Antes que nada agradecer a todos los que aportan sin ánimo de lucro a este foro.
Al lío. Tengo pensado usar el famoso payload Meterpreter (Bendito seas) de forma permanente, es decir, a modo típico troyano pero usando meterpreter, a lo que se salen varias dudas.
La idea sería instalar en varias máquinas virtuales con diferentes AV's el payload oculto en un exe cualquiera e indetectable. Una vez ejecutado, el handler configurado con ExitOnFalse recogería las diferentes sesiones y las dejaría en background. Posteriormente al recoger cada sesión, se ejecutaría un script para realizar la persistencia y aquí viene la primera duda:
1. ¿Es mejor la persistencia del meterpreter o subir algún troyano en cuestión con un rootkit para ocultarlo?
2. Otra duda que siempre he tenido es, la víctima podría hacer un netstat y fácilmente sabrá a donde apunta y podría denunciar o intentar hacer un poco de fingerprinting para posteriormente atacar.
3. Otra cuestión es que el servidor escuchando en teoría tiene un puerto abierto a la espera de una shell sin cifrar, ¿alguna idea?
4. Y la última, sería saber si ando equivocado con que reverse_https lo único que hace es sacar la shell por 443 cifrada y así evitar cortafuegos y comportamientos anómalos. Vamos que en teoría resulta mejor que reverse_tcp
La verdad es que lo del servidor escucha me tiene hablando solo porque no creo que los delincuentes pongan su dirección IP. Lo del NO-IP y cosas así creo que es lo mismo ya que con una orden judicial estaríamos en las mismas.
Por supuesto se trata de una investigación personal y estudio usando máquinas virtuales para coger práctica para OSCP y CTF's
Un saludo y gracias de antemano.
Nikola1
Al lío. Tengo pensado usar el famoso payload Meterpreter (Bendito seas) de forma permanente, es decir, a modo típico troyano pero usando meterpreter, a lo que se salen varias dudas.
La idea sería instalar en varias máquinas virtuales con diferentes AV's el payload oculto en un exe cualquiera e indetectable. Una vez ejecutado, el handler configurado con ExitOnFalse recogería las diferentes sesiones y las dejaría en background. Posteriormente al recoger cada sesión, se ejecutaría un script para realizar la persistencia y aquí viene la primera duda:
1. ¿Es mejor la persistencia del meterpreter o subir algún troyano en cuestión con un rootkit para ocultarlo?
2. Otra duda que siempre he tenido es, la víctima podría hacer un netstat y fácilmente sabrá a donde apunta y podría denunciar o intentar hacer un poco de fingerprinting para posteriormente atacar.
3. Otra cuestión es que el servidor escuchando en teoría tiene un puerto abierto a la espera de una shell sin cifrar, ¿alguna idea?
4. Y la última, sería saber si ando equivocado con que reverse_https lo único que hace es sacar la shell por 443 cifrada y así evitar cortafuegos y comportamientos anómalos. Vamos que en teoría resulta mejor que reverse_tcp
La verdad es que lo del servidor escucha me tiene hablando solo porque no creo que los delincuentes pongan su dirección IP. Lo del NO-IP y cosas así creo que es lo mismo ya que con una orden judicial estaríamos en las mismas.
Por supuesto se trata de una investigación personal y estudio usando máquinas virtuales para coger práctica para OSCP y CTF's
Un saludo y gracias de antemano.
Nikola1