テクノロジーの解明: ハッカーはどのようにして Metasploit を使用してバックドアやボットネットを乗っ取るのか?

Metasploit Framework には、バッファ オーバーフロー、ブラウザのエクスプロイト、Web アプリケーションの脆弱性、バックドアのエクスプロイト、ゾンビ乗っ取りツールなどを含む、多くのエクスプロイト モジュールがあります。エクスプロイト開発者やフレームワークへの貢献者は、多くの興味深い有用なものを共有しています。

この記事では、Metasploit を使用して一般的なバックドアやボットネットを攻撃し、乗っ取ることについて説明します。すべてのモジュールについて詳しく説明するわけではありませんが、将来の侵入テストや作業に役立つ可能性のあるモジュールについてはいくつか触れておきます。私たちはエクスプロイトを開発しないので、デバッガーやコード エディターを使用する必要はありません。

Msfconsole (フレームワークのコマンド ライン インターフェイス) を使用して Metasploit Framework の使用を開始したばかりの場合でも、心配しないでください。ここでは、Exploit モジュールの使用方法を段階的に説明します。このチュートリアルで必要なのは、攻撃マシンに Metasploit をインストールすることだけです。Kali Linux または BackBox を使用することをお勧めします。これらは、Metasploit がプリインストールされている侵入テスト ディストリビューション システムです。

ターゲット マシンの場合は、VMWare や VirtualBox などのお気に入りの仮想化プラットフォームに metasploitable 2 をインストールすることをお勧めします。 Metasploitable 2 は、いくつかの安全でないプログラムがインストールされているため、Metasploit スキルを練習するために使用できる脆弱な Ubuntun Linux 仮想マシンです。

Metasploitable 2 仮想マシン構成には、バックドアと公開された脆弱性を含むサービスがインストールされています。

Metasploitable 2 は、ポート 6667 で、バックドアを備えた UnreaIRCD IRC デーモンを実行します。攻撃者は、ircd を実行するユーザー権限で任意のシステム コマンドを実行できます。これは練習に非常に適した脆弱性です。シェルをポップアップできるかどうかを試してみましょう。幸いなことに、Metasploit にはすでにこの脆弱性に対するエクスプロイト モジュールがあり、exploit/unix/irc/unreal_ircd_3281_backdoor にあります。

msfconsole と入力して、Metasploit のコマンド ライン インターフェイスを開きます。 infoexploit/unix/irc/unreal_ircd_3281_backdoor と入力すると、モジュールの説明が表示されます: 「このモジュールは、脆弱性を悪用して、悪意のあるバックドアが添付された Unreal IRCD 3.2.8.1 ダウンロード パッケージを攻撃します。バックドアは、2009 年 11 月から 6 月 12 日までの間に発見されました。」 2010. デート中に Unreal3.2.8.1.tar.gz 圧縮パッケージ

さて、バックドアを含むこのサービスを攻撃する時が来ました!

わぁ、殻を手に入れました。他のバックドア サービスの詳細については、「Metasploitable 2 Exploitability Guide」を参照してください。

バックドアとボットネット乗っ取りという共通のトピックについて話し合うべきではないでしょうか?はい！まだ始まったばかりです。MSF コンソールを使用して UnreaIRCD IRC サービスのバックドアを攻撃する方法を簡単に紹介しました。

私たちの目標は、新しいものを導入することです。Metasploit にはすでにこのタイプのモジュールがあり、これらのモジュールは Web アプリケーション上で任意のコードをリモートで実行したり、アプリケーションやサービスに対してバッファ オーバーフロー攻撃を実行したりすることはありません。

次の例では、Web バックドアを攻撃するために作成したシンプル バックドア シェル リモート コード実行モジュールを使用します。このモジュールは、単純な Web バックドアを攻撃し、一般的なバックドア シェルの脆弱なパラメータを使用してコマンドを実行します。

Daniel Miessler と Jason Haddix の OWASP セーフ リスト プロジェクトには、そのようなバックドア シェルのサンプルが多数あり、それらはペイロードに分類されています。

