(https://i.postimg.cc/hv4FwH2Y/Cyber_Threats.png) (https://postimages.org/)
Me he topado con este artículo, en el cual se hace uso de la herramienta de línea de comandos Netsh, de manera muy creativa.
Espero que lo disfruten y les resulte atractivo.
Netsh:
Es una utilidad de línea de comandos que ofrece varias opciones para la configuración de una red.
Entre las principales opciones que se pueden realizar, están la posibilidad de ver, modificar, administrar y diagnosticar la configuración de una red.
Netsh se encuentra disponible en Windows (Windows 2000, Windows Server 2003, Windows XP Profesional, Windows 7, Windows Server 2008, Windows 8, Windows 10 y Windows Server 2012)
Fuente: https://es.wikipedia.org/wiki/Netsh
-----------------------------------------------------------------------------------------------------------------
En este artículo, vamos a describir la capacidad del proceso de Netsh para proporcionar acceso persistente a la máquina de destino.
Tabla de contenidos
Introducción
Configuraciones utilizadas en la demostración
Crafting Payload
Transferencia de carga útil
Registro de Twerking
Configuración del oyente y ganancia de persistencia
Detección
Mitigación
Introducción
Netsh es una utilidad de secuencias de comandos de línea de comandos que le permite, local o remotamente, mostrar o modificar la configuración de red de una computadora que se está ejecutando actualmente. Netsh también proporciona una función de secuencias de comandos que le permite ejecutar un grupo de comandos en modo por lotes en una computadora específica. Netsh también puede guardar un script de configuración en un archivo de texto para fines de archivo o para ayudarlo a configurar otros servidores.
Netsh contiene funcionalidades para agregar archivos DLL auxiliares para extender la funcionalidad de la utilidad. Las rutas a las DLL auxiliares netsh.exe registradas se ingresan en el Registro de Windows en HKLM \ SOFTWARE \ Microsoft \ Netsh.
Antes de pasar a ganar persistencia en el sistema, tenga en cuenta que ya hemos comprometido el sistema utilizando métodos bien conocidos.
Configuraciones utilizadas en la demostración
Agresor:
SO: Kali Linux 2020.1
IP: 168.1.112
Objetivo:
SO: Windows 10
IP: 168.1.104
Creando el Payload
De la Introducción, está claro que el ayudante de Netsh puede ejecutar archivos DLL. Entonces, si estamos planeando usar el netsh para comprometer la máquina de destino y obtener un shell de persistencia, necesitaremos un archivo DLL malicioso. Utilizamos el msfvenom para crear la carga útil. El sistema que comprometimos con otros métodos fue una versión de x64 bits. Esto es más fácil de encontrar para el comando systeminfo.
(https://i.postimg.cc/jSBCHVpB/A-1.png) (https://postimages.org/)
Transferencia del Payload
Como ya tenemos un medidor de precisión en el sistema de destino, necesitamos transferir la carga útil que diseñamos a la máquina de destino. Estamos transfiriendo la carga útil al directorio System32 ya que casi todos los archivos DLL están almacenados allí. Esta es simplemente una forma de esconderse a simple vista, pero requiere los privilegios elevados en la máquina de destino. Podemos almacenar el archivo DLL malicioso en alguna otra ubicación y todo lo que necesitaremos es twerk la ubicación del archivo mientras lo agregamos en el registro. Volver a la transferencia de la carga útil. Utilizamos el comando de carga del meterpreter para la transferencia.
(https://i.postimg.cc/KYLjQqFj/A-2.png) (https://postimages.org/)
Registro de Twerking
Hemos transferido con éxito la carga útil a la máquina de destino. Ahora tenemos que abrir el shell de Windows y hacer cambios en el registro para incluir el nombre del archivo en Ejecutar y usar el comando agregar ayuda para cargar la DLL en el sistema.
(https://i.postimg.cc/HxgxNws2/A-3.png) (https://postimages.org/)
Configuración del oyente y ganancia de persistencia
Antes de pasar al sistema de destino, creamos un oyente multi-manejador con algunas configuraciones que usamos al diseñar la carga útil y lo mantuvimos listo para cuando la carga útil se ejecute en la máquina de destino, lo que da como resultado un shell de persistencia.
(https://i.postimg.cc/V6W6PJJc/A-4.png) (https://postimages.org/)
El shell se generó en la instancia de netsh en muy poco tiempo. Echemos un vistazo a los cambios que realizamos en el registro para obtener esta persistencia.
Detección
Creamos una clave en Run Hive con el nombre "raj" que contiene la ubicación del ejecutable netsh. Esto ejecutará el servicio netsh en la máquina de destino. Como netsh es un servicio bastante común en el servidor o entorno de trabajo utilizado por el administrador del sistema, nunca sospecha su entrada en la ejecución.
(https://i.postimg.cc/mkZrLT91/A-5.png) (https://postimages.org/)
Ahora nos movemos a otra ubicación en el registro. Cuando ejecutamos el comando add helper en el netsh, se crea una clave de registro con el mismo nombre que la DLL. Esto se puede ver en esta ubicación en el registro.
(https://i.postimg.cc/sxng1bP6/A-6.png) (https://postimages.org/)
Mitigación
Ocasionalmente escanee el registro en las siguientes ubicaciones:
Computadora \ HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
Computadora \ HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ NetSh
Estén atento a los cambios de registro realizados con cualquier tipo de shell (WMIC, símbolo del sistema, PowerShell)
Eso es todo por la persistencia netsh.
Ningún servicio es seguro.
Estén atento a todo tipo de servicios, incluso aquellos que parecen inofensivos.
Author: Pavandeep Singh
https://www.hackingarticles.in/
Bellísimo artículo AXCESS ;D
~ DtxdF
Muchas gracias!!
Me pareció muy interesante el modo de usar el Netsh.
Gracias.
Muy interesante el post :D Ahora lo probaré!
Saludos!
-Kirari