반응형

setoolkit을 이용하여 악성코드(트로이 목마)를 pdf파일에 심어 스팸 메일을 보내 보고자 한다.

앞서 vi나 gedit 등등을 이용하여 아래 경로에 있는 값 중 SENDMAIL을 ON으로 변경시킨다.



우선 setoolkit를 터미널에 입력하여 들어간 후 1번 Social-Engineering Attacks를 선택한다.



그 후 Spear-Phishing Attack Vectors를 선택한다.




이후 Perform a Mass Email Attack를 선택한다.


이번에는 13번째에 있는 Adobe PDF Embedded EXE Social Engineering을 선택한다.

이를 통해 우리는 pdf파일에 exe파일을 숨겨 보낼 것이다.


그 다음으로 기존에 있던 pdf파일을 선택할지 빈 pdf파일을 선택할지 선택한다.

우리는 연습용 이므로 빈 pdf파일을 선택하기로 한다.


따라서 2번인 Use build-in BLANK for attack를 선택한다.



이 화면에서는 2번을 선택한다.

2번의 의미는 Reverse_TCP로 악성코드가 담긴 파일을 여는 대상이 나에게 통신 요청을 하도록 하는 것이다.

여기서 공격자인 내가 피해자에게 통신을 요청할 수 없기에 피해가가 공격자에게 통신을 요청하도록 한다.



이제 피해자가 공격자에게 통신을 요청하기 위해 나의 IP와 포트번호를 입력해준다.



모든 과정 이후 메일을 보낼지 묻는 과정이다.

yes를 입력한다.

그 후 2번을 선택하여 메일에 동봉될 파일 이름을 설정한다.


이번 화면에서는 한사람에게만 메일을 보내기 위해 1번을 선택하고


그다음에는 2. One-Time Use Email Template를 선택한다.


그리고 이메일 제목을 만들어주고(linuxgogo) p를 선택하고 메일 내용에는 대충 적어둔다.(jhello world)

그리고 마지막에 메일을 받을 대상을 지정한다.





이제 메일을 확인하면 다음과 같은 메일이 와있을 것이고 실행하면 피해자의 컴퓨터에서는 아무 이상이 없고 파일만 열릴 것이다.






하지만 공격자의 화면을 보면 다음과 같이 나타나있게 된다.

즉, 피해자가 연결 요청을 한 상태가 되었다는 것이다.




이때 sessions -l을 이용하여 연결이 된 리스트를 확인 할 수 있다.





이제 sessions -i 1을 통해 1번 호스트와 연결을 해볼 수 있다.

(현재 하나의 pc에서 linux.pdf를 열었기에 세션은 하나뿐이다.)




연결이 된 과정을 나타내고 있고 이제 여기서 다양한 명령어를 통해 해당 피해자의 pc에 접근 할 수 있다.







반응형