Persistencia de Windows usando Netsh

Iniciado por AXCESS, Abril 19, 2020, 08:26:54 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Me he topado con este artículo, en el cual se hace uso de la herramienta de línea de comandos Netsh, de manera muy creativa.
Espero que lo disfruten y les resulte atractivo.

Netsh:
Es una utilidad de línea de comandos que ofrece varias opciones para la configuración de una red.
Entre las principales opciones que se pueden realizar, están la posibilidad de ver, modificar, administrar y diagnosticar la configuración de una red.
Netsh se encuentra disponible en Windows (Windows 2000, Windows Server 2003, Windows XP Profesional, Windows 7, Windows Server 2008, Windows 8, Windows 10 y Windows Server 2012)
Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

-----------------------------------------------------------------------------------------------------------------
En este artículo, vamos a describir la capacidad del proceso de Netsh para proporcionar acceso persistente a la máquina de destino.

Tabla de contenidos

     Introducción
     Configuraciones utilizadas en la demostración
     Crafting Payload
     Transferencia de carga útil
     Registro de Twerking
     Configuración del oyente y ganancia de persistencia
     Detección
     Mitigación

Introducción

Netsh es una utilidad de secuencias de comandos de línea de comandos que le permite, local o remotamente, mostrar o modificar la configuración de red de una computadora que se está ejecutando actualmente. Netsh también proporciona una función de secuencias de comandos que le permite ejecutar un grupo de comandos en modo por lotes en una computadora específica. Netsh también puede guardar un script de configuración en un archivo de texto para fines de archivo o para ayudarlo a configurar otros servidores.

Netsh contiene funcionalidades para agregar archivos DLL auxiliares para extender la funcionalidad de la utilidad. Las rutas a las DLL auxiliares netsh.exe registradas se ingresan en el Registro de Windows en HKLM \ SOFTWARE \ Microsoft \ Netsh.

Antes de pasar a ganar persistencia en el sistema, tenga en cuenta que ya hemos comprometido el sistema utilizando métodos bien conocidos.

Configuraciones utilizadas en la demostración

Agresor:

     SO: Kali Linux 2020.1
     IP: 168.1.112

Objetivo:

     SO: Windows 10
     IP: 168.1.104

Creando el Payload

De la Introducción, está claro que el ayudante de Netsh puede ejecutar archivos DLL. Entonces, si estamos planeando usar el netsh para comprometer la máquina de destino y obtener un shell de persistencia, necesitaremos un archivo DLL malicioso. Utilizamos el msfvenom para crear la carga útil. El sistema que comprometimos con otros métodos fue una versión de x64 bits. Esto es más fácil de encontrar para el comando systeminfo.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Transferencia del Payload

Como ya tenemos un medidor de precisión en el sistema de destino, necesitamos transferir la carga útil que diseñamos a la máquina de destino. Estamos transfiriendo la carga útil al directorio System32 ya que casi todos los archivos DLL están almacenados allí. Esta es simplemente una forma de esconderse a simple vista, pero requiere los privilegios elevados en la máquina de destino. Podemos almacenar el archivo DLL malicioso en alguna otra ubicación y todo lo que necesitaremos es twerk la ubicación del archivo mientras lo agregamos en el registro. Volver a la transferencia de la carga útil. Utilizamos el comando de carga del meterpreter para la transferencia.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Registro de Twerking

Hemos transferido con éxito la carga útil a la máquina de destino. Ahora tenemos que abrir el shell de Windows y hacer cambios en el registro para incluir el nombre del archivo en Ejecutar y usar el comando agregar ayuda para cargar la DLL en el sistema.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Configuración del oyente y ganancia de persistencia


Antes de pasar al sistema de destino, creamos un oyente multi-manejador con algunas configuraciones que usamos al diseñar la carga útil y lo mantuvimos listo para cuando la carga útil se ejecute en la máquina de destino, lo que da como resultado un shell de persistencia.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El shell se generó en la instancia de netsh en muy poco tiempo. Echemos un vistazo a los cambios que realizamos en el registro para obtener esta persistencia.

Detección

Creamos una clave en Run Hive con el nombre "raj" que contiene la ubicación del ejecutable netsh. Esto ejecutará el servicio netsh en la máquina de destino. Como netsh es un servicio bastante común en el servidor o entorno de trabajo utilizado por el administrador del sistema, nunca sospecha su entrada en la ejecución.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Ahora nos movemos a otra ubicación en el registro. Cuando ejecutamos el comando add helper en el netsh, se crea una clave de registro con el mismo nombre que la DLL. Esto se puede ver en esta ubicación en el registro.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Mitigación

     Ocasionalmente escanee el registro en las siguientes ubicaciones:
         Computadora \ HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
         Computadora \ HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ NetSh

Estén atento a los cambios de registro realizados con cualquier tipo de shell (WMIC, símbolo del sistema, PowerShell)

Eso es todo por la persistencia netsh.
Ningún servicio es seguro.
Estén atento a todo tipo de servicios, incluso aquellos que parecen inofensivos.

Author: Pavandeep Singh
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Bellísimo artículo AXCESS  ;D

~ DtxdF
PGP :: <D82F366940155CB043147178C4E075FC4403BDDC>

~ DtxdF

Muchas gracias!!

Me pareció muy interesante el modo de usar el Netsh.

Gracias.
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Muy interesante el post  :D  Ahora lo probaré!

Saludos!
-Kirari