¿como enviar un archivo especifico(troyano) como una actualizacion java?

Iniciado por thedevilini, 23 Noviembre 2011, 06:50 AM

0 Miembros y 1 Visitante están viendo este tema.

thedevilini

he estado leyendo un poco del tema en linux backtrack5, y dentro de el existe el muy famoso metasploit, exise un ataque muy interesante en el que se hace un ARP poisoning, clonando la pagina de algun sitio y cuando la victima la intente abrir la pagina pide un complemento de java para su correcta ejecucion.
todo sale a la perfeccion con windows xp, Pero hay un pequeño problema con windows vista : Es detectado por los antivirus :@... Logre camuflagear el archivo .exe para que sea indetectable por los antivirus, pero como le hago para mandarselo a la victima como un "supuesto complemento de java"  (el archivo camuflageado)?... ¿existe alguna forma de que cuando la victima abra la pagina web salte el aviso de que es necesario un complemento(y le pueda mandar mi archivo, evitando la ingenieria social)?  cabe mencionar que lo intento dentro de una LAN... si existe alguna forma, les agradeceria mucho que me dijeran especificamente como hacerlo, ya que he buscado mucho esto y no lo he podido encontrar, de verdad se los agradeceria mucho... saludos...

adastra

msfpayload/msfvenom + msfencode para la generación de tu payload, aunque el hecho de que sea "indetectable" es muyy relativo... depende de las signatures que tenga el AV de la víctima y que estas no coincidan con ningun comportamiento del payload, es más un tema de prueba y error... fijate en estos enlace, a lo mejor te sirven:

http://thehackerway.com/2011/04/07/payloads-metasploit-framework/
http://thehackerway.com/2011/05/04/abusando-de-java-con-metasploit-framework/

El primer te enseña a utilizar msfpayload/msfvenom para crear payload dificiles de Detectar, el segundo te enseña a utilizar plantillas de ejecutables para applets de Java (entre otras cosas).
Por otro lado, tal vez te viene mejor utilizar SET (Social Engineering Toolkit) se ajusta perfectamente a lo que necesitas.

thedevilini

muchas gracias han sido de mucha utilidad estos articulos, estan muy buenos! (y si eso de ser indetectable es muy relativo)... olle tengo una pregunta mas:

-mira, ya probe realizar el dns poisoning, para que cuando el pc victima abra la pagina previamente indicada, se ejecute el codico malicioso (pidiendo un complemento de java) pero ese metodo solo me funciono en un windows XP. , ahora quiero hacerlo con una pc con windows 7, pero esa tecnica con el complemento de java no me funciona, asi que use el reverse_tcp para que me regrece una consola meterpreter, pero este metodo me genera un archivo .exe que le tengo que mandar a la otra pc para que lo ejecute,y solo asi cuando el otro usuario lo ejecuta me regresa la consola de meterpreter ¿que puedo hacer para mandarle ese .exe a la otra persona? (por medio de java, otro exploit, algun metodo de browser) ? ... ya que este solo es un metodo a prueba y error, pero en la vida real, teniendo una verdadera victima, como puedo ejecutarle mi .exe para que se infecte? (y como tu comprenderas, mis intenciones no son enviarselo por messenger o a su bandeja de entrada jeeh)... muchas gracias x tus proximas respuestas...

adastra

Lo mejor que puedes hacer (desde mi punto de vista) es "disfrazar" el ejecutable como una utilidad de windows valida, por ejemplo:
1. Te pillas un programa valido de internet, cualquier ejecutable que el usuario pueda necesitar (por ejemplo PuTTY o un servidor web como Apache)
2. Utilizando msfpayload/msfvenom creas un payload utilizando como plantilla el programa (conservando la funcionalidad del mismo) de esa forma cuando el usuario lo ejecute no verá nada fuera de lo normal (a menos que el AV lo detecte, pero como tu bien dices, es algo muy relativo y necesita prueba y error)
3. Migras el proceso de la sesión meterpreter que se te ha abierto lo más rapido posible, ya que una vez el usuario termine de usar el programa se perderá la sesión (a menos que la migres a otro proceso del S.O)

Evidentemente pueden existir otros métodos, pero creo que esa es la mejor forma para que parezca "indetectable" a los ojos de un usuario común.

thedevilini

me podrias indicar donde puedo encontrar un tutorial para realizar esto??