NetCat üzerinden, kullanıcı denetimini yok sayarak tam sistem yetkisiyle hedef makina üzerinde eş zamanlı komut çalıştırılmasını sağlayan araçtır.
Builder: Visual Basic Stub: AutoIT Connector Script: PowerShell
- Çalışacak powershell script'in bağlanacağı adres
- Bağlantı Portu
- Bağlantı Türü Reverse Connection = Tersine bağlantıdır, siz hedef makinaya değil; hedef makina size bağlanır. Bind Connection = Hedef makina girilen port'u dinlemeye alır ve siz hedef makinaya bağlanırsınız.
- Kullanıcı Denetiminin(UAC) bypasslanmasında kullanılacak method türü
- Hedef Sistemde çalıştırılacak olan exe nin yapısı
- "Keylogger" yani klavyede basılacak tuşların dinlenmesini sağlayan fonksiyonun seçimi
"ConnectorClient.exe" ile öncelikle kontrolü sağlayacak makinanın ip ve port bilgilerini girmek gerekmektedir.Girilen bu bilgiler stub üzerine yazılacak, ve açıldığında bu ip ve port bilgilerine netcat üzerinden bağlantı gönderecektir.
- Not: Oluşturulan exe yi hedef sistemde çalıştırmadan önce NetCat ile girilen port'u dinlemeye almamız gerekmektedir.
Bunun için;
$ Nc -lvp 443
Komutu kullanılır. Hedef sistemden gelen ve komut çalıştırılmaya hazır konsol ekranı aşağıdaki gibidir.
- Builder esnasında Keylogger aktifleştirilmiş ise, bağlantı aldıktan sonra "Start-KeyLogger" komutu ile klavye dinlemesi aktif hale getirilir. O andan itibaren basılan tüm tuşlar %TEMP% dizini altında keylogger.txt adıyla kaydedilecektir.
Stub dosyasının ilk açıldığında yaptığı işlev örneği alttaki gibidir;
If MeAdmin? = YES Then
PowerShell Connect scriptini çalıştır
Else
Beni admin yap
End IFProje tüm haliyle açık kaynaktır. Yeniden düzenlenip derlenmesi için Stub'ın AutoIT ile compile edilmesi gerekmektedir. AutoIT kurulum & derleme için web sitemizden bilgi edinebilirsiniz; Zararlı Yazılım (Malware) Geliştirmeye Giriş
- x86-32/x64 Windows 7/8/8.1/10
- Windows PowerShell v1.0