Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1019
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
▼
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
▼
julio
(Total:
40
)
- Vulnerabilidad crítica en Bind explotable remotamente
- Posibles soluciones contra el fallo MMS de Android...
- Opciones de privacidad y seguridad en Mozilla Firefox
- Bug en Red Hat y derivados, permite a un usuario l...
- Bettercap, un completo framework para hacer MITM ...
- 4 nuevas vulnerabilidades 0day para Internet Explorer
- Criminales usan Malware para vaciar cajeros automá...
- Microsoft eliminará de sus resultados las imágenes...
- Comparativa de Google: Usuarios expertos en seguri...
- Docenas de aplicaciones en Google Play visitan sil...
- Nueva versión de WordPress soluciona varios fallos...
- Universal Studios pide quitar una copia pirata de ...
- Evita que el Wifi de tu dispositivo emita informac...
- Hook Analyser 3.2, herramienta de análisis de Malw...
- El documental "Zero Days", agujeros de seguridad a...
- PhotoDNA, la herramienta de Microsoft para combati...
- Detenido en Madrid un delincuente que vendió datos...
- Detenido un joven por instalar una aplicación espí...
- Vulnerabilidad antigua en MongoDB expone accidenta...
- Microsoft publica una actualización crítica para t...
- La No cON Name [NcN] 2015 será gratuita
- Cómo activar el Click to Play de Adobe Flash Playe...
- Disponible wifislax-4.11.1 versión de mantenimiento
- Evadir el Anti-Virus con Shellter 4.0 en Kali Linux
- Telegram sufre un fuerte DDoS de 200Gbps en la zon...
- Muere el presidente de Nintendo a los 55 años de edad
- Componente de Office permite ejecutar código malic...
- Retiran de Google Play una app fraudulenta copia f...
- EMET de Microsoft (Enhanced Mitigation Experience ...
- Anuncian actualización de OpenSSL tras una nueva g...
- Adobe confirma vulnerabilidad crítica 0day en Flas...
- Miembro de Lizard Squad de 17 años declarado culpa...
- I Jornadas Nacionales de Investigación en Ciberseg...
- Los clientes de Hacking Team eran también gobierno...
- Según un estudio, el 8% de las cuentas Instagram s...
- Kali Linux 2.0 aka Kali Santa ya tiene fecha de s...
- Segunda edición de CyberCamp 26-29 de noviembre en...
- Gusanos que se propagan por USB son el malware más...
- Utilizan routers de usuarios domésticos para propa...
- El antivirus Avira gana el caso de una demanda int...
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
395
)
privacidad
(
363
)
google
(
353
)
ransomware
(
338
)
vulnerabilidad
(
301
)
Malware
(
263
)
Windows
(
243
)
android
(
242
)
cve
(
235
)
tutorial
(
235
)
manual
(
220
)
software
(
201
)
hardware
(
193
)
linux
(
124
)
twitter
(
115
)
ddos
(
94
)
WhatsApp
(
90
)
Wifi
(
85
)
cifrado
(
77
)
herramientas
(
75
)
hacking
(
73
)
sysadmin
(
67
)
app
(
65
)
Networking
(
56
)
nvidia
(
52
)
ssd
(
51
)
youtube
(
50
)
adobe
(
43
)
firmware
(
42
)
office
(
41
)
hack
(
40
)
firefox
(
35
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
MAC
(
25
)
apache
(
25
)
programación
(
25
)
exploit
(
23
)
javascript
(
22
)
multimedia
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
Pese a que Gemini ofrece multitudes de opciones, recientemente, se ha dado a conocer una situación fuera de lo común. Hace unos días, un es...
-
La seguridad en dispositivos móviles es cada vez más crucial, especialmente ante el crecimiento de aplicaciones maliciosas diseñadas para v...
Evadir el Anti-Virus con Shellter 4.0 en Kali Linux
lunes, 13 de julio de 2015
|
Publicado por
el-brujo
|
Editar entrada
¿Tienes problemas para conseguir una shell de Meterpreter por culpa del
molesto Antivirus? Echa un vistazo a el nuevo programa de ofuscación
shell Shellter 4.0. La última versión de Shellter para pentesters fue
revelado en B-Sides de Lisboa a principios de este mes. Actualizaciones
incluyen el aumento de la ofuscación a través de un codificador y
decodificador de encargo polimórfico. También esta versión ahorra unos
pasos mediante la inclusión de las shells Meterpreter más comunes.
La idea es evadir, sobretodo, las firmas de los antivirus. La idea es la de conseguir que un binario, manteniendo su funcionalidad, deje de ser reconocido por los motores de antimalware
Shellter funciona tomando un archivo légitmo .exe de Windows, añadiendo el código shell para él y luego hace un gran trabajo de modificar el archivo para hacer el bypass del Antivirus. El Modo automático del programa hace que todo el proceso muy sin muchos problemas.
El código shell puede ser algo tuyo o algo generado a través de un marco, como Metasploit.
Shellter se aprovecha de la estructura original del archivo PE y no se aplica ninguna modificación como cambiar los permisos de acceso de memoria en las secciones (a menos que el usuario lo desee), añadiendo una sección extra con acceso RWE, y todo lo que se vería poco fiables bajo una exploración AV .
