En las primeras publicaciones de este blog se realizarán pruebas controladas en laboratorios ya creados para la misma, estas serán muy sencillas, utilizadas para abrir boca, porque son muy sencillas de realizar y de emular, y para mostrar conceptos nos serán de gran utilidad.
Empezaremos con la creación de un troyano que generaremos con la ayuda de Metasploit, con esta prueba de concepto quiero demostrar que tenemos la obligación de saber qué es lo que estamos ejecutando, su lugar de procedencia, ect, porque si no, alguien no deseado podría realizar la siguiente acción, por lo que si el antivirus lanza una alerta, deberemos como poco de hacerle el caso que se merece, si a la hora de realizar una descarga y el buscador nos lanza una advertencia indicando que lo que se está descargando puede ser perjudicial para el equipo, no lo descarguemos, el mejor remedio es la prevención y el sentido común.
En esta prueba de concepto la vulnerabilidad que se explota es la propia ignorancia o ingenuidad del usuario, es decir, utilizaremos la ingeniería social
Antes de empezar quiero indicar que Security Twins no se hace responsable del uso que se le dé a esta documentación esta solo tiene una función didáctica.
Entorno
Esta herramienta se ha ejecutado en el sistema operativo Kali Linux como máquina atacante, hacia una máquina victima con Windows 10
Descripción
Con este exploit podremos realizar una conexión remota desde nuestra máquina atacante hacia la máquina víctima sin que esta se percate de esto, pero para llevar esto a cabo tendremos que generar una puerta trasera que será la que utilizará este exploit junto a su payload para establecer conexión.
Antes de comenzar
Antes de realizar la intrusión tendremos que generar el backdoor y para esto Metasploit tiene un editor para realizar esta operación denominado msfvenom.
A continuación, explicaré las partes:
- p: Se refiere al tipo, este es de tipo payload, es la parte maliciosa del exploit ya que se encargará de inyectar el código malicioso para poder establecer la conexión entre la máquina víctima con el atacante.
- Windows/meterpreter/reverse_tcp: Este es el payload que llevará la acción y configuraremos los parámetros LHOST y LPORT.
- LHOST: Aquí introduciremos la dirección IP de la máquina atacante, es decir el de nuestro Kali Linux, porque estará a la escucha, hasta que lo llamemos con el Metasploit.
- LPORT: Este es el puerto que utilizaremos para establecer la conexión, da igual cual utilicemos, deberá estar abierto, se utiliza el 4444 por que es el que utiliza el servicio de kerberos.
- e: Este parámetro sirve para poder añadirle el encoders, hay muchos tipos, yo he escogido x86/shikata_ga_nai y servirá para poder burlar al antivirus y cortafuegos, si están actualizados, puede que se encuentren en sus bases de datos y nos impedirán la conexión.
- -i: Itinerancia
- -f: Con este parámetro le otorgaremos la extensión a nuestro ejecutable
Por último, indicaremos donde queremos que se genere el archivo
Ahora vamos a tirar de ingeniería social para poder engañar al usuario y que crea que esto no es un ejecutable malicioso si no que este es una actualización de Windows 10, para hacer esto vamos a pasar este archivo de un .exe a un .msi y para realizar esta operación utilizaremos la herramienta MSI Wrapper.
Esta herramienta se puede descargar a través del siguiente enlace: http://www.exemsi.com/download.
Para realizar esta operación pasaré el ejecutable a mi Windows 10, que es la máquina que hace de anfitrión, y que es el lugar donde tengo instalada la herramienta mencionada con anterioridad para realizar esta operación además desactivaré el antivirus porque si no lo pillará y lo borrará.
Ahora utilizaremos MSI Wrapper para empezar con la transformación.
Ahora en la siguiente imagen le añadiremos un código de identificación exclusivamente para él y un código de creación.
Cuando lleguemos a la parte de Introducción del nombre, creador, versión, comentarios e iconos, este traerá información que no concordará con el desarrallador real del producto por lo que los modificaremos manualmente
Ahora nos iremos a la siguiente página web donde nos dirá dentro de una lista de 35 antivirus quienes de estos son capaces de detectarlos.
La web es https://nodistribute.com/
Escáner del ejecutable .exe
Escaner de .msi
Como se puede observar en las imágenes la diferencia es enorme, el hecho de convertir nuestro .exe a .msi provoca que los antivirus lo tengan mucho más difícil para localizar nuestra backdoor.
Ahora utilizaremos Metasploit para establecer conexión con nuestra Backdoor y poder introducirnos en la máquina objetivo.
Este exploit a diferencia de otros no necesita de configuración por que simplemente se queda a la escucha, pero si necesitará de un payload para establecer la conexión.
A este payload le pasaremos con LHOST la dirección de nuestra máquina atacante, otra dirección daría error y con LPORT le pasaremos un puerto, que será el que se utilizará para establecer la conexión.
Ahora introduciremos la dirección IP anteriormente mencionada y introduciremos exploit para que este, esté a la escucha y en el momento que la víctima ejecute nuestro .msi se establecerá la conexión.
Como se podrá observar en la siguiente imagen la víctima a ejecutado el archivo que nosotros utilizando ingeniería social le hemos pasado.
A continuación, se mostrará una imagen donde se establece conexión con la víctima porque ya ha ejecutado nuestra Backdoor y podremos empezar a trabajar, por ejemplo viendo información sobre su equipo.
Como se puede observar en la última imagen, desde el equipo atacante tenemos acceso a la máquina objetivo(victima), pudiendo realizar cualquier tipo de acción sobre la misma, por lo que me reitero en lo dicho con anterioridad.
Utilizad la cabeza y el sentido común, son las mejores herramientas de prevención que existen.
Pronto subiremos más ejemplos de concepto como este, hasta el próximo post.
Sed buenos.