Persistent Backdoor für Windows 10

Hat man erst mal Zugriff auf ein Windows-System erlangt, so lassen sich darüber auch andere Geräte im Netzwerk erkunden. Was ist aber, wenn die Verbindung plötzlich abbricht? Im diesen Fall vorzubeugen, sollte man über „Persistent Backdoors“ nachdenken und sie in der Phase der Post-Exploitation in den Penetrationstest einbauen. Wie dies mit dem Empire-Framework gelingen kann, zeigt das nachfolgende kurze Video.

In diesem speziellen Fall hat der Angreifer bereits eine Verbindung zum Windows-System (Windows 10) hergestellt. Genau genommen ist es eigentlich umgekehrt – auf dem Opfer-PC wurde ein PowerShell-Skript ausgeführt, dass eine Verbindung zum Angreifer initiiert. Zu diesem Zweck wurde der Stager launcher_bat aus dem Framework genutzt.

Um die Backdoor im Windows 10 zu erstellen, wird das Modul persistent/userland/registry eingesetzt. Wie schon der Name andeutet, wird ein zusätzlicher Eintrag in der Windows-Registry angelegt, der  nach einem Neustart des PC und Login des gleichen Nutzers ein PowerShell-Skript ausführt. Damit wird wieder eine Verbindung zum Angreifer hergestellt.

Das Video zeigt auch, wie mit dem Parameter Cleanup dieser Eintrag wieder gelöscht werden kann. Dazu ist einfach das Modul nochmals auszuführen und vorher die Option Cleanup auf true zu setzen.

Bemerkenswert ist außerdem, dass zum Einrichten der Backdoor keine administrativen Rechte auf dem Windows-System benötigt werden und Windows-Defender keine verdächtigen Aktivitäten erkennt.

Schreibe einen Kommentar