Добро пожаловать обратно, мои начинающие хакеры!
В предыдущих руководствах мы рассмотрели способы перекодирования полезных данных и другого вредоносного ПО для обхода антивирусного ПО. Мы также изучили внутреннюю работу Clam AV, чтобы лучше понять принципы работы этого типа ПО. Иногда мы можем закодировать наше вредоносное ПО с помощью таких приложений, как Shellter и Veil-Evasion, и оно успешно обходит один тип антивирусного ПО, но не другой.
В наших попытках обойти антивирусную защиту, возможно, не удастся обойти всё антивирусное ПО. С другой стороны, нам может не потребоваться обходить ВСЕ антивирусное ПО, а только то, которое использует жертва. Если бы мы могли определить, какой антивирус она использует, мы могли бы быть уверены, что наше вредоносное ПО не будет обнаружено этим антивирусом. Это всё, что нам нужно.
В предыдущем уроке я познакомил вас с recon-ng. Recon-ng — это мощный модульный фреймворк для разведки. Один из модулей позволяет определить, какое антивирусное ПО использует цель. Он отправляет нерекурсивные DNS-запросы на корпоративный DNS-сервер, чтобы определить, есть ли на этом DNS-сервере кэш, содержащий веб-сайт производителя антивируса. Если кэш есть, это означает, что кто-то в организации использует это антивирусное ПО (кому-то в организации пришлось зайти на сайт для обновления сигнатур). Если нет, это означает, что никто не запрашивал сайт производителя антивируса и, вероятно, не использует это ПО.
1. Запустите Kali и начните Recon-Ng.
Давайте начнем с запуска Kali и начала recon-ng, введя в терминале:
kali >recon-ng
После запуска recon-ng вы увидите приветственный экран, подобный показанному выше.
2. Показать модули
Помните, recon-ng работает очень похоже на Metasploit. В некоторых случаях команды идентичны, а в некоторых — очень близки. Как и в Metasploit, мы можем увидеть все модули, введя:
recon-ng > показать модули
Как видите, первая группа отображаемых модулей — это модули обнаружения, и первый модуль обнаружения — «Cache Snoop». Именно этот модуль мы и хотим здесь использовать.
3. Использование
Синтаксис модуля отслеживания кэша идентичен Metasploit. Просто введите:
recon-ng > использовать discovery/info_disclosure/cache_snoop
После загрузки этого модуля введите:
recon-ng >показать информацию
На этом информационном экране мы видим основы этого модуля. Он действительно довольно прост. Для него требуются два входных данных: (1) файл с доменами антивирусного ПО и (2) IP-адрес NAMESERVER, за которым мы следим.
Recon-ng содержит список доменов антивирусного ПО по умолчанию. Это простой текстовый файл по адресу:
/usr/share/recon-ng/data/avdomains
Мы можем просмотреть его содержимое, просто открыв его в текстовом редакторе или используя одну из многочисленных команд Linux, отображающих содержимое файла, например, cat, less и more . Здесь я отобразил его содержимое с помощью more .
Как видите, он содержит домены многих крупных компаний-разработчиков антивирусного ПО, но не всех. Если хотите добавить домен, просто откройте этот файл в текстовом редакторе, добавьте домен и сохраните. Вуаля! Готово!
4. Получение серверов имен
Чтобы получить сервер имён нужного домена, просто используйте команду dig в Linux. Синтаксис прост: dig <имя_домена> ns , где ns указывает на то, что вам нужен сервер имён. Давайте попробуем это для www.wonderhowto.com.
kali > dig wonderhowto.com ns
Как видно на скриншоте выше, эта команда отображает серверы имён для wonderhowto.com. Попробуем то же самое для крупной компании по обучению информационной безопасности, www.infosecinstitute.com.
Кали > копать infosecinstitute.com ns
Как видите, мы нашли серверы имён для www.infosecinstitute.com. Давайте запишем все эти серверы имён для использования в recon-ng.
5. Установите NAMESERVER и запустите
Давайте начнем с использования сервера имен Infosecinstitute и посмотрим, есть ли на DNS-сервере какие-либо доказательства того, что кто-либо в этой организации использует это антивирусное программное обеспечение.
recon-ng > установить NAMESERVER 216.92.3.91
recon-ng > run
Как видите, recon-ng обнаружил, что продукты каждого из этих разработчиков антивирусного ПО использовались кем-то в этой организации. Неудивительно, что компания, специализирующаяся на информационной безопасности, проверила ПО всех производителей.
Давайте попробуем то же самое с wonderhowto.com.
recon-ng > установить СЕРВЕР ИМЕН 208.78.70.29
recon-ng > run
Мы видим, что на сервере имён wonderhowto.com нет НИ ОДНОЙ записи об антивирусном ПО из нашего списка. Это не означает, что wonderhowto.com не использует антивирусное ПО, а просто использует антивирусное ПО, не входящее в список recon-ng. Это означает, что вредоносное ПО, обнаруженное одним из разработчиков из нашего списка, может не быть обнаружено целевой системой.
Заключение
Какой вывод можно сделать из этих результатов? Начнём с того, что этот модуль не идеален, но может быть полезен. В случае с www.infosecinstitute.com можно сделать вывод, что кто-то недавно использовал или обновлял антивирусное ПО из нашего списка. Что касается wonderhowto.com, можно сделать вывод, что никто в этой организации, использующей этот сервер имён, не использовал и не обновлял антивирусное ПО из этого списка. Это может сделать их уязвимыми.
В предыдущих руководствах мы рассмотрели способы перекодирования полезных данных и другого вредоносного ПО для обхода антивирусного ПО. Мы также изучили внутреннюю работу Clam AV, чтобы лучше понять принципы работы этого типа ПО. Иногда мы можем закодировать наше вредоносное ПО с помощью таких приложений, как Shellter и Veil-Evasion, и оно успешно обходит один тип антивирусного ПО, но не другой.
В наших попытках обойти антивирусную защиту, возможно, не удастся обойти всё антивирусное ПО. С другой стороны, нам может не потребоваться обходить ВСЕ антивирусное ПО, а только то, которое использует жертва. Если бы мы могли определить, какой антивирус она использует, мы могли бы быть уверены, что наше вредоносное ПО не будет обнаружено этим антивирусом. Это всё, что нам нужно.
В предыдущем уроке я познакомил вас с recon-ng. Recon-ng — это мощный модульный фреймворк для разведки. Один из модулей позволяет определить, какое антивирусное ПО использует цель. Он отправляет нерекурсивные DNS-запросы на корпоративный DNS-сервер, чтобы определить, есть ли на этом DNS-сервере кэш, содержащий веб-сайт производителя антивируса. Если кэш есть, это означает, что кто-то в организации использует это антивирусное ПО (кому-то в организации пришлось зайти на сайт для обновления сигнатур). Если нет, это означает, что никто не запрашивал сайт производителя антивируса и, вероятно, не использует это ПО.
1. Запустите Kali и начните Recon-Ng.
Давайте начнем с запуска Kali и начала recon-ng, введя в терминале:
kali >recon-ng
После запуска recon-ng вы увидите приветственный экран, подобный показанному выше.
2. Показать модули
Помните, recon-ng работает очень похоже на Metasploit. В некоторых случаях команды идентичны, а в некоторых — очень близки. Как и в Metasploit, мы можем увидеть все модули, введя:
recon-ng > показать модули
Как видите, первая группа отображаемых модулей — это модули обнаружения, и первый модуль обнаружения — «Cache Snoop». Именно этот модуль мы и хотим здесь использовать.
3. Использование
Синтаксис модуля отслеживания кэша идентичен Metasploit. Просто введите:
recon-ng > использовать discovery/info_disclosure/cache_snoop
После загрузки этого модуля введите:
recon-ng >показать информацию
На этом информационном экране мы видим основы этого модуля. Он действительно довольно прост. Для него требуются два входных данных: (1) файл с доменами антивирусного ПО и (2) IP-адрес NAMESERVER, за которым мы следим.
Recon-ng содержит список доменов антивирусного ПО по умолчанию. Это простой текстовый файл по адресу:
/usr/share/recon-ng/data/avdomains
Мы можем просмотреть его содержимое, просто открыв его в текстовом редакторе или используя одну из многочисленных команд Linux, отображающих содержимое файла, например, cat, less и more . Здесь я отобразил его содержимое с помощью more .
Как видите, он содержит домены многих крупных компаний-разработчиков антивирусного ПО, но не всех. Если хотите добавить домен, просто откройте этот файл в текстовом редакторе, добавьте домен и сохраните. Вуаля! Готово!
4. Получение серверов имен
Чтобы получить сервер имён нужного домена, просто используйте команду dig в Linux. Синтаксис прост: dig <имя_домена> ns , где ns указывает на то, что вам нужен сервер имён. Давайте попробуем это для www.wonderhowto.com.
kali > dig wonderhowto.com ns
Как видно на скриншоте выше, эта команда отображает серверы имён для wonderhowto.com. Попробуем то же самое для крупной компании по обучению информационной безопасности, www.infosecinstitute.com.
Кали > копать infosecinstitute.com ns
Как видите, мы нашли серверы имён для www.infosecinstitute.com. Давайте запишем все эти серверы имён для использования в recon-ng.
5. Установите NAMESERVER и запустите
Давайте начнем с использования сервера имен Infosecinstitute и посмотрим, есть ли на DNS-сервере какие-либо доказательства того, что кто-либо в этой организации использует это антивирусное программное обеспечение.
recon-ng > установить NAMESERVER 216.92.3.91
recon-ng > run
Как видите, recon-ng обнаружил, что продукты каждого из этих разработчиков антивирусного ПО использовались кем-то в этой организации. Неудивительно, что компания, специализирующаяся на информационной безопасности, проверила ПО всех производителей.
Давайте попробуем то же самое с wonderhowto.com.
recon-ng > установить СЕРВЕР ИМЕН 208.78.70.29
recon-ng > run
Мы видим, что на сервере имён wonderhowto.com нет НИ ОДНОЙ записи об антивирусном ПО из нашего списка. Это не означает, что wonderhowto.com не использует антивирусное ПО, а просто использует антивирусное ПО, не входящее в список recon-ng. Это означает, что вредоносное ПО, обнаруженное одним из разработчиков из нашего списка, может не быть обнаружено целевой системой.
Заключение
Какой вывод можно сделать из этих результатов? Начнём с того, что этот модуль не идеален, но может быть полезен. В случае с www.infosecinstitute.com можно сделать вывод, что кто-то недавно использовал или обновлял антивирусное ПО из нашего списка. Что касается wonderhowto.com, можно сделать вывод, что никто в этой организации, использующей этот сервер имён, не использовал и не обновлял антивирусное ПО из этого списка. Это может сделать их уязвимыми.
