jueves, 15 de junio de 2017

La rata gorda lucha contra los AVs (TheFatRat)

Compartir este artículo:
Echando un ojo a muchas de las herramientas que salen diariamente en Internet relacionadas con el mundo de la seguridad me llamó la atención TheFatRat. Desarrollada por Edo Maland y ayudado en módulos de evasión de AV por Daniel Compton de NCC Group, es un script que ayuda a la generación de binarios en diferentes plataformas con el objetivo de lograr buenos resultados en la lucha contra la detección de antivirus. En otras palabras, en una herramienta de botón “grueso” que permite generar backdoors con msfvenom con Meterpreter de tipo reverse TCP como payload.


Decidí evaluar algunas de las características que nos ofrece TheFatRat. En un primer vistazo podemos ver que se nos permite crear backdoors de 3 formas distintas: a través de msfvenom, una FUD a través de Powerfull y crear una FUD a través de Avoid 1.2 de Daniel Compton. Además, la herramienta nos permite:

·       Arrancar un TCP listener para obtener las sesiones, una vez los binarios hayan sido ejecutados.
·       Drop into de nuestra quería msfconsole.

·       Realizar búsquedas de exploits a través de searchsploit.

¿Qué necesitamos?
En primer lugar, una vez lo descarguemos de su Github, necesitamos poner con permisos de ejecución el fichero fatrat y powerfull.sh. Durante el lanzamiento del script fatrat se chequeará sobre los requisitos de la aplicación, un metasploit instalado, searchsploit, un postgresql y algunos compiladores necesarios para realizar algunos FUD.
Utilizando Searchsploit
Antes de comparar binarios y resultados vamos a comentar una funcionalidad que trae TheFatRat y es Searchsploit. Searchsploit es una herramienta de exploit-db, con la que se tiene todos los exploits disponibles en exploit-db en modo offline. TheFatRat permite realizar búsquedas sobre los exploits que tengamos en modo offline gracias a exploit-db y su searchsploit.
    En la siguiente imagen se puede ver las diferentes opciones de TheFatRat. En sexto lugar encontramos searchsploit. 

      


Una vez introducimos la opción de Searchsploit, TheFatRat nos solicitará el contenido a buscar. Para este ejemplo probamos con Zabbix 2.0.5, recordando al módulo que implementé para Metasploit sobre la vulnerabilidad CVE-2013-5572. Searchsploit nos da la ruta, dentro de la aplicación offline que viene en Kali de exploit-db, y el nombre del fichero que contiene el exploit. En la imagen se puede ver la ruta y el nombre del módulo “Cleartext ldap_bind_password”.



Si accedemos a la ruta podemos encontrar el código del módulo, en esta ocasión para Metasploit. Interesante herramienta para descubrir exploits en modo offline, por si en alguna auditoria interna no tenemos acceso a Internet. Además, nunca se sabe cuándo se puede reutilizar el código.

PoC: Backdoor con msfvenom y TheFatRat

Ahora vamos a comentar las posibilidades para la creación de backdoors con TheFatRat. Utilizando la opción 1 del script accedemos a un submenú dónde se pide que indiquemos la plataforma. Como se puede ver hay gran diversidad de lenguajes y plataformas sobre las que se puede crear la backdoor. Realmente, se está haciendo uso de las opciones que Metasploit dispone y que pueden verse desde la consola con generate -h, dentro de un tipo de módulo Payload.


Se utilizan diversos encoders automáticamente, con varias iteraciones, pero al pasar la prueba de Virus Total encontramos que los resultados no son excesivamente buenos. 42 de 57 antivirus han detectado el binario como malicioso, por lo que la prueba de bypass de AV no ha sido muy satisfactoria. Hay que recordar el análisis que se hizo de The Shellter, Veil-Evasion y PayDay, dónde The Shellter salió muy bien parado. Parece que TheFatRat no saldrá tan bien parada.


PoC: Backdoor con Avoid 1.2

Ahora vamos a probar otra de las opciones, en este caso de tipo FUD, que proporciona TheFatRat. Elegimos la opción número 3 de la herramienta y nos pedirán el nombre del fichero de salida, el nombre del fichero de autorun que queremos utilizar y luego los datos sobre la dirección IP y el puerto.


Una vez hemos introducido los campos necesarios, esta herramienta de Daniel Compton nos solicitará qué tipo de binario, en cuanto a tamaño, queremos crear. Para esta prueba de concepto hemos introducido la opción de Stealth, entre 1 y 2 MB, con una compilación rápida, pero se recomienda probar una generación Super Stealth ;)


Los resultados obtenidos en Virus Total son mucho mejores al caso anterior, aunque aún bastante mejorables. 18 de 57 motores de antivirus detectan el binario generado como malware. Por esta razón, deberíamos intensificar esfuerzos o probar otro tipo de soluciones con mejores resultados, como por ejemplo The Shellter.


Conclusiones

TheFatRat es una interesante herramienta que permite generar backdoors de cara a un posible pentest, o no. Además, incluye un pequeño script de búsqueda a través de Searchsploit con el que poder buscar exploits en modo offline. Además, se integra perfectamente con Metasploit, a través del uso de listeners e interacción con msfconsole. Herramienta interesante para probar en vuestro laboratorio.

No hay comentarios:

Publicar un comentario