Sobre bypass de antivirus a nivel de red...

Iniciado por Debci, 12 Marzo 2011, 17:25 PM

0 Miembros y 1 Visitante están viendo este tema.

Debci

Hoy he retomado mi aprendizaje, he vuelto a hacer unas cuantas pruebas con dos PC, en Lan, mi laptop y un netbook que tengo.

Software usado:

Metasploit Framework
NMAP
Hping
Ettercap
SET (Social Engineering Toolkit)

Mapa del laboratorio:

2 equipos conectados a través de WLAN

No hay un router que haga de firewall ni nada por el estilo, una conexión casera sin nada fuera de lo cotidiano.

El SO del atacante es Backtrack 4 R2 y el PC víctima tiene un Windows SP3

Tipo de ataque:

Se ha creado un servidor web con un APPLET infectado por un payload meterpreter, dejando el equipo atacante a la escucha de una conexión entrante.

La idea es "obligar" al equipo víctima a visitar dicha página, spoofeada de alguna conocida, para que quede infectado y lograr el control remoto del equipo víctima.

Problemas que se plantean:

Este ataque funciona perfectamente bajo el uso de Ettercap y si el equipo víctima no tiene el antivirus activado.
Cuando activo el antivirus en el equipo víctima, el ARP Spoof y el DNS spoof dejan de funcionar como deberían y en consecuencia el ataque no concluye con éxito.


Alguien tiene algún consejo para bypassear el Antivirus?

dantemc

fragmentación del script?? te puede funcionar, depende que estés usando cómo ataque, es que el metasploit...

y tal ves ésto te sirva, aunque imagino que ya lo has visto
http://www.securitytube.net/video/579
8-D

Debci

Cita de: dantemc en 12 Marzo 2011, 19:52 PM
fragmentación del script?? te puede funcionar, depende que estés usando cómo ataque, es que el metasploit...

y tal ves ésto te sirva, aunque imagino que ya lo has visto
http://www.securitytube.net/video/579
En primer lugar, muchas gracias por tu tiempo y tu respuesta.

En segundo comentarte que el problema no está en la detección del payload, eso no tengo problema, la trava me la encuentro cuando no puedo hacer un DNS Spoof para llevar al otro PC a mi página, la que contiene el payload.

De alguna manera el equipo víctima consigue frustrar mi ARP Poison y el DNS Spoof de forma que el ataque queda un tanto inutil.

Saludos

wACtOr

Prueba haber si con esto podrias hacer algo.

Ami tambien me pasa que si esta el AV encendido, no me hace el spoof correctamente.

https://foro.elhacker.net/hacking_avanzado/dns_spoofing_otro_metodo-t317620.0.html;msg1572576#msg1572576

el otro dia lo intente probrar tal como viene, pero no consegui que me "fakeara" el gmail que viene con el script.


Debci

Negativo! No funciona :(
Alguna idea?

Saludos