• Author / Uploaded
• jflores_886366

Citation preview

QUE ES EL MALWARE? Wikipedia define el término malware como sigue: El malware (del inglés malicious software), también llamado badware, código maligno, software malicioso o software malintencionado, es un tipo de software que tiene como objetivo infiltrarse o dañar una computador o sistema de información sin el consentimiento de su propietario. El término malware es muy utilizado por profesionales de la informática para referirse a una variedad de software hostil, intrusivo o molesto. El término virus informático suele aplicarse de forma incorrecta para referirse a todos los tipos de malware, incluidos los virus verdaderos. El software se considera malware en función de los efectos que provoque en un computador. El término malware incluye virus, gusanos, troyanos, la mayor parte de los rootkits, scareware, spyware, adware intrusivo, crimeware y otros software maliciosos e indeseables. Malware no es lo mismo que software defectuoso; este último contiene bugs peligrosos, pero no de forma intencionada. Los resultados provisionales de Symantec publicados en el 2008 sugieren que «el ritmo al que se ponen en circulación códigos maliciosos y otros programas no deseados podría haber superado al de las aplicaciones legítimas». Según un reporte de F-Secure, Se produjo tanto malware en 2007 como en los 20 años anteriores juntos. Según Panda Security, durante los 12 meses del 2011 se crearon 73.000 nuevos ejemplares de amenazas informáticas por día, 10.000 más de la media registrada en todo el año 2010. De éstas, el 73 por ciento fueron troyanos y crecieron de forma exponencial los del subtipo downloaders.

Como se pude ver en la actualidad se crea mucho malware por eso es importante mantenerse informado y tratar de mitigar los riesgos, en esta práctica nos introduciremos al desarrollarlo de un malware con netcat y el mfsconsole del framework de metasploit.

Se va a trabajar con una máquina virtual de Windows XP que en este caso será la víctima y se infectara con un malware creado en metasploit. La imagen 1 muestra la máquina virtual XP y la verificación de la correspondiente dirección IP.

Imagen 1 máquina virtual XP La imagen 2 muestra la verificación de la IP del atacante que en este caso utiliza una máquina virtual de kali Linux.

Imagen 2 máquina virtual kali Linux.

ATAQUE CON NETCAT. Netcat es la conocida navaja suiza por sus múltiples utilidades, podemos infectar una maquina creando un archivo con extensión .bat como se muestra en la imagen , donde update es la ejecución de nc.exe con el nombre cambiado.

Imagen . Archivo .bat para infectar una maquina Este archivo con unas pocas líneas tiene el poder de copiar archivos maliciosos en el directorio de Windows System 32 y de copiar el archivo malicioso en el directorio de arranque de inicio Run para que aun cuando la víctima mate los procesos, cuando este reinicie la maquina el virus arranca de nuevo y la maquina estaría otra vez infectada, podemos colocar los archivo para su posterior ejecución en una carpeta como se muestra en la siguiente imagen:

Carpeta con los archivos para la infección Una opción más sofisticada que netcat es metasploit, con metasploit framework se pude crear malware y es una opción a ele método con netcat visto en clases, este documento mostrara como crear un malware con metasploit para infectar win XP.

METASPLOIT FRAMEWORK Metasploit es un proyecto open source de seguridad informática que proporciona información acerca de vulnerabilidades de seguridad y ayuda en tests de penetración y en el desarrollo de firmas para sistemas de detección de intrusos. Su subproyecto más conocido es el Metasploit Framework, una herramienta para desarrollar y ejecutar exploits contra una máquina remota. Otros subproyectos importantes son la base de datos de opcodes (códigos de operación), un archivo de shellcodes, e investigación sobre seguridad. Inicialmente fue creado utilizando el lenguaje de programación de scripting Perl, aunque actualmente el Metasploit Framework ha sido escrito de nuevo completamente en el lenguaje Ruby. Para crear el ejecutable que contaminara la máquina y ejecutara el payload ejecutamos el comando que aparece en la imagen 3, en donde estamos creando una Shell inversa TCP, esto quiere decir que nosotros no vamos a esperar conectarnos con las victimas sino que las víctimas se conectaran con nosotros, así que estaremos a la espera de las conexiones, las maquinas quedaran infectadas una vez ejecuten el payload, indicamos la IP de la maquina local de Kali y el puerto que queremos que se conecte y la salida en el escritorio con el nombre de virus, obviamente no hay que utilizar este tipo de nombres ya que despertaría muchas sospechas.

Imagen 3 creación de ejecutable (malware).

Una vez que se ha creado el ejecutable iniciamos metasploit msfonsole que es la consola de metasploit. Ver imagen 4

Imagen 4 arranque de msfconsole Acto seguido se usa el multi/handler como se muestra en la imagen 5, En Metasploit, un handler es lo que utilizamos para conectar con un host. Dependiendo del payload, el handler quedará a la escucha esperando una conexión por parte del payload (reverse payload) o iniciará una conexión contra un host en un puerto especificado. Como se muestra en la imagen 5 usamos el payload para Windows reverse_tcp para obtener la Shell inversa

Imagen 5. Arranque de multi/handler

Una vez ejecutados los comandos ingresamos show option para mirar las opciones requeridas, como lo es el LHOST con la dirección IP de la maquina atacante en este caso de kali Linux y seguido el puerto con LPORT al que se conectaran las víctimas en este caso se usa el puerto 9999 como se muestra en la imagen 6.

Imagen 6. Comandos necesarios LHOST Y LPORT El siguiente comando exploit –j, le indica a la máquina que quede en modo escucha de forma permanente y que además permita muchas conexiones, así en el caso de que tengamos varios malware distribuidos y estemos a la espera no solo de una sola conexión sino de muchas.

Imagen 7. Exploit -j

Lo siguiente que se hará es enviar el malware creado con meterpreter a la maquina víctima Windows XP de cualquier forma, este ejecutable puede ir camuflado en una imagen y para lograr la infección se usa la ingeniería social, pero este no es el objetivo de este documento, para ello se envía solo el archivo ejecutable, como se muestra en la imagen 8, en donde se ha pasado el archivo con nombre virus a la maquina Windows XP por medio de una memoria USB.

Imagen 8. Copia del malware a la maquina xp Para infectar la maquina ejecutamos el archivo y de este modo la maquina es completamente del atacante, este ya podrá ejecutar comandos como si estuviera en la propia maquina Windows XP y adquirirá los privilegios que en ese momento tenga la maquina víctima. Para verificar que se está corriendo correctamente el malware ejecutamos en Windows XP taskmgr para mirar los procesos activos. En la imagen 9 se pude ver que el archivo virus. exe está en ejecución y se encuentra infectado en ese momento.

Imagen 9. Procesos en la maquina XP Si regresamos a la maquina atacante que estaba en escucha en el puerto 9999, podremos observa que se ha capturado una sesión de la maquina con dirección IP 192.168.125.46 que es precisamente la maquina Windows XP infectada.

Imagen 10. Abriendo una sesión

Ahora con el comando sesión –i se habilita la sesión de la maquina remota y de este modo adquirimos datos de la víctima como la arquitectura de 32 bits, sistema Windows y dirección IP.

Imagen 11. Abriendo una sesión con la maquina xp Como ya tenemos posesión de la maquina atacante podemos ingresar el comando ps para ver los procesos que se están ejecutando en la maquina víctima. En la imagen 12 podemos observar que se está ejecutando el virus. Esto tiene un pequeño problema ya que un administrador puede detectar fácilmente la actividad sospechosa de este ejecutable y matarlo. Para ocultar este proceso lo que se hace es migrar el proceso dentro de otro para que sea este indetectable. En la imagen 13 se pude ver el proceso de migración del proceso del virus hacia otro proceso ocultándose para sea difícil de ver por la víctima.

Imagen 12. Procesos en xp

Imagen 13 migración de un proceso

Ahora lo más interesante de este ataque es que podemos obtener una Shell para el control remoto de la maquina víctima. Para obtener una Shell de la víctima ingresamos el comando mostrado en la imagen 14, donde entre otras cosas aparecen el nombre del sistema operativo, la versión y los directorios.

Imagen 14. Obteniendo una shell En la imagen 15, podemos observar que ya estamos navegando dentro de la máquina de la víctima y nos movemos dentro de las carpetas de Windows. En la imagen 15 nos situamos en la raíz de disco C para luego listar los directorios como se muestra en la imagen 16. En la imagen 17 creamos una carpeta llamada carpeta creada. Luego en la imagen 18 podemos verificar que la carpeta ha sido creada en el disco C.

Imagen 15. Navegando por los directorios de la victima

Imagen 16. Listado de directorios

Imagen 17. Creación de una carpeta

Imagen 18. Verificación de la creación de la carpeta carpeta_creada

Uno de los usos interesantes de este ataque con metasploit es que me permite sacar fotografías de la pantalla de la víctima. Para poder hacerlo se ingresa los comandos que se muestran en la imagen 19.( use espía y screengrab). En la imagen 20 y 21 podemos verificar la fotografía tomada de la pantalla de Windows, en ese momento la maquina Windows XP se encontraba en el disco C.

Imagen 19. Comando para capturar imagenes

Imagen 20. Captura de pantalla de la maquina victima En la imagen 30 se pude ver claramente as dos máquinas virtuales y la captura de la pantalla echa por la maquina atacante Kali Linux.

Imagen 21. Las dos maquina virtuales Se pude encender la web cam de la maquina victima si este dispone de la cámara, esto se hace con el comando que se muestra en la imagen 22, debido a que estamos trabajando con un computador sin cámara web no se puede hacer la demostración de este ejercicio.

Imagen 22. Encender la web cam de la maquina victima