シンプル バックドア シェル リモート コード実行モジュールを調べる前に、まずターゲット マシン上にバックドア シェルを作成する必要があります。 Linux 仮想マシンに Apache サーバーをインストールし、次の脆弱なコードを記述することをお勧めします:

このコードを Ubuntun VM 仮想マシンの /var/www/html/msfdev/vulnerable.php パスに次のように配置します。ブラウザを使用して http://localhost/msfdev/vulnerable.php にアクセスできます。次の図に示すように、この脆弱性コードを悪用する POC は、exec パラメータを通じて任意のコマンドを実行できます。

ここでは、Simple Backdoor Shell リモート コード実行モジュールを使用します。

show option コマンドを実行した後の出力情報を見てわかるように、(RHOST、RPORT、その他の一般的なオプションに加えて) 必要な設定がいくつかあります。HTTP メソッドは METHOD の設定によって指定され、バックドアはTARGETURI を設定してシェルへのパスを指定し、VAR を設定してパラメータまたはコマンド変数を指定します。

ターゲット マシンの IP アドレスが 192.168.150.136 であると仮定します。RHOST をこのアドレスに設定し、TARGETURI を /msfdev/vulnerable.php に設定してバックドア シェルの場所を定義する必要があります。次に、VAR オプションがあります。これを exec に設定すると、任意のコマンドを実行できます。 Web アプリケーションでは GET メソッドが許可されており、GET メソッドを通じて脆弱性が悪用される可能性があるため、HTTP メソッドを設定する必要はありません。

rreee

2 番目のシェルが正常にポップアップしました。さて、これがこのモジュールを使用して Web シェルを攻撃するプロセス全体です。

このタイプのモジュールに関連する他のエクスプロイト モジュールをいくつか示します:

Th3 MMA mma.php バックドア任意ファイル アップロード – このモジュールは Th3 MMA mma.php バックドアを攻撃し、任意のファイルをアップロードし、任意のコードの実行につながる可能性があります。 php_uname() 関数のため、このバックドアは Linux カーネルのバージョン番号またはオペレーティング システムのバージョン番号もエコーします。

Zemra ボットネット CnC Web パネルのリモート コード実行 – このモジュールは Zemra ボットネットの CnC Web パネルを攻撃し、漏洩したソース コードにバックドアが含まれています。 Zemra は DDOS 攻撃を実行できるマルウェアで、Symantec によって発見され、Backdoor.Zemra と名付けられました。

チャイナ チョッパー Caidao PHP バックドア コード実行 – このモジュールは、中国のハッカーによって広く使用されているチャイニーズ チョッパー Web シェルを攻撃します。

Horde 3.3.12 バックドアによる任意の PHP コード実行 – このモジュールは、任意の PHP コード実行の脆弱性バックドアを含む Horde 3.3.12 および Horde Groupware 1.2.10 を攻撃します。

OpenX バックドア PHP コード実行 – 少なくとも 2012 年 11 月から 2013 年 8 月まで、penX Ad Server バージョン 2.8.10 には隠しバックドアが装備されていました。この脆弱性の悪用は、rot13 処理とループバック ペイロードを含む 1 つのリクエストを送信するだけで簡単です。

STUNSHELL Web シェルのリモート PHP コード実行 – このモジュールは、「STUNSHELL」Web シェルの未検証バージョンを攻撃します。このモジュールは、Web サーバーでセーフ モードが有効になっている場合に有効です。このシェルは、自動化された RFI ペイロードで広く使用されています。

続けてください。リストはどんどん長くなっていきます。コマンド検索バックドアを通じてさらに多くのモジュールを取得できます。

私が書いて貢献しているモジュールのもう 1 つのクラスは、ボットネット乗っ取り用です。良い例は、w3tw0rk/Pitbul IRC ボットのリモート コード実行です。このモジュールは、ニックネームを登録するか、ボットネットに登録されている IRC チャネルの管理者または管理者になりすまして、w3tw0rk ボットネットを攻撃します。

これを課題として提供したいので、オプションの意味とこのタイプのボットネットを攻撃する方法については説明しません。このエクスプロイトのスクリーンショットはすでに存在します。前の手順で Metasploit をセットアップするパターンをご覧になったと思います。

これは、DDos (分散型サービス拒否) または DoS (サービス拒否) 攻撃を開始するために使用できる w3tw0rk / Pitbul IRC のソース コード スクリプトです:

https://github.com/shipcod3/IRC-ボットハンター /blob/master/malicious_samples/w3tw0rk.txt 。仮想マシンが他のボットネット ウォッチャーやマルウェア クルセイダーによって制御されないように、仮想マシンで実行し、仮想マシンが独自の IRC サーバーに接続されていることを確認する必要があります。

私が作成したボットネット エクスプロイト モジュールのほとんどは、Metasploit における最初の IRC ボットネット エクスプロイトである PHP IRC ボット pbot eval() リモート コード実行モジュールからインスピレーションを得たものです。その説明によると、「このモジュールは、.php コマンドを実装する際の eval() 関数の誤用により、PHP IRC ボット pbot 上でリモート コマンド実行を可能にします。このモジュールは、Jay Turla によって分析された pbot バージョンで正常にテストされ、Infosec で公開されました」 Institue 、Ubuntu 10.04 および Windows XP SP3 で実行されています

このスクリプトによって引き起こされる損害については責任を負いませんが、教育目的のみに使用してください。

ボットネット乗っ取りに関連するその他のエクスプロイト モジュール:

Xdh / LinuxNet Perlbot / fBot IRC ボットのリモート コード実行 – このモジュールは、xdh によって開発された IRC ボット上でコマンドをリモートで実行できます。この Perl ボットは、Conor Patrick が Shellshock ハニーポット サーバーを使用してキャプチャし、Markus Zanke が fBot (Fire & Forget – DDoS ボット) カテゴリに分類しました。 Matt Thayer は、このスクリプトに LinuxNet perlbot の記述があることを発見しました。このボットは、Perl スクリプトで設定されたサービス名とニックネームにのみ応答するため、このボットを攻撃するには、IRC ネットワークを操作してネットワークを偽装できるか、少なくとも設定されているのと同じ IP を使用できる必要があります。

Ra1NX PHP ボット PubCall 認証バイパス リモート コード実行 – このモジュールは、PHP IRC ボット Ra1NX でのリモート コマンド実行を有効にし、プライベート メッセージのパブリック コール機能を使用して認証システムを密かにバイパスします。

Legend Perl IRC ボットのリモート コード実行 – このモジュールは、Legend Perl IRC ボットでのリモート コマンド実行を有効にします。 2014 年 10 月、このボットは Shellshock スパムのペイロードとして使用されました。この特定のボットには、NMAP スキャン、TCP、HTTP、SQL、UDP フラッディング攻撃、システム ログのクリア、root 権限の取得、VNC スキャンなどの機能があります。 Damballa の上級脅威研究専門家である Kevin Stevens がこのスクリプトを VirusTotal にアップロードしました。その md5 は 11a9f1589472efa719827079c3d13f76 です。

Dexter (CasinoLoader) SQL インジェクション – このモジュールは、コントロール Dexter で使用されるコマンドとコントロール パネルで見つかった脆弱性を攻撃します。この脆弱性は、ボットが使用する入力保護のない PHP ページ (gateway.php) にアクセスすることで悪用されます。入力は暗号化およびエンコードされます。コマンドおよびコントロール パネルは、ファイルをアップロードする場所を指定します。これは、PHP シェルに書き込むための信頼できる場所として機能します。この脆弱性を悪用するために認証は必要ありません。

参考資料:

https://community.rapid7.com/docs/DOC-1875

https://forums.unrealircd.org/viewtopic.php?t=6562

https://github.com /rapid7/metasploit-framework/

*原文: infoseinstitute Felix が編集、FreeBuf Hackers and Geeks (FreeBuf.COM) から転載する場合はその旨を明記してください