BlogNmap

Hackea como un profesional Creando un canal encubierto virtualmente indetectable con RECUB

¡Bienvenidos de nuevo, mis hackers en ciernes!

Hemos pasado mucho tiempo aprendiendo a comprometer los sistemas Windows y los hemos comprometido con éxito con Metasploit, hemos descifrado sus contraseñas y pirateado su Wi-Fi. Sin embargo, se dedicó muy poco tiempo a desarrollar formas de extraer la información del sistema una vez dentro.

Obviamente, si comprometemos un sistema, es probable que busquemos algunos datos en su interior. Si es así, necesitamos una forma de sacar los datos sin ser detectados. En la mayoría de los sistemas, es probable que haya un IDS o IPS en busca de paquetes maliciosos, tanto dentro como fuera. Además, un administrador de seguridad atento se dará cuenta cuando se abre un nuevo puerto o servicio.

Idealmente, el mejor método para extraer datos sería indetectable por parte del administrador del sistema u otros, por lo que no pueden cerrar nuestra ruta de extracción. Como una exfiltración a menudo puede llevar horas, días o semanas, necesitamos un canal encubierto que los dispositivos de seguridad o el administrador de seguridad no puedan detectar.

Cómo permanecer sin ser detectado al extraer datos

En este tutorial, te mostraré una herramienta llamada RECUPERAR que creará un canal encubierto en un sistema Windows o Linux que es virtualmente indetectable por un sistema de detección de intrusos, escaneo de nmap o incluso las herramientas del sistema operativo en sí.

Una descripción rápida de RECUB

Microsoft describe RECUB de esta manera en su sitio web:

“Esta amenaza se clasifica como un troyano de puerta trasera. Un troyano de puerta trasera proporciona acceso remoto, generalmente subrepticio, a los sistemas afectados. Un troyano de puerta trasera puede usarse para realizar ataques distribuidos de denegación de servicio (DDoS), o puede usarse para instalar troyanos adicionales u otras formas de software malintencionado “.

“Por ejemplo, podría usarse para instalar un troyano descargador o dropper, que a su vez puede instalar un troyano proxy que se usa para transmitir spam o un troyano keylogger que monitorea y envía las pulsaciones de teclado a atacantes remotos. También podría abrir puertos en el sistema afectado y por lo tanto conducir potencialmente a un mayor compromiso por parte de otros atacantes “.

“Esta amenaza es detectada por el motor antivirus de Microsoft. Los detalles técnicos no están disponibles actualmente”.

Paso 1: Descarga RECUB

Puede descargar RECUB aquí. RECUB tiene una arquitectura cliente / servidor, por lo que deberá colocar el servidor en el objetivo y el cliente en nuestro sistema de ataque.

Paso 2: Instale el servidor RECUB en el sistema de destino

Instálelo en el servidor RECUB haciendo clic en RecubSvr.

El servidor se ejecutará silenciosamente en segundo plano hasta que el cliente lo despierte.

Paso 3: instale el cliente RECUB en su sistema de ataque

Ahora instale RecubClient.exe en el sistema de ataque y ejecútelo como administrador. Debería tener una interfaz gráfica de usuario como la que se muestra a continuación.

Ahora, ingrese la dirección IP y el puerto en el que desea que RECUB se comunique. He usado el puerto 31337, pero puedes usar cualquier puerto. La contraseña es 123 y no se puede cambiar sin volver a compilar RECUB, así que no la cambiemos.

Paso 4: envíe el ICMP cifrado

Para activar el servidor, RECUB usa un paquete ICMP encriptado. Haga clic en el botón “Enviar Ping Act.” Y enviará el ping que activa el servidor en el objetivo.

El servidor RECUB interceptará el paquete, lo descifrará y volverá a conectarse con el cliente. ¡Esto abrirá un shell de comandos en el sistema cliente que le da el control del sistema de destino!

Mejor aún, podríamos usar el puerto HTTPS 443, por lo que para el administrador de seguridad aparecerá el tráfico HTTPS normal.

Paso 5: prueba si Snort puede detectarlo

Ahora que tenemos un canal encubierto que se ejecuta entre estos sistemas, usemos un IDS como Snort para ver si puede detectar el tráfico. Usemos Snort en nuestro sistema Kali o BackTrack para rastrear el tráfico entre estas dos máquinas y ver si activa una alerta.

Como puede ver, este canal encubierto es totalmente invisible para Snort y no activa ninguna alerta.

Paso 6: Pruebe si Nmap puede detectarlo en Open Port & Service

A continuación, como nuestro canal encubierto para la exfiltración de datos puede necesitar estar abierto durante días o semanas, es importante que un administrador de seguridad atento no pueda detectarlo.

Algunos de los administradores de seguridad mejores y más atentos realizarán un escaneo periódico de los puertos y servicios abiertos en sus redes. De esta manera, pueden ver si un sistema o red se ha visto comprometido.

En muchos de nuestros exploits, hemos abierto un canal de comunicación entre nuestro sistema de control y el sistema de la víctima. Si el administrador del sistema escanea el sistema mientras está en su lugar, verá un puerto abierto no autorizado. Esto conducirá a su acción que probablemente cerrará esa disponibilidad.

Ahora, hagamos un escaneo nmap del sistema con el servidor RECUB y veamos si podemos detectar el canal encubierto. En el siguiente comando, -S t buscar puertos TCP, -sU busca puertos UDP, y -p0-65535 le dice a nmap que escanee todos los puertos.

  • nmap -sT -sU -p0-65535 10.59.27.89

Como puede ver, nmap no detecta puertos inusuales abiertos en el sistema con el servidor RECUB.

Paso 7: pruebe si el proceso de RECUBRIMIENTO es visible

El canal encubierto RECUB es casi indetectable, ¡incluso por el propio sistema operativo! Una de las herramientas que tenemos para ver nuestros servicios en ejecución es el Administrador de tareas. Abramos el Administrador de tareas y veamos si muestra el proceso RecubSvr.exe.

Como puede ver, ¡ni siquiera el sistema operativo por sí mismo puede detectar el servicio!

RECUB es una de las muchas herramientas que colocamos en el sistema de la víctima que nos permitirá controlar el sistema de la víctima y eliminar los datos que estamos buscando. Es en gran parte indetectable por el IDS, nmap o el propio sistema operativo. Algunas herramientas de terceros pueden detectarlo, pero la mayoría de los administradores de seguridad nunca mirarán tan profundamente para detectar un canal de conversión en la víctima y mientras tanto podemos estar eliminando datos silenciosamente sin detección o interrupción.

Ojo de hacker imagen a través de Shutterstock

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar