Hola!
Muy buenas a todos/as!
Muchas de las veces en las que se consigue acceso remoto a otro host mediante una vulnerabilidad explotada con Metasploit (por ejemplo) en la que conseguimos una shell con Meterpreter. Es bueno intentar dejar un backdoor por si queremos volver a acceder en un futuro.
La problemática de un backdoor instalado en la parte de la víctima es la detección del antivirus, que aunque no sea la panacea de la seguridad, cumple parte de su función.
Para que el ejecutable que dejaremos no sea detectado por el antivirus codificaremos el ejecutable con shitaka ga nai de Metasploit, tras conseguir acceso remoto en el equipo lo dejaremos en el equipo víctima, además pondremos una clave en el registro para que se inicie en cada inicio del sistema operativo.
Para hacer esta tarea, usaremos un script de SecurityLabs y The Hackers News que se llama Vanish, lo podemos descargar de aquí
Como dependencias para usar el script hemos de instalar las siguientes dependencias
root@bt:~# apt-get install mingw32-runtime mingw-w64 mingw gcc-mingw32 mingw32-binutils
Nos bajamos el script
root@bt:~# wget http://localhostr.com/file/p4SrRVe/vanish.sh
Si queremos consultar el código fuente del script podemos también verlo en Pastebin
Una vez hemos descargado el script, si lo usamos en backtrack como es mi caso, lo hemos de copiar a la carpeta donde se encuentre Metasploit, es decir, /pentest/exploit/framework
Una vez lo hayamos copiado, lo ejecutamos, nos irá haciendo preguntas sobre la targeta de red, un número seed aleatorio y las veces que será encodeado con shitaka ga nai
El ejecutable se creará, nos hará una firma de hash del ejecutable, además de meterlo en una carpeta que se llama seclab
Para comprobar la fiabilidad de nuestro ejecutable lo subiremos a Virus Total, del que obtendremos una buena noticia dado el bajo ratio de detección:
El ratio de detección es muy bajo y eso nos permitirá el poder evadir la mayoría de antivirus
Como ya tenemos sesión con Meterpreter es sencillo el poder subir un archivo al host víctima
Le cambiado el nombre para que el archivo no se llame backdoor.exe
Ahora depende del atacante si quiere dejarlo así y enviar este ejecutable por email o ejecutarlo cada vez que vulnera la máquina o bien, puede añadir una entrada al registro para que se inicie en cada inicio de sistema operativo.
Luego desde la máquina atacante podemos hacer una conexión al host víctima
Podremos tener accesos remotos al equipo víctima tantas veces como deseemos con el backdoor generado.
Saludos cordiales