Persistencia de Windows usando Netsh

  • 3 Respuestas
  • 440 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado AXCESS

  • *
  • Moderador Global
  • Mensajes: 806
  • Actividad:
    100%
  • Country: 00
  • Reputación 15
    • Ver Perfil
    • Email

Persistencia de Windows usando Netsh

  • en: Abril 19, 2020, 08:26:54 pm
You are not allowed to view links. Register or Login

Me he topado con este artículo, en el cual se hace uso de la herramienta de línea de comandos Netsh, de manera muy creativa.
Espero que lo disfruten y les resulte atractivo.

Netsh:
Es una utilidad de línea de comandos que ofrece varias opciones para la configuración de una red.
Entre las principales opciones que se pueden realizar, están la posibilidad de ver, modificar, administrar y diagnosticar la configuración de una red.
Netsh se encuentra disponible en Windows (Windows 2000, Windows Server 2003, Windows XP Profesional, Windows 7, Windows Server 2008, Windows 8, Windows 10 y Windows Server 2012)
Fuente: You are not allowed to view links. Register or Login

-----------------------------------------------------------------------------------------------------------------
En este artículo, vamos a describir la capacidad del proceso de Netsh para proporcionar acceso persistente a la máquina de destino.

Tabla de contenidos

     Introducción
     Configuraciones utilizadas en la demostración
     Crafting Payload
     Transferencia de carga útil
     Registro de Twerking
     Configuración del oyente y ganancia de persistencia
     Detección
     Mitigación

Introducción

Netsh es una utilidad de secuencias de comandos de línea de comandos que le permite, local o remotamente, mostrar o modificar la configuración de red de una computadora que se está ejecutando actualmente. Netsh también proporciona una función de secuencias de comandos que le permite ejecutar un grupo de comandos en modo por lotes en una computadora específica. Netsh también puede guardar un script de configuración en un archivo de texto para fines de archivo o para ayudarlo a configurar otros servidores.

Netsh contiene funcionalidades para agregar archivos DLL auxiliares para extender la funcionalidad de la utilidad. Las rutas a las DLL auxiliares netsh.exe registradas se ingresan en el Registro de Windows en HKLM \ SOFTWARE \ Microsoft \ Netsh.

Antes de pasar a ganar persistencia en el sistema, tenga en cuenta que ya hemos comprometido el sistema utilizando métodos bien conocidos.

Configuraciones utilizadas en la demostración

Agresor:

     SO: Kali Linux 2020.1
     IP: 168.1.112

Objetivo:

     SO: Windows 10
     IP: 168.1.104

Creando el Payload

De la Introducción, está claro que el ayudante de Netsh puede ejecutar archivos DLL. Entonces, si estamos planeando usar el netsh para comprometer la máquina de destino y obtener un shell de persistencia, necesitaremos un archivo DLL malicioso. Utilizamos el msfvenom para crear la carga útil. El sistema que comprometimos con otros métodos fue una versión de x64 bits. Esto es más fácil de encontrar para el comando systeminfo.

You are not allowed to view links. Register or Login

Transferencia del Payload

Como ya tenemos un medidor de precisión en el sistema de destino, necesitamos transferir la carga útil que diseñamos a la máquina de destino. Estamos transfiriendo la carga útil al directorio System32 ya que casi todos los archivos DLL están almacenados allí. Esta es simplemente una forma de esconderse a simple vista, pero requiere los privilegios elevados en la máquina de destino. Podemos almacenar el archivo DLL malicioso en alguna otra ubicación y todo lo que necesitaremos es twerk la ubicación del archivo mientras lo agregamos en el registro. Volver a la transferencia de la carga útil. Utilizamos el comando de carga del meterpreter para la transferencia.

You are not allowed to view links. Register or Login

Registro de Twerking

Hemos transferido con éxito la carga útil a la máquina de destino. Ahora tenemos que abrir el shell de Windows y hacer cambios en el registro para incluir el nombre del archivo en Ejecutar y usar el comando agregar ayuda para cargar la DLL en el sistema.

You are not allowed to view links. Register or Login

Configuración del oyente y ganancia de persistencia


Antes de pasar al sistema de destino, creamos un oyente multi-manejador con algunas configuraciones que usamos al diseñar la carga útil y lo mantuvimos listo para cuando la carga útil se ejecute en la máquina de destino, lo que da como resultado un shell de persistencia.

You are not allowed to view links. Register or Login

El shell se generó en la instancia de netsh en muy poco tiempo. Echemos un vistazo a los cambios que realizamos en el registro para obtener esta persistencia.

Detección

Creamos una clave en Run Hive con el nombre "raj" que contiene la ubicación del ejecutable netsh. Esto ejecutará el servicio netsh en la máquina de destino. Como netsh es un servicio bastante común en el servidor o entorno de trabajo utilizado por el administrador del sistema, nunca sospecha su entrada en la ejecución.

You are not allowed to view links. Register or Login

Ahora nos movemos a otra ubicación en el registro. Cuando ejecutamos el comando add helper en el netsh, se crea una clave de registro con el mismo nombre que la DLL. Esto se puede ver en esta ubicación en el registro.

You are not allowed to view links. Register or Login

Mitigación

     Ocasionalmente escanee el registro en las siguientes ubicaciones:
         Computadora \ HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
         Computadora \ HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ NetSh

 Estén atento a los cambios de registro realizados con cualquier tipo de shell (WMIC, símbolo del sistema, PowerShell)

Eso es todo por la persistencia netsh.
Ningún servicio es seguro.
Estén atento a todo tipo de servicios, incluso aquellos que parecen inofensivos.

Author: Pavandeep Singh
You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

Conectado DtxdF

  • *
  • Moderador Global
  • Mensajes: 778
  • Actividad:
    100%
  • Reputación 16
  • Eres un auto y tienes dos opciones: Parar o Seguir
    • Ver Perfil
    • Mi repositorio de Github donde encontraras herramientas para tu trabajo.
    • Email

Re:Persistencia de Windows usando Netsh

  • en: Abril 19, 2020, 09:02:53 pm
Bellísimo artículo AXCESS  ;D

~ DtxdF
Los seres humanos son robots, cuyo combustible es el afanado dinero.

Desconectado AXCESS

  • *
  • Moderador Global
  • Mensajes: 806
  • Actividad:
    100%
  • Country: 00
  • Reputación 15
    • Ver Perfil
    • Email

Re:Persistencia de Windows usando Netsh

  • en: Abril 19, 2020, 10:07:56 pm
Muchas gracias!!

Me pareció muy interesante el modo de usar el Netsh.

Gracias.
You are not allowed to view links. Register or Login

Desconectado Kirari

  • *
  • Moderator
  • Mensajes: 191
  • Actividad:
    100%
  • Country: ru
  • Reputación 11
  • No dejes que el mundo te corrompa
    • Ver Perfil
    • Baúl para el público

Re:Persistencia de Windows usando Netsh

  • en: Abril 19, 2020, 11:50:54 pm
Muy interesante el post  :D  Ahora lo probaré!

Saludos!
-Kirari
Jamás te contarán la verdadera versión, siempre te dirán la suya... Por eso... Si quieres saber la verdad, debes buscarla tú mismo...

 

Recreator-Backdoor - Linux And Windows Backdoor

Iniciado por AngelSecurityTeam

Respuestas: 0
Vistas: 646
Último mensaje Octubre 26, 2019, 09:07:28 pm
por AngelSecurityTeam
Sniffer para windows "RawCap"

Iniciado por s747ik

Respuestas: 1
Vistas: 4292
Último mensaje Junio 12, 2011, 04:08:03 pm
por staRgan
Shell inversa "Cifrada" segunda parte (Windows)

Iniciado por d3adly

Respuestas: 4
Vistas: 240
Último mensaje Julio 05, 2020, 10:54:50 pm
por d3adly
Accediendo a Windows XP desde BackTrack 5 utilizando Metasploit

Iniciado por Stiuvert

Respuestas: 1
Vistas: 3858
Último mensaje Abril 04, 2012, 09:08:53 am
por REC
Aplicación para enviar comandos a pc remota (Windows)

Iniciado por fermino

Respuestas: 6
Vistas: 6793
Último mensaje Noviembre 01, 2013, 08:23:34 pm
por aquelalle