить ограничения для неконтролируемого удалённого доступа. Можем убрать галочки отдельных функций как то: прослушка звука, управление клавиатурой и мышью, их блокировка, перезагрузка компьютера, рисование, запрос системной информации и т.п.
Такие же возможности сброса неконтролируемого доступа и его ограничения есть в настройках безопасности мобильного приложения AnyDesk.
Вот такой примечательный функционал есть у программы AnyDesk. Друзья, если вас интересует такого рода программный функционал, можете рассмотреть альтернативу: у известной программы TeamViewer также есть функция неконтролируемого удалённого доступа. Ну а уже какая из программ лучше подойдёт именно вам, покажет только опыт.
Настройка подключения к удаленному рабочему столу
Переходим непосредственно к подключению к удаленному рабочему столу, то есть настройкам на стороне клиента.
1. Запустим Подключение к удаленному рабочему столу .
Сделать это в Windows 7 можно через меню Пуск – Все программы – Стандартные – Подключение к удаленному рабочему столу .
В Windows 8 удобно запустить через поиск. Нажимаем Пуск , кликаем на значок лупы в правом верхнем углу и в поле поиска начинаем вводить слово «удаленный». Из предложенных вариантов поиска выбираем Подключение к удаленному рабочему столу .
В Windows 10: Пуск – Все приложения – Стандартные Windows – Подключение к удаленному рабочему столу .
2. Прежде всего, проверим, какая версия протокола установлена. Для этого кликнем по пиктограмме в верхнем левом углу и выберем пункт О программе .
Проверяем версию протокола рабочего стола. Если 7.0 или выше, то все в порядке, можно подключаться.
Если версия протокола ниже (такое возможно на устаревших версиях Windows), то необходимо либо его обновить, либо в настройках удаленного компьютера понизить уровень безопасности (т.е. выбрать Разрешать подключение от компьютеров с любой версией удаленного рабочего стола (опаснее) ).
Скачать обновления Удаленного рабочего стола для устаревших операционных систем можно по ссылкам ниже:
3. Указываем параметры соединения:
В поле Компьютер прописываем ip-адрес удаленного компьютера, к которому собираемся подключаться. (Локальный – если подключаемся в рамках локальной и реальный (тот, который дал интернет-провайдер), если удаленный компьютер находится за пределами локальной сети). У меня первый вариант.
Примечание. Узнать, какой у вас внешний статический ip-адрес можно, например, через сервис Яндекс.Интернетометр.
4. Нажимаем Подключить .
Будет предложено ввести учетные данные. Вводим логин и пароль любого пользователя на удаленном компьютере, у которого есть права на использование удаленного рабочего стола. В моем примере это Admin или Dostup1 . Напоминаю, что учетные записи обязательно должны быть запаролены.
Вводим логин и пароль, ставим галочку напротив Запомнить учетные данные , чтобы не вводить их при следующих подключениях. Разумеется, запоминать учетные данные можно только если вы работаете с личного компьютера, к которому не имеют доступ посторонние лица.
Выскочит предупреждение. Ставим галочку Больше не выводить запрос о подключениях к этому компьютеру и нажимаем Да .
Если все сделано правильно, то вы увидите перед собой удаленный рабочий стол.
Примечание. Напоминаю, что одновременно нельзя подключаться через удаленный рабочий с нескольких компьютеров под одним пользователем. То есть, если планируется, что с удаленным компьютером будет работать одновременно несколько человек, то для каждого потребуется завести отдельного пользователя и предоставить права на пользование удаленным рабочим столом. Делается это на удаленном компьютере, как было рассмотрено в начале статьи.
Дополнительные настройки удаленного рабочего стола
Теперь несколько слов о дополнительных настройках подключения к удаленному столу.
Чтобы открыть меню настроек нажимаем на Параметры .
Вкладка Общие
Здесь можно изменить параметры подключения. Нажав на ссылку изменить можно редактировать имя пользователя и пароль подключения.
