Metasploit - 악성코드 생성 - 3

지금까지 생성한 악성코드 3개(mal.exe, multi_encoded_mal.exe, multi_encoded_custom_encoded.exe)는 전부 단일

악성코드로써 일종의 백도어라고 할 수 있다. 실제로 해당 파일을 실행하면 가시적으로는 아무것도 실행되지 않기

때문에 사용자가 의심할 수 있다. 따라서 이를 위해서는 트로이 목마 형태의 악성코드가 필요하다.

 

트로이 목마 형태는 정상적인 프로그램이 실행되는 것처럼 보여지지만 실제로는 악성 행위가 동작하는 것으로 이번

실습에서는 원격 연결에 자주 사용되는 "putty.exe" 파일을 이용한다.

 

정상적인 바이너리의 사이즈와 md5 값은 위 사진과 같다.

 

위 사진의 명령어를 이용하여 트로이 목마를 생성한다. 페이로드+인코더를 이용한 뒤 정상 바이너리에 삽입한다.

 

정상 파일과 트로이 목마 파일의 크기와 md5 값을 비교해보면 위 사진과 같다. 사이즈가 약간 증가했지만

사용자가 눈치챌만한 수준은 아니다.

 

실제로 윈도우에서 아이콘 역시 동일하게 보여지기 때문에 사용자는 정상/비정상을 구분할 수 없다.

 

트로이 목마(putty_mal.exe)를 실행하면 정상적인 putty가 실행되고 프로세스 목록에도 해당 파일 이름만

존재하는 것을 볼 수 있다. 따라서 사용자는 이를 정상 파일로 인식하게 된다.

 

그러나 실제로는 악성코드가 실행되어 공격자가 미리 실행한 리스너에 미터프리터 세션이 수립된 것을

볼 수 있다.