모의해킹용 툴 메타스플로잇

Win XP 에서 ms08_067 을 이용한 익스플로잇 시, 윈도우 에서 공격자는

svchost.exe 라는 프로세스로 메모리에 상주한다.

여기서 svchost란,

서비스를 관리하는 프로그램이다.

ms08_067 은 parsing flaw 취약점이다. (NetAPI32.dll 사용)

그래서 서비스를 관리하는 svchost.exe에 붙어 메모리에 상주하는 것이며,

만약 다른 프로세스로 붙어버릴 경우 권한도 변경된다.

(XP 구조상)

upload [file_in_backtrack] [file_path_in_window]

--> 파일 업로드

파일이 생성된 날짜 변경. (포렌식 감지 변경)

meterpreter> timestomp nc.exe -v

--> 파일이 생성된 날짜 보기

meterpreter> timestomp nc.exe -c "11/03/2009 20:34:45"

-c : 만들어진 시간

-m : 수정된 시간

-a : 액세스된 시간 (실행한 시간)

-f : 특정 파일과 생성 시간을 똑같이 맞춤.

(Ex. timestomp nc.exe -f c:\\windows\\system32\\cmd.exe

cmd.exe 와 같은 생성시간, 실행시간, 수정시간을 가짐)

MFT : Master File Table (포렌식에서 자주 쓰임)

또한, 실행프로그램 실행시 pf (prefetch) 파일이 남는데, 이 파일이 남아있으면 포렌식 시 로그가 남음.

Prefetch란, 말 그대로 미리 불러오는 것을 말하지요,

WindowsXP

아래 내용 출처 : http://qaos.com/viewtopic.php?topic=1478&forum=3

Prefetch란, 말그대로 미리 불러오는 것을 말하지요.
WindowsXP에 기본으로 포함되어 있는 기능이구요,
    작동 방식은, 같은 프로그램을 여러 번(약8회) 실행할 때 PF 파일이 생성되며, 그 다음번 실행 때는 이 파일을 이용해서 중복되었던 부분을 PF 파일에서 가져와서 더 빨리 시작되도록 하는 것이지요.
    제가 알기론 운영체제파일 또는 일반프로그램파일들이 모두 여기에 해당하며 레지스트리를 통해서 옵션을 조절할 수 있습니다.

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters\EnablePrefetcher 부분을 다음 중에서 원하는 옵션으로 변>경하시면 됩니다.

    0-Disable
    1-App launch prefetch (일반프로그램파일만)
    2-Boot Prefetch (운영체제부팅파일만)
    3-Both (둘다. 기본값.)

    재밌는건, 이 PF파일들의 이름뒤에 매번 다른 해쉬코드가 붙게 되는데, 유일하게 운영체제 부트커널파일만 항상 B00DFAAD라는 코드가 붙는답니다. 모음 배열을 조금만 바꾸면 BAADF00D가 되지요. JunkFood와 마찬가지로 불량식품, 상한음식이란 뜻이 되므로.. 개발자들의 장난이 아니냐는 얘기가 있답니다. (출처: http://www.pcquest.com/content/technology/102041001.asp)

window에서 key sniff

meterpreter> run /post/windows/capture/keylog_recorder

그 후, /root/.msf4/loot 경로에 2015~ 형태로 txt 파일이 생성됨.

키 로그가 나옴.