Уже настроенные параметры подключения можно сохранить. Нажимаем на кнопку Сохранить как и выбираем место, например, Рабочий стол . Теперь на Рабочем столе появится ярлык, сразу запускающий подключение к удаленному рабочему столу без необходимости указания параметров. Это очень удобно, особенно если вы периодически работаете с несколькими удаленными компьютерами или если не настраиваете не для себя и не хотите путать пользователей.
Вкладка Экран
На вкладке Экран можно указать размер удаленного рабочего стола (будет он занимать весь экран вашего монитора или выводиться в небольшом отдельном окне).
Также можно выбрать глубину цвета. При медленной скорости интернет-соединения рекомендуется выбирать меньшую глубину.
Вкладка Локальные ресурсы
Здесь настраиваются параметры звука (воспроизводить его на удаленном компьютере или на клиентском и т.д.), порядок использования комбинаций горячих клавиш Windows (таких как Ctrl+Alt+Del, Ctrl+C и т.д.) при работе с удаленным рабочим столом.
Один из самых полезных разделов здесь – это Локальные устройства и ресурсы . Поставив галочку Принтер , вы получаете возможность распечатывать документы с удаленного рабочего стола на вашем локальном принтере. Галочка Буфер обмена активирует единый буфер обмена между удаленным рабочим столом и вашим компьютером. То есть, вы можете использовать обычные операции копирования и вставки чтобы перенести файлы, папки и т.д. с удаленного компьютера на ваш и наоборот.
Нажав на кнопку Подробнее , вы попадете в меню настроек, где можно подключить к удаленному рабочему столу дополнительные устройства вашего компьютера.
Например, вы хотите при работе за удаленным компьютером иметь доступ к вашему диску D . Тогда нажимаем на плюсик напротив Устройства для раскрытия списка и отмечаем галочкой диск D . Нажимаем ОК .
Теперь при подключении к удаленному рабочему столу, вы будете видеть и обращаться к вашему диску D через Проводник так, как если бы он физически был подключен к удаленному компьютеру.
Вкладка Дополнительно
Здесь можно выбрать скорость соединения для достижения максимальной производительности, а также задать отображение фонового рисунка рабочего стола, визуальные эффекты и т.д.
LiteManager
Еще одна простая, но функциональная программа для удаленного доступа к ПК позволяет самостоятельно задавать ID на удаленной машине, что может быть крайне удобно для его более простого запоминания. Причем сам ID остается постоянным.
Собственно, в том числе и из-за этой особенности LiteManager отлично подходит как для домашнего использования, так и для удаленного администрирования парка из нескольких десятков машин. Из минусов программы можно отметить разве что ограничение на 30 машин в его бесплатной версии и отсутствии клиентов для смартфонов.
Программы для имитации клавиатуры
Macro Dollar — довольно известное программное обеспечение, которое позволяет имитировать работу клавиатуры. ПО записывает действия мыши и кнопок клавиатуры, а затем автоматически повторяет их.
В программе предусмотрена опция Loop, которая запускает бесконечный процесс воспроизведения имитации клавиатуры. По такому же принципу работает WinMacro, а также более новые аналоги.
AnyDesk
AnyDesk — последняя в сегодняшнем обзоре утилита для удаленного подключения к Windows-ПК с другого компьютера или мобильного устройства. Может использоваться и без инсталляции, и с ней.
Как и предшественники, обладает рядом уникальных функций:
- Самая высокая скорость передачи картинки с удаленной машины.
- Самый быстрый обмен файлами, даже при низкой скорости Интернета.
- Поддержка одновременного подключения нескольких удаленных пользователей. Возможность совместной работы над одним проектом (у каждого пользователя свой курсор).
Плюс, как и остальные программы этого класса, AnyDesk предоставляет оператору полный доступ к функциям удаленной машины, очень просто подключается (по ID и паролю) и надежно защищает передаваемые данные.