Echando un ojo a
muchas de las herramientas que salen diariamente en Internet relacionadas con
el mundo de la seguridad me llamó la atención TheFatRat. