Χρησιμοποιήστε Keylogger στο Metasploit Framework

Μερικές φορές ένας pentester μπορεί να έχει απομακρυσμένη πρόσβαση στο μηχάνημα ενός χρήστη, αλλά μπορεί να μην έχει τον κωδικό πρόσβασης του χρήστη. Ίσως ο χρήστης έχει έναν πολύ μεγάλο σύνθετο κωδικό πρόσβασης που θα χρειαζόταν πολύ χρόνο για να σπάσει.

Το Meterpreter στο Metasploit Framework έχει πολύ μεγάλη χρησιμότητα για τη λήψη όσων πληκτρολογούν σε ένα απομακρυσμένο μηχάνημα. Θα ξεκινήσουμε με ένα σύστημα στο οποίο έχουμε ήδη εκτελέσει ένα exploit και καταφέραμε να δημιουργήσουμε μια απομακρυσμένη συνεδρία (session) με το Metasploit. Συνδεθήκαμε στο session με το session command και τώρα βρισκόμαστε στη γραμμή εντολών Meterpreter.

Θα ξεκινήσουμε με ένα σύστημα στο οποίο έχουμε ήδη εκτελέσει ένα exploit και καταφέραμε να δημιουργήσουμε ένα απομακρυσμένο session με το Metasploit. Συνδεθήκαμε στο session με την εντολή ” session -i <ID #> ” και τώρα βρισκόμαστε σε μια γραμμή εντολών Meterpreter.

Έχουμε ήδη δει, πόσο εύκολο είναι να κάνετε hack σε ένα Windows μηχάνημα με τη βοήθεια του Metasploit Framework. Μόλις λάβετε ένα session, μπορείτε εύκολα να χρησιμοποιήσετε την ενσωματωμένη μονάδα keylogger για να κατασκοπεύσετε τους χρήστες.

Μόλις μπείτε στο session, πληκτρολογήστε “sysinfo” για να δείτε τις πληροφορίες του λειτουργικού του στόχου.

Μετά από αυτό πληκτρολογήστε “ps” στο τερματικό σας, για να δείτε όλες τις τρέχουσες διεργασίες στο windows machine που έχετε στο Metasploit.

Εδώ στο παραπάνω στιγμιότυπο οθόνης, μπορείτε να δείτε ότι το αναγνωριστικό της διεργασίας explorer.exe είναι το 772 το οποίο χρειαζόμαστε πριν να ξεκινήσουμε την ενότητα με το keylogger.

Για να ελέγξετε το τρέχον αναγνωριστικό διεργασίας όπου θα εισάγετε το payload σας, πληκτρολογήστε “getpid” στην ίδια κονσόλα. Τώρα πληκτρολογήστε “migrate <PID> ” για μετεγκατάσταση της διεργασίας από το τρέχον PID στο Explorer.exe PID.

Ας προχωρήσουμε λοιπόν και να δούμε πώς φαίνεται όταν ξεκινάμε ένα απομακρυσμένο keylogger. Θα δούμε τα captured key strokes. Απλώς πληκτρολογήστε “keyscan_start” για να ξεκινήσετε την απομακρυσμένη καταγραφή.

Τώρα πρέπει απλώς να περιμένουμε έως ότου το θύμα μας πληκτρολογήσει κάτι στο πληκτρολόγιο. Για παράδειγμα, προχωρήστε και ανοίξτε το πρόγραμμα περιήγησής σας στα Windows και προσπαθήστε να συνδεθείτε στον λογαριασμό σας στο Facebook.

Τώρα επιστρέψτε στο Kali και για να δείτε τι πληκτρολογήθηκε, απλώς πληκτρολογήστε “keyscan_dump“

Και για να σταματήσετε τον keylogger, μπορείτε να χρησιμοποιήσετε την εντολή “keyscan_stop“.

Αυτοματοποίηση σάρωσης κλειδιών με το Lockout Keylogger

Τώρα, θα ήταν υπέροχο εάν μπορούσαμε να αυτοματοποιήσουμε αυτήν τη διαδικασία. Θέλω να πω, ότι δεν θέλετε πραγματικά να καθίσετε εκεί και να κάνετε παρέα μέχρι ο χρήστης να φύγει από το σύστημά του;

Θα μπορούσατε να κλειδώσετε την επιφάνεια εργασίας του και να τον κάνετε να συνδεθεί ξανά, αλλά αυτό είναι πολύ ύποπτο.

Τι γίνεται αν θα μπορούσατε να βρείτε το Meterpreter αυτόματα και να μετεγκαταστήσετε στη διεργασία winlogon, να σαρώσετε τον χρόνο αδράνειας του υπολογιστή και να θέσετε αυτόματα το σύστημα του χρήστη σε κατάσταση κλειδώματος;

Γνωρίστε το “Lockout_Keylogger“, ένα εκπληκτικό script από τους CG και Mubix. Πρέπει να ξεκινήσετε με μια ενεργή απομακρυσμένη περίοδο λειτουργίας με προνόμια επιπέδου system.

Τώρα απλώς πληκτρολογήστε, “background” για να επιστρέψετε στη συνεδρία και στο μήνυμα του Meterpreter. Πληκτρολογήστε, “use post/windows/capture/lockout_keylogger</strong”.

Ορίστε τον αριθμό περιόδου λειτουργίας στην ενεργή συνεδρία μας (1 στο παράδειγμά μας), οπότε “set session 1“.

Επίσης, ορίστε την τιμή PID σύμφωνα με το παρακάτω στιγμιότυπο οθόνης. Στη συνέχεια, πληκτρολογήστε “exploit“:

Το Lockout_Keylogger βρίσκει αυτόματα τη διεργασία Winlogon και μεταβαίνει σε αυτήν. Στη συνέχεια, το πρόγραμμα αρχίζει να παρακολουθεί το χρόνο αδράνειας του απομακρυσμένου συστήματος.

Σε περίπου 300 δευτερόλεπτα αδράνειας, το Lockout Keylogger προσπαθεί να κλειδώσει την επιφάνεια εργασίας του χρήστη από απόσταση. Μερικές φορές αποτυγχάνει και προσπαθεί να την κλειδώσει ξανά.