Deployment and Expansion

Watering Hole 공격 실습

 

· 피해자 터미널에서, 취약한 버전의 Firefox 설치

다운로드

압축 및 묶음 해제

 

* MOZ_DISABLE_CONTENT_SANDBOX: Firefox 샌드박스 보호 기능 비활성화

Firefox 브라우저 실행

피해자 터미널

 

· 공격자 터미널에서, Metasploit Framework를 이용한 공격 수행

 

· 피해자 터미널에서, 공격자의 웹 사이트 접속

 

· 피해자의 브라우저가 Exploit 되고, 공격자의 AGENT 코드 실행 중

 

· 공격자 터미널 화면

명령(예: pwd) 실행 및 결과 확인

 

Windows 패스워드 크랙 실습

 

· 실습 환경

- 공격자: Linux

- 피해자: Windows

 

· 피해자 시스템(Windows)에서, 해시 덤프 툴(PwDump7.exe)을 이용하여 NTLM 해시 덤프

- 관리자 권한으로 'cmd' 실행 후, 아래 명령을 통해 Windows 패스워드 해시 값 덤프

PwDump7.exe > ntlm_hash.txt

ntlm_hash.txt 파일 생성

공격자 시스템(Linux)으로

 

· 공격자 시스템(Linux)에서, 덤프한 해시 값을 크래킹

- 패스워드 크래킹 도구(John the ripper)에서 사용할 사전(Dictionary) 파일 다운로드

다운로드

압축 해제

rockyou.txt

 

· John the ripper 도구를 이용하여 Windows 패스워드 크래킹 

 

- 크랙 결과: ID → user / PW: user1234

 

WMI 원격 명령 실행

 

· 실습 환경

- 공격자

→ WMI 도구 실행: Windows (호스트 PC) *호스트 Windows의 실시간 바이러스 탐지 기능 비활성화 시킬 것.

→ AGENT 생성 및 웹서버 실행: Linux (Kali VM)

- 피해자: Windows (Win7, Virtual Machine)

 

· 공격자의 리눅스(Kali)에서, 피해자 Windows에서 실행시킬 AGENT 생성

lhost = "칼리 리눅스 ip"

 

· 공격자의 Kali Linux에서, 웹 서버 실행

- 공격 대상 Windows (VM)는 해당 웹 서버에서 "agent_x64.exe" 다운로드

 

·  공격자의 호스트 Windows에서, wmic.exe 도구를 이용하여 공격 대상 Windows에 agent_x64.exe를 다운로드하는 명령 실행

 

※ Win7에서 인터넷 연결이 안 되는 관계로 추후 추가 작성 예정