Backdoor indetectable generado con Metasploit

Hola!

Muy buenas a todos/as!

Muchas de las veces en las que se consigue acceso remoto a otro host mediante una vulnerabilidad explotada con Metasploit (por ejemplo) en la que conseguimos una shell con Meterpreter. Es bueno intentar dejar un backdoor por si queremos volver a acceder en un futuro.

La problemática de un backdoor instalado en la parte de la víctima es la detección del antivirus, que aunque no sea la panacea de la seguridad, cumple parte de su función.

Para que el ejecutable que dejaremos no sea detectado por el antivirus codificaremos el ejecutable con shitaka ga nai de Metasploit, tras conseguir acceso remoto en el equipo lo dejaremos en el equipo víctima, además pondremos una clave en el registro para que se inicie en cada inicio del sistema operativo.

Para hacer esta tarea, usaremos un script de SecurityLabs y The Hackers News que se llama Vanish, lo podemos descargar de aquí

Como dependencias para usar el script hemos de instalar las siguientes dependencias

root@bt:~# apt-get install mingw32-runtime mingw-w64 mingw gcc-mingw32 mingw32-binutils

Nos bajamos el script

root@bt:~# wget http://localhostr.com/file/p4SrRVe/vanish.sh

Si queremos consultar el código fuente del script podemos también verlo en Pastebin

Una vez hemos descargado el script, si lo usamos en backtrack como es mi caso, lo hemos de copiar a la carpeta donde se encuentre Metasploit, es decir, /pentest/exploit/framework

Una vez lo hayamos copiado, lo ejecutamos, nos irá haciendo preguntas sobre la targeta de red, un número seed aleatorio y las veces que será encodeado con shitaka ga nai

El ejecutable se creará, nos hará una firma de hash del ejecutable, además de meterlo en una carpeta que se llama seclab

Para comprobar la fiabilidad de nuestro ejecutable lo subiremos a Virus Total, del que obtendremos una buena noticia dado el bajo ratio de detección:

El ratio de detección es muy bajo y eso nos permitirá el poder evadir la mayoría de antivirus

Como ya tenemos sesión con Meterpreter es sencillo el poder subir un archivo al host víctima

Le cambiado el nombre para que el archivo no se llame backdoor.exe :P

Ahora depende del atacante si quiere dejarlo así y enviar este ejecutable por email o ejecutarlo cada vez que vulnera la máquina o bien, puede añadir una entrada al registro para que se inicie en cada inicio de sistema operativo.

Luego desde la máquina atacante podemos hacer una conexión al host víctima

Podremos tener accesos remotos al equipo víctima tantas veces como deseemos con el backdoor generado.

Saludos cordiales