metasploit y veil

Iniciado por mh1, 4 Febrero 2014, 03:18 AM

0 Miembros y 1 Visitante están viendo este tema.

mh1

hola a todos !

soy nuevo en el foro y tambien ( aunque no tanto ) en metasploit.

el tema es asi, tengo funcionando dos VM ( Kali y XP SP3 ). jugando un poco con la vulnerabilidad ms10-061 de xp, llego a hacer el exploit sin problemas. el tema es,obviamente, cuando activo avast en la maquina con XP.

hay alguna forma de reemplazar ese .exe de nombre aleatorio que genera metasploit ? es decir usar un payload propio creado con veil por ejemplo ?

lo que no quiero es tener que lograr que la victima abra el .exe de payload "voluntariamente".

saludos !

adastra

 Lo que quieres es evadir el AV de la máquina objetivo, no?
Pues herramientas como metasploit, generan payloads que tienen firmas que son bastante conocidas por la mayoría de AVs modernos... puedes tratar de codificarlo, como un algoritmo como "shikata_ga_nai", pero veras que independiente del número de iteraciones que apliques en el proceso de codificación, veras que "a veces funciona y a veces no"...
El mecanismo más efectivo es crear tu mismo el shellcode, cosa que evidentemente requiere que tengas conocimientos en ensamblador, pero es el mecanismo más seguro y efectivo para evadir AV's ademas de que, si estás por aprender, te será mucho más útil y entretenido eso que estar "jugando" con metasploit.
De todos modos, si aun así quieres seguir intentando evadir tu AV con el shellcode que te genera metasploit, puedes echarle un vistazo a estos posts:


http://thehackerway.com/2012/02/10/intentando-evadir-mecanismos-y-restricciones-de-de-seguridad-intentando-evadir-anti-virus-usando-custom-encoders-lenguaje-c-y-metasploit-framework-parte-i/


http://thehackerway.com/2012/02/13/intentando-evadir-anti-virus-usando-metasploit-framework-y-visual-basic-contra-plataformas-windows-parte-ii/



mh1

Hola adastra.

hasta ahora todas las formas de evasion que vi, implican generar un .exe infectado con msfpayload/msfencode o veil y lograr que la victima ejectue ese archivo voluntariamente para que se inicie la conexion inversa a meterpreter ( que ya deberia estar esperando por la conexion )

lo que yo digo es que en el momento que se esta llevando a cabo el exploit, metasploit genera ese .exe de nombre aleatorio ( que contiene el payload ) y lo intenta subir a la maquina victima. ahi es cuando el av lo detecta. tiene que existir una forma de cambiar ese .exe ( el codigo fuente ) que se genera. es decir, que el exploit ( ms10-061 en este caso ),  intente subir un .exe generado con veil o msfpayload/msfencode y no el "standard".


sabes si se puede ?



adastra

Es igual a lo que te comentaba antes, los AV normalmente se encargan también de monitorizar el trafico. Todo lo que se transfiera a la máquina, será analizado por el antivirus y como te comentaba, si la firma del payload esta dentro del repositorio de firmas del AV, pues ya has visto lo que ocurre...
La solución más comúnmente utilizada (y que suele ser la menos fiable porque es muy probable que el payload siga siendo detectado por el AV) es codificando el payload del ejecutable con un encoder como shikata_ga_nai o como explicaba en los enlaces que te he indicado antes, creando una plantilla en lenguaje C y escribiendo instrucciones que modifiquen la firma del ejecutable generado. (Esta seria la solución tipo "script-kiddie"....
:xD)
La más efectiva, y la que suelen utilizar los atacantes en el "mundo real" es creando un shellcode poliformico y en algunos casos, enviando el payload cifrado, el cual posteriormente es decifrado en la plataforma del objetivo. Son las técnicas más efectivas que conozco actualmente, pero también son las más difíciles de implementar por el nivel de conocimientos que vas a necesitar (lenguaje ensamblador)

mh1

#4
Ok, y como hago eso ?

como hago para que en vez de subir ese .exe de nombre aleatorio, suba el .exe que genere yo ?

no te pido que me expliques, sino un link o un nombre o una clave de busqueda en google.

estoy usando el exploit exploit/windows/smb/ms10_061



adastra

google -> create custom shellcode.
google -> custom shellcode ia32.
google -> bypass av custom shellcode


Ademas, lee detenidamente los enlaces que te he dado anteriormente y otros artículos de la misma serie sobre evasión de mecanismos de seguridad.