Shellter utiliza un enfoque dinámico único que se basa en el flujo de ejecución de la aplicación de destino.
Principales Características
Podemos elegir entre los payloads disponibles para que se inyecten en el binario. Tenemos diferentes tipos de Meterpreter, la típica shell inversa TCP y la shell bindeada TCP.
Además, un payload inline como es WinExec. Lo que nos preguntará Shellter es si queremos utilizar el listado que nos proporciona o queremos utilizar un listado personalizado, mediante importación de shellcodes.
El payload es encodeado automáticamente, y posteriormente nos muestra más información sobre los métodos de la API a utilizar, sobre la ofuscación o el código polimórfico denominado basura.
En este tutorial se ha utilizado la versión más reciente de Kali Linux y una máquina virtual de Windows 7.
1. Descarga e instala "Shellter" de:
** Nota: los repos Kali aparentemente no contienen la versión más reciente 4.0 todavía. Para obtener la última, en lugar de utiliza
sólo tiene que descargar y extraer el archivo ZIP en la carpeta "/etc/share".
Kali Linux:
BackBox Linux:
2. Coge el fichero "plink.exe" del directorio 'usr/share/windows-binaries' de Kali y copiarlo en el directorio Shellter.
3. Arrancar Shellter - 'Shellter' en el terminal o usa "wine shelter" desde '/ etc / share / Shellter' si ha instalado manualmente.
4. Seleccione "A" para el modo automático
5. En el símbolo del PE de destino, escriba "plink.exe"
6. Cuando se le solicite por el PayLoad seleccione "L" y luego "1"
7. A continuación, introduzca la dirección IP de su sistema de Kali (en nuestro ejemplo es 192.168.1.39) 8. Y el puerto de usar (yo usé 5555)
Shellter ofuscará el código. Entonces deberías ver:
¡Perfecto!
9. Ahora tenemos que iniciar un servicio de escucha en el sistema de Kali con la misma configuración de arriba:
• iniciar Metasploit ('msfconsole' en un terminal)
• Uso explotar / multi / handler
• Ventanas conjunto de carga útil / meterpreter / reverse_tcp
• establecer lhost 192.168.1.39
• establecer lport 5555
• exploit
10. Ahora que Kali está esperando una conexión. Copie nuestro comando plink.exe el mal con el sistema Windows 7 y lo ejecutas:
Y ya tenemos la shell:
Compara el tamaño del exe backdoored con el original. Son exactamente del mismo tamaño! Ahora carga el exe backdoored a Virustotal y escanearlo para ver si detecta el contenido malicioso :
Sólo un Motor antivirus lo detecta como malicioso. Y no era un AV convencional que normalmente se encuentran en las empresas ...
Conclusión Como se puede ver, un archivo backdoored para eludir el AV se puede crear muy fácilmente.
El AntiVirus es genial, pero no puede dejar de todo, es necesario capacitar a los usuarios de la empresa para estar atentos al utilizar sitios de Internet, redes sociales y correo electrónico.
Evite sitios web sospechosos, no permita ventanas emergentes de sitios web o avisos que instalar nada y nunca abrir archivos adjuntos no solicitados o sospechosas en los correos electrónicos. Si usted no sabe si debe hacer clic en algo, pregunte a su departamento de TI. Un poco de vigilancia usuario puede recorrer un largo camino en la protección de su red!
Fuentes:
https://cyberarms.wordpress.com/2015/07/12/anti-virus-bypass-with-shellter-4-0-on-kali-linux/
http://www.elladodelmal.com/2016/04/veil-evasion-shellter-payday-para.html
La idea es evadir, sobretodo, las firmas de los antivirus. La idea es la de conseguir que un binario, manteniendo su funcionalidad, deje de ser reconocido por los motores de antimalware
Shellter funciona tomando un archivo légitmo .exe de Windows, añadiendo el código shell para él y luego hace un gran trabajo de modificar el archivo para hacer el bypass del Antivirus. El Modo automático del programa hace que todo el proceso muy sin muchos problemas.
¿Qué es Shellter?
Ofuscación de binarios
Shellter es una herramienta de inyección de código de shells dinámicas, y probablemente el primero infector de PE dinámico jamás creado. Se puede utilizar para inyectar código shell en las aplicaciones nativas de Windows (en la actualidad sólo soporta aplicaciones de 32 bits).El código shell puede ser algo tuyo o algo generado a través de un marco, como Metasploit.
Shellter se aprovecha de la estructura original del archivo PE y no se aplica ninguna modificación como cambiar los permisos de acceso de memoria en las secciones (a menos que el usuario lo desee), añadiendo una sección extra con acceso RWE, y todo lo que se vería poco fiables bajo una exploración AV .
Shellter utiliza un enfoque dinámico único que se basa en el flujo de ejecución de la aplicación de destino.
Principales Características
- Compatible con Windows (XP SP3 y superiores) y con wine / CrossOver para Linux / Mac.
- No se requiere ninguna configuración - Portable.
- No requiere dependencias adicionales (python, .net, etc ...).
- No afecta el tamaño de salida (lo que das es lo que obtienes).
- No hay plantillas PE estáticas, envolturas marco etc ...
- Soporta cualquier carga útil de 32 bits (generada ya sea por Metasploit o propios creados por el usuario).
- Soporta todos los tipos de codificación de Metasploit.
- Soporta codificación personalizada creada por el usuario.
- Codificación patentada.
- Multi-Payload PE infection
- Soporta cargadores DLL loaders.
- Las cargas útiles Metasploit Embedded.
- Código no deseado motor polimórfico.
- Contexto Tema motor polimórfico conscientes.
- El usuario puede utilizar el código personalizado polimórfica de los suyos.
- Toma ventaja de la información de Dynamic Thread Context para el análisis anti-estático.
- Detecta código mutante.
- Rastrea aplicaciones individuales y multi-hilo.
- Lugares de Inyección totalmente dinámico basado en el flujo de ejecución.
- Desmonta y espectáculos a los puntos de inyección disponibles usuario.
- El usuario elige qué inyectar, cuándo y dónde.
- Soporte de línea de comandos.
- Gratuito
Podemos elegir entre los payloads disponibles para que se inyecten en el binario. Tenemos diferentes tipos de Meterpreter, la típica shell inversa TCP y la shell bindeada TCP.
Además, un payload inline como es WinExec. Lo que nos preguntará Shellter es si queremos utilizar el listado que nos proporciona o queremos utilizar un listado personalizado, mediante importación de shellcodes.
El payload es encodeado automáticamente, y posteriormente nos muestra más información sobre los métodos de la API a utilizar, sobre la ofuscación o el código polimórfico denominado basura.
Ejemplo - Demostración de Shellter 4.0 en Kali Linux
En este tutorial se ha utilizado la versión más reciente de Kali Linux y una máquina virtual de Windows 7.
1. Descarga e instala "Shellter" de:
** Nota: los repos Kali aparentemente no contienen la versión más reciente 4.0 todavía. Para obtener la última, en lugar de utiliza
apt-get install Shellter
sólo tiene que descargar y extraer el archivo ZIP en la carpeta "/etc/share".
Kali Linux:
apt-get update
apt-get install shellter
BackBox Linux:
apt-get updateArch Linux:
apt-get install shellter
yaourt -Syy
yaourt -S aur/shellter
2. Coge el fichero "plink.exe" del directorio 'usr/share/windows-binaries' de Kali y copiarlo en el directorio Shellter.
3. Arrancar Shellter - 'Shellter' en el terminal o usa "wine shelter" desde '/ etc / share / Shellter' si ha instalado manualmente.
4. Seleccione "A" para el modo automático
5. En el símbolo del PE de destino, escriba "plink.exe"
6. Cuando se le solicite por el PayLoad seleccione "L" y luego "1"
7. A continuación, introduzca la dirección IP de su sistema de Kali (en nuestro ejemplo es 192.168.1.39) 8. Y el puerto de usar (yo usé 5555)
Shellter ofuscará el código. Entonces deberías ver:
¡Perfecto!
9. Ahora tenemos que iniciar un servicio de escucha en el sistema de Kali con la misma configuración de arriba:
• iniciar Metasploit ('msfconsole' en un terminal)
• Uso explotar / multi / handler
• Ventanas conjunto de carga útil / meterpreter / reverse_tcp
• establecer lhost 192.168.1.39
• establecer lport 5555
• exploit
10. Ahora que Kali está esperando una conexión. Copie nuestro comando plink.exe el mal con el sistema Windows 7 y lo ejecutas:
Y ya tenemos la shell:
Compara el tamaño del exe backdoored con el original. Son exactamente del mismo tamaño! Ahora carga el exe backdoored a Virustotal y escanearlo para ver si detecta el contenido malicioso :
Sólo un Motor antivirus lo detecta como malicioso. Y no era un AV convencional que normalmente se encuentran en las empresas ...
Conclusión Como se puede ver, un archivo backdoored para eludir el AV se puede crear muy fácilmente.
El AntiVirus es genial, pero no puede dejar de todo, es necesario capacitar a los usuarios de la empresa para estar atentos al utilizar sitios de Internet, redes sociales y correo electrónico.
Evite sitios web sospechosos, no permita ventanas emergentes de sitios web o avisos que instalar nada y nunca abrir archivos adjuntos no solicitados o sospechosas en los correos electrónicos. Si usted no sabe si debe hacer clic en algo, pregunte a su departamento de TI. Un poco de vigilancia usuario puede recorrer un largo camino en la protección de su red!
Fuentes:
https://cyberarms.wordpress.com/2015/07/12/anti-virus-bypass-with-shellter-4-0-on-kali-linux/
http://www.elladodelmal.com/2016/04/veil-evasion-shellter-payday-para.html
Enviar por correo electrónico
Escribe un blog
Compartir en X
Compartir con Facebook
Compartir en Pinterest
Etiquetas:
antivirus
,
bypass
,
hacking
,
herramientas
,
kali
,
kali linux
,
payload
,
pe
,
pentester
,
pentesting
,
shellter
,
técnicas hacking
,
tools
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.