kyREcon presenta la versión 6.6 de Shellter, una herramienta de inyección de shell dinámica y, según sus autores, el primero infector de PE dinámico y se puede utilizar para inyectar shells en aplicaciones Windows 32bits, aunque esto no es realmente un problema, ya que es muy habitual tener programas de 32bits instalados en sistemas operativos de 64bits. Por otra parte, se ha anunciado una nueva versión de Wireshark, uno de los mejores programas a la hora de capturar paquetes y analizar el tráfico de red.




Los ejecutables creados con Metasploit u otros frameworks de pentesting conocidos son detectados por la mayoría de los AntiVirus. Una de las herramientas que podemos usar para evadirlos es Shellter, con la que dispondremos de una "plantilla" polimórfica que se puede utilizar para insertar nuestros shellcodes en cualquier ejecutable *standalone nativo de Windows en 32 bits.

Podemos decir que Shellter es una herramienta de inyección dinámica de shellcodes o PE infector. Por lo tanto puede usarse para inyectar shellcodes, tanto propios como los generados con Metasploit, en las aplicaciones nativas de Windows.

Shellter aprovecha la estructura original del archivo PE y no aplica modificaciones fácilmente detectables por los AV, tales como cambiar el permiso de acceso a la memoria en las secciones (a menos que el usuario lo especifique) o la adición de una sección con acceso de RWE. Tampoco es el típico infector que trata de encontrar un lugar para insertar instrucciones para redirigir la ejecución del payload. A diferencia de muchos, el motor de infección avanzado de Shellter nunca transfiere el flujo de ejecución a un code cave o añade una sección en el archivo PE infectado. Entonces, ¿cuál es la magia de Shellter?





Shellter utiliza un enfoque dinámico único que se basa en el flujo de ejecución de la aplicación objetivo. Esto significa que no se utilizan ubicaciones predefinidas o estáticas para la inyección de código shell. Shellter ejecutará y trazará el objetivo, mientras que al mismo tiempo registrará el flujo de ejecución de la aplicación en espacio de usuario. Esto incluye el código dentro de la aplicación en sí misma (imagen PE), y el código fuera de ella que podría ser en un archivo DLL del sistema o sobre un heap, etc ... Esto se hace para asegurar que las funciones realmente pertenecen al ejecutable, pero se usan solamente como funciones de callback para que el API de Windows no las pierda.

Durante el trace, Shellter no registrará o tendrá en cuenta cualquier instrucción que no esté en el rango de memoria de la imagen PE de la aplicación de destino, ya que estos no pueden ser utilizado como una referencia para inyectar de forma permanente el shellcode.


Principales características

• Compatible con Windows (XP SP3 y superiores) y con Wine / CrossOver para Linux / Mac.
• No se requiere ninguna configuración - Es portable.
• No requiere dependencias adicionales (python, .net, etc ...).
• No afecta el tamaño de salida (lo que das es lo que obtienes).
• No hay plantillas PE estáticas, envolturas marco etc ...
• Soporta cualquier carga útil de 32 bits (generada ya sea por Metasploit o personalizados queridos por el usuario).
• Soporta todos los tipos de codificación de Metasploit.
• Soporta codificación personalizada creada por el usuario.
• Codificación patentada.
• Claves de contexto Tema dinámico.
• Soporta cargadores DLL reflectantes.
• Las cargas útiles Metasploit Embedded.
• Código no deseado motor polimórfico.
• Contexto Tema motor polimórfico conscientes.
• El usuario puede utilizar el código personalizado polimórfica de los suyos.
• Toma ventaja de la información dinámica Contexto Tema para el análisis anti-estática.
• Detecta código mutante.
• Rastrea aplicaciones individuales y multi-hilo.
• Lugares de Inyección totalmente dinámico basado en el flujo de ejecución.
• Desmonta y espectáculos a los puntos de inyección disponibles usuario.
• El usuario elige qué inyectar, cuándo y dónde.
• Soporte en línea de comandos.
• Gratuito

Es común utilizar Shellter para inyectar código propio o bien el generado a través de Metasploit. Podemos elegir entre los payloads disponibles para que se inyecten en el binario: diferentes tipos de Meterpreter, la típica shell inversa TCP y la shell bind TCP, etc.

El payload generado es encodeado y ofuscado automáticamentela además de generar código polimórfico y por eso es muy común utilizarlo para saltar la detección de antivirus.

Shellter soporta 8 métodos para cargar el payload encodeado:

• VirtualAlloc
• VirtualAllocEx
• VirtualProtect
• VirtualProtectEx
• HeapCreate/HeapAlloc
• LoadLibrary/GetProcAddress
• GetModuleHandle/GetProcAddress
• CreateFileMapping/MapViewOfFile

A partir de la versión shellter v4.0 introduce su propio encoder .El motor del enconder aplica de manera aleatoria montones de operaciones  XOR, ADD, SUB, NOT

Evadir el Anti-Virus con Shellter 4.0 en Kali Linux

Fuentes:
http://blog.segu-info.com.ar/2016/09/publicado-shellter-66.html
http://www.hackplayers.com/2016/09/shellter-inyeccion-de-shellcodes-en-ejecutables.html

  Vídeos de ejemplo usando Shellter

Wireshark 2.2.0

Wireshark 2.2.0 se presenta con sus dos interfaces habituales Qt5 y GTK+ (había planes para eliminar esta última pero por ahora se mantiene como alternativa), y un buen puñado de novedades.

Entre ellas la capacidad de exportar los paquetes en formato JSON, tanto por parte de la las interfaces gráficas como desde la terminal. mediante TShark .

Vemos que se amplia el rango de soporte en cuanto a protocolos.

•  En esta edición debutan unos cuantos: Apache Cassandra – CQL version 3.0, Bachmann bluecom Protocol, Bluetooth Pseudoheader for BR/EDR, Cisco ERSPAN3 Marker, Cisco ttag, Digital Equipment Corporation Local Area Transport, Distributed Object Framework, DOCSIS Upstream Channel Descriptor Type 35, Edge Control Protocol (ECP), Encrypted UDP based FTP with multicast, Ericsson IPOS Kernel Packet Header (IPOS), Extensible Control & Management Protocol (eCMP), FLEXRAY Protocol (automotive bus), IEEE 802.1BR E-Tag, Intel Omni-Path Architecture, ISO 8583-1, ISO14443, ITU-T G.7041/Y.1303 Generic Framing Procedure (GFP), LAT protocol (DECNET), Metamako trailers, Network Service Header for Ethernet & GRE, Network-Based IP Flow Mobility (NBIFOM), Nokia Intelligent Service Interface (ISI), Open Mobile Alliance Lightweight Machine to Machine TLV (LwM2M TLV), Real Time Location System (RTLS), RTI TCP Transport Layer (RTITCP), SMB Witness Service, STANAG 5602 SIMPLE, Standard Interface for Multiple Platform Link Evaluation (SIMPLE), USB3 Vision Protocol (USB machine vision cameras), USBIP Protocol, UserLog Protocol, y Zigbee Protocol Clusters

En Wireshark 2.2 la opción “decode as” –que decodifica los paquetes en un modo especificado por el usuario– añade un nueva opción “-d” que imita la misma función en Tshark; al tiempo que gana compatibilidad con el protocolo SSL(TLS) sobre TCP.

También destacar: las mejoras en el reproductor RTP que nos sirve para reproducir el audio capturado (por ej. telefonía SIP o videollamadas, suelen utilizar dicho protocolo), mejoras en los cuadros de diálogo, una nueva API para estandarizar el reporte de sumas de verificación, la capacidad de utilizar expresiones regulares a la hora de buscar un paquete y la posibilidad de presentar el contenido de los paquetes en varios formatos: ASCII, HTML, imagen, ISO 8859-1, Raw, UTF-8, como una matriz de C o YAML.

Wireshark es multiplataforma, con versiones para Linux, Windows, y OS X.
Fuente:
http://lamiradadelreplicante.com/2016/09/08/liberado-wireshark-2-2-0/