Post121 nn

Cómo subir un backdoor a virus total desde Metasploit


Img 2344
Misael Banales

Introducción


Virustotal es una herramienta que nos permite revisar un archivo para determinar si está infectado por algún tipo de código malicioso. Este sitio contempla las marcas más conocidas de antivirus y nos indica mediante las firmas de detección si el archivo fue reportado.

Metasploit es un framework que nos permite generar archivos, en distintos formatos, que contienen código malicioso, principalmente para generar alguna sesión en reversa.


Funcionamiento de virustotal


Virustotal se maneja por medio de un sitio web, el cual puede revisar archivos, ejecutables e incluso verificar las URL de sitios que sean sospechosos de código malicioso


Pagina principal de virustotal

Una vez que realizamos el análisis del archivo, el sitio nos indicará los resultados dependiendo del número de antivirus que lo hayan detectado. Es importante destacar que a cada archivo se le genera valor Hash con SHA-256 para que en posteriores análisis se maneje por firmas.


Resultados de un escaneo de virustotal

Integración con Metasploit

Metasploit tiene un módulo de post-explotación que permite verificar mediante consola si un archivo contiene código malicioso. El módulo lleva por nombre “Check_malware

Dado que los módulos de post-explotación requieren una sesión previa, el módulo no funcionará si nosotros no tenemos comprometido un equipo con una sesión en reversa.


Vista de Metasploit 

La ruta del módulo es:


 post/multi/gather/check_malware 


Y con el comando show options, veremos que se necesita para operar el módulo.


Opciones del modulo de metasploit


El valor de APIKEY es un valor generado para utilizar la API de Virustotal directamente desde metasploit. Configuraremos la ruta del archivo en el equipo remoto con REMOTEFILE y por último indicaremos la sesión a utilizar con SESSION


Mostrando opciónes del modulo

Otra manera de ejecutar el comando es directamente desde meterpreter:


Comprobando malware desde meterpreter

Cómo es posible apreciar, el archivo contiene código malicioso y es detectado por 22 de 58 antivirus


Comprobando el malware en virustotal




Artículos que te pueden interesar