Post68 nn

Cuando se realiza un Pentesting a nivel de sistema operativo, lo más relevante es lograr ganar acceso hacia el objetivo en cuestión. Sin embargo en la vida real, gran cantidad de usuarios utiliza algún tipo de  Antivirus, los cuales dificultan el trabajo de payloads  para poder obtener una conexión inversa. 

Existen formas de encodear un payload para hacerlo indetectable a los Antivirus, como por ejemplo inyectar instrucciones en lenguaje ensamblador (si el payload es un EXE). Ofuscar el código antes de ensamblarlo a exe, etc. En esta oportunidad utilizaremos la herramienta Shellter, la cual nos permitirá crear un payload ofuscado, de esta manera realizaremos una prueba  de concepto contra un objetivo con un antivirus actualizado, para verificar que nuestro payload puede evadirlo.

Para descargar Shellter, lo puede hacer desde la página oficial:

https://www.shellterproject.com/Downloads/Shellter/Latest/shellter.zip


Si deseas descargarlo directamente en la consola de Kali lo puedes hacer de la siguiente manera:

wget -U 'Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.8.1.6)'  https://www.shellterproject.com/Downloads/Shellter/Latest/shellter.zip


Para extraer el zip:

unzip shellter.zip


Evadiendo Antivirus con Shellter – Parámetro “Message”


Antes de ejecutar Shellter, debemos añadir la arquitectura de 32 bits, realizar un update e instalar wine32 (todo esto es necesario si es estamos utilizando Kali de 64 bits). Para ello ejecutamos el siguiente comando:

dpkg --add-architecture i386 && apt-get update && apt-get install wine32


Posteriormente lo que haremos será descargar Winrar de 32 bits, ya que a través de Shellter inyectaremos código ensamblador (un Meterpreter) y de esta manera podremos crear un archivo winrar válido con un payload Meterpreter. Para ello descargamos Winrar desde el sitio oficial y lo agregamos a la carpeta de Shellter.

https://www.winrar.es/descargas/52


Una vez realizado todo este proceso, ejecutamos Shellter con el comando:


wine32  shellter.exe


Evadiendo Antivirus con Shellter – Ejecuando Shellter


Seleccionamos el Modo automático “A”, posteriormente nos pedirá el target PE que corresponde al archivo de Winrar (en este caso wrar531es.exe), después esperamos unos minutos y nos aparecerá el mensaje Enable Stealth Mode? , colocamos la letra y.


Evadiendo Antivirus con Shellter – Agregando datos 1.


Evadiendo Antivirus con Shellter – Agregando datos 2.


Luego  seleccionamos la opción L  y después 1 para crear nuestro payload Meterpreter, y agregamos nuestra dirección IP y un puerto el cual servirá para mantenerlo a la escucha. Esto inyectará código máquina dentro del archivo .exe válido (Esto lo pueden hacer con cualquier archivo EXE de 32 bits), posteriormente nuestro archivo con Meterpreter será el mismo (wrar531es.exe ) Después ejecutamos Metasploit y dejamos nuestro handler  a la escucha para recibir conexiones reversas.



Evadiendo Antivirus con Shellter – Preparando conexión reversa.


A través de algún método de Ingeniería Social, le podemos decir a la victima que se instale la últma versión de Winrar (la cual es la que ofuscamos). Una vez  hecho esto se tendrá lo siguiente en el equipo víctima.


Evadiendo Antivirus con Shellter – Equipo victima con winrar( ofuscado)


A continuación verificamos que el antivirus esta corriendo.


Evadiendo Antivirus con Shellter – Nod 32 versión 9 con actualización de Firmas


Evadiendo Antivirus con Shellter – Analizando Winrar Ofuscado con Nod 32


Al ejecutar el archivo se logrará visualizar la instalación de Winrar sin problemas (el Antivirus no detecto, sin embargo podremos al mismo tiempo obtener una shell inversa en la máquina atacante.


Evadiendo Antivirus con Shellter – Ejecutando Winrar Ofuscado


Evadiendo Antivirus con Shellter – shell Meterpreter en Máquina Atacante


El problema de esto es que una vez se termina la instalación la conexión Meterpreter también se termina, para ello necesitamos migrar el proceso para que pueda mantenerse en ejecución, para este proceso necesitamos crear un AutoRunScript en Metasploit, (No profundizaremos en esto, sin embargo les dejare el link para que puedan investigar sobre ello).

https://offensiveinfosec.wordpress.com/tag/autorunscript/




Charly face
Rodrigo Bruno
ha comentado hace 6 meses

Hola! Muy buen turorial! Felicitaciones. Aunque lo probé y Avast lo detecta! Alguna alternativa?

Artículos que te pueden interesar