Статья Insanity Framework. Взлом удаленного ПК с помошью PDF.

Привет всем! В этой статье я рассмотрю способ получения контроля над удаленным ПК под управлением системы Windows 8.1 с помощью довольно нового инструмента – Insanity Framework. В качестве атакующего хоста будет выступать Kali Linux 2016.2. Вектор атаки будет направлен на Adobe Reader, а точнее создание вредоносного файла в формате PDF, запуск которого и позволит получить сессию на удаленном компьютере.

upload_2017-2-4_23-11-23.png


Итак, Insanity Framework – это фреймворк, который, значительно облегчает создание полезной нагрузки, ее маскировку и запуск на атакуемом хосте. Значительный плюс, это возможность обхода большинства антивирусных решений.

Особенности:

· Обход большинства AV и Sandboxes

· Удаленный контроль

· Генерация полезных нагрузок

· Некоторые методы фишинга включены в полезные нагрузки

· Обнаружение виртуальных машин

· Закрепление в системе и другие особенности включены

Зависимости:

· apt

· wine

· python 2.7 in Wine Machine

· pywin32 in Wine Machine

· sudo

· python2.7

Проверено на:

· Kali Linux

· Ubuntu 14.04-16.04 LTS

· Debian 8.5

Начнем с установки фреймворка:

> git clone https://github.com/4w4k3/Insanity-Framework

> cd Insanity-Framework

> ls –a

> chmod +x insanity.py

upload_2017-2-4_23-12-3.png


Затем запустим программу:

> ./insanity.py


upload_2017-2-4_23-12-28.png


Далее следует процесс обновления:

upload_2017-2-4_23-12-50.png


Следующий этап, это процесс установки необходимых программ:

upload_2017-2-4_23-13-5.png


И настройка зависимостей:

upload_2017-2-4_23-13-18.png


После успешной установки видим такой экран:

upload_2017-2-4_23-13-34.png


Рабочее меню приложения выглядит следующим образом:

upload_2017-2-4_23-13-50.png


Начнем процесс создания полезной нагрузки:

upload_2017-2-4_23-14-5.png


Следующим шагом будет создание PDF файла:

upload_2017-2-4_23-14-17.png


В итоге, мы получаем информацию о том, куда сохранен файл и предложение запустить listener:

upload_2017-2-4_23-14-34.png


Запустим listener и перенесем сгенерированный файл на удаленный хост:

upload_2017-2-4_23-14-49.png


Через некоторое время открывается сессия командной строки:

upload_2017-2-4_23-15-4.png


Процессы, порожденные, запуском файла выглядят, таким образом:

upload_2017-2-4_23-15-20.png


В целом все, надеюсь, эта информация будет полезной.
 

ghostphisher

местный
07.12.2016
2 602
3 413
BIT
0
Проект временно закрыт на доработку, потестировать не удалось =\. Но судя по статье - заслуживает внимания.
ПС Я смотрю фреймы становятся все более сильными, актуальными.
 

Pushkinmazila

Green Team
20.11.2016
34
26
BIT
2
Черт да согласен с вышестоящим комментарием(
[doublepost=1486291362,1486291292][/doublepost]Тут самое интересное это создание пол нагрузки у пдф файла а вот эксель мы видели о более совершенный вариант (там формат файла был просто xls)

(Если есть у кого ссылка то скиньте а то я потерял)
 
K

Kareon07

Черт да согласен с вышестоящим комментарием(
[doublepost=1486291362,1486291292][/doublepost]Тут самое интересное это создание пол нагрузки у пдф файла а вот эксель мы видели о более совершенный вариант (там формат файла был просто xls)

(Если есть у кого ссылка то скиньте а то я потерял)

Ссылка на создание xls в серии PowerShell:
https://codeby.net/threads/powershe...kystrike-sozdanie-vredonosnyx-makrosov.58639/

Большой минус такого подхода, что макросы в xls по умолчанию отключены.
В варианте с PDF файлом, на сколько я понял, такой проблемы нет.
 
M

MonMJK

В общем временно закрыли фрэйм, для фиксов багов!
На состояние:05/02/17
 

Pushkinmazila

Green Team
20.11.2016
34
26
BIT
2
Ссылка на создание xls в серии PowerShell:
https://codeby.net/threads/powershe...kystrike-sozdanie-vredonosnyx-makrosov.58639/

Большой минус такого подхода, что макросы в xls по умолчанию отключены.
В варианте с PDF файлом, на сколько я понял, такой проблемы нет.

Черт, жаль тогда бессмысленно (почти)
Но все равно спасибо
 

Pushkinmazila

Green Team
20.11.2016
34
26
BIT
2
Толь я кривой но он не отображает вайл в ПДФ добавляет окончание .scr что распазнает винда и не воспринимает как ПДФ
А при ручной попытке поменять расширение не запускает пдф файл (пдф говорит что он поврежден)
 
Z

Zmeykin

Проект опять открыли. Но баги есть.
З.Ы,
совсем обленились :) Одни фреймы, ничего руцями
 

Pushkinmazila

Green Team
20.11.2016
34
26
BIT
2
У меня у одного он целевая машина не видит что это пдф ?
Он видит что это Insane_AcrobatPDF_.pdf.scr
 
A

aziikk

Добрый день.
Выдает ощибку. Можете помочь

InSaNiTy > 5
Type LHOST: 192.168.1.111
Type LPORT: 4444
wine: cannot find '/root/.wine/drive_c/Python27/python.exe'
Traceback (most recent call last):
File "dammed.py", line 439, in <module>
main()
File "dammed.py", line 421, in main
asker()
File "dammed.py", line 246, in asker
os.rename('dist/new.exe', 'dist/' + name)
OSError: [Errno 2] No such file or directory
 

Pushkinmazila

Green Team
20.11.2016
34
26
BIT
2
Добрый день.
Выдает ощибку. Можете помочь

InSaNiTy > 5
Type LHOST: 192.168.1.111
Type LPORT: 4444
wine: cannot find '/root/.wine/drive_c/Python27/python.exe'
Traceback (most recent call last):
File "dammed.py", line 439, in <module>
main()
File "dammed.py", line 421, in main
asker()
File "dammed.py", line 246, in asker
os.rename('dist/new.exe', 'dist/' + name)
OSError: [Errno 2] No such file or directory
Чет ни то с питоном установи отдельно
 
D

D4rk Sou1

у меня та же самая ошибка. весь день искал по разным форумам, даже к пиндосам заглядывал.....ничего толком не нашел....кто поможет?
Дист Kali 2016.2 чистая...только что поставил...
 

Вложения

  • Screenshot from 2017-02-11 22-09-19.png
    Screenshot from 2017-02-11 22-09-19.png
    161,4 КБ · Просмотры: 490

valerian38

Grey Team
20.07.2016
662
764
BIT
83
у меня та же самая ошибка. весь день искал по разным форумам, даже к пиндосам заглядывал.....ничего толком не нашел....кто поможет?
Дист Kali 2016.2 чистая...только что поставил...
Ну если у тебя Kali чистая, никто ведь за тебя не поставит Wine и Python 2.7. Нужно их установить.
 
  • Нравится
Реакции: 01010w4
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!