BlogEvading AV Software

Hackear como un profesional Cómo evadir el software AV con Shellter

¡Bienvenidos de nuevo, mis tiernos hackers!

Un área clave en la mente de todos los piratas informáticos es cómo evadir dispositivos de seguridad como un sistema de detección de intrusos (IDS) o software antivirus (AV). Esto no es un problema si crea su propio exploit de día cero o captura el día cero de otra persona. Sin embargo, si está utilizando el exploit o la carga útil de otra persona, como uno de Metasploit o Exploit-DB, es probable que los dispositivos de seguridad lo detecten y arruinen toda su diversión.

El software de seguridad funciona en gran medida reconociendo una firma de software malicioso. Si puede cambiar la firma de su malware, carga útil o código de shell, es probable que supere el software antivirus y otros dispositivos de seguridad.

He escrito tutoriales sobre el uso de Veil-Evasion y msfvenom de Metasploit para volver a codificar cargas útiles para superar estos dispositivos, pero ningún método es infalible. Cuantas más opciones tenga para volver a codificar su malware, más posibilidades tendrá de volver a codificar el malware para superar estos dispositivos.

En este tutorial, usaremos Shellter. Desde mi experiencia, ha demostrado ser más eficaz en la recodificación de cargas útiles para superar el software AV que las otras opciones.

Cómo funciona Shellter

Shellter es capaz de volver a codificar cualquier aplicación de Windows independiente nativa de 32 bits. Dado que estamos tratando de evitar la detección de AV, debemos evitar cualquier cosa que pueda parecer sospechosa para el software de AV, como aplicaciones empaquetadas o aplicaciones que tienen más de una sección que contiene código ejecutable.

Shellter es capaz de tomar cualquiera de estas aplicaciones de Windows de 32 bits e incrustar shellcode, ya sea su carga útil personalizada o una disponible en aplicaciones como Metasploit, de una manera que a menudo es indetectable por el software AV. Dado que puede usar cualquier aplicación de 32 bits, puede crear una cantidad casi infinita de firmas, lo que hace que sea casi imposible de detectar para el software AV.

Paso 1: Descargue e instale Shellter

El primer paso, por supuesto, es descargar e instalar Shellter. Lo ejecutaré en un sistema Windows, pero Shellter se puede ejecutar en Kali usando Vino. Me parece que es más rápido y más fácil ejecutar Shellter en su entorno nativo de Windows. Puede descargar Shellter aquí.

Paso 2: Inicie Shellter

Ahora que ha descargado e instalado Shellter, haga clic en el ejecutable en el directorio Shellter. Esto debería iniciar la aplicación Shellter como se muestra a continuación.

Paso 3: mover un binario de Windows al directorio de Shellter

Para probar la eficacia de Shellter a la hora de ocultar la naturaleza de un archivo, utilizaremos un archivo malicioso conocido para el software antivirus. Y eso seria sbd.exe, un clon de Netcat que tiene todas las capacidades de Netcat, pero también tiene la capacidad de cifrar la conexión con AES.

Lo integraremos con una carga útil Meterpreter de Metasploit. En esencia, tomaremos un archivo .exe conocido de 32 bits, lo integraremos con una carga útil conocida de Meterpreter y veremos si el software AV detectará alguno de ellos. Creo que esta es una prueba excelente de las capacidades de Shellter, ya que la detección de cualquiera de ellos activará el software AV. Ambos deberán estar ocultos para evitar el escaneo AV.

Puedes obtener sbd.exe en el directorio de binarios de Windows en Kali en:

kali> cd / usr / share / windows-binaries

kali> ls -l

Dupdo sdb.exe al mismo directorio que Shellter en el sistema Windows para simplificar.

Paso 4: Ejecute Shellter

Ahora volvamos a nuestra aplicación Shellter. Ingresar A (Auto) para el modo de funcionamiento y norte (no) para una actualización de la versión. Como acabamos de descargar la versión actual, no necesitamos actualizar Shellter.

Shellter le pedirá que ingrese el archivo que desea volver a codificar. En nuestro caso, es sbd.exe. Recuerde, solo acepta aplicaciones independientes de 32 bits.

Destino PE: sbd.exe

Si su archivo PE (ejecutable portátil) se encuentra en otro lugar que no sea el directorio Shellter, deberá proporcionar la ruta absoluta aquí. Luego, presione enter y Shellter comienza a trabajar.

Finalmente se detiene y, una vez más, le solicita el tipo de carga útil que desea incrustar en el archivo. Escoger L para “listado”. Luego, seleccione 1 para la carga útil “meterpreter_reverse_tcp”.

A continuación, se le pedirá la IP LHOST (local) y LPORT. Ingrese la IP de la máquina local y cualquier puerto que desee. Luego presione enter.

Paso 5: Incrustar y volver a codificar

Después de unos minutos, Shellter completa la suma de comprobación y la verificación de PE.

Cuando se complete la verificación, ¡su archivo estará listo!

Paso 6: prueba de detección

Ahora que hemos creado el shellcode ofuscado, este es el momento de la verdad. Necesitamos probar para ver si el software AV puede detectarlo.

En este sistema, estoy usando el software Vipre AV. Coloqué el archivo .exe recodificado en una carpeta llamada “Carpeta Exe” en mi escritorio, así que escaneemos solo esa carpeta con Vipre y veamos qué tan bien Shellter ocultó la intención maliciosa de ese archivo.

Este escaneo solo tomó unos segundos y Vipre no detecta ningún archivo malicioso en la carpeta con sbd.exe. ¡Éxito! ¡Nuestro software malicioso no es detectado por ESTE software AV!

Esto, por supuesto, no significa que todo el software antivirus sea incapaz de detectar la naturaleza maliciosa de nuestro archivo. El software AV de diferentes editores utiliza diferentes firmas y métodos de detección. Es posible que algunos puedan detectar la verdadera naturaleza de este archivo, pero la clave es encontrar una técnica de ofuscación que supere el AV en el sistema al que se dirige. Esto puede requerir varios intentos con diferentes archivos, diferentes codificaciones y diferentes cargas útiles. Eventualmente, es probable que encuentre al menos una combinación que funcione.

Los verdaderos piratas informáticos no son más que persistentes.

Paso 7: crear oyente en Kali

Ahora que sabemos que el código de shell malicioso es indetectable por al menos Vipre, podemos enviar el archivo al sistema de destino. Antes de que se ejecute, necesitamos abrir un oyente en nuestro sistema Kali para conectarnos.

Podemos usar el manejador múltiple de Metasploit para este propósito. Comience abriendo msfconsole escribiendo:

kali> msfconsole

Luego, use el exploit de múltiples manejadores y configure la carga útil (windows / meterpreter / reverse_tcp), luego configure el host local (LHOST) y el puerto local (LPORT) al mismo que el incrustado en su aplicación anterior.

Finalmente, escriba explotar y el controlador múltiple “capturará” la conexión de la carga útil cuando se ejecute en el objetivo, abriendo un shell Meterpreter sin que el software AV y el usuario objetivo lo sepan.

Ahora, con un indicador de Meterpreter en el sistema de destino, podemos usar cualquiera de los comandos o scripts de Meterpreter en ese sistema para obtener un control completo.

Shellter es solo una herramienta más para evadir el software AV, pero puede ser la mejor. Ningún método funciona contra todos los sistemas de detección de intrusos y software antivirus, pero este debería estar en su caja de herramientas. Continuaremos explorando las capacidades de Shellter y otro software de evasión AV, ¡así que sigan regresando, mis tiernos hackers!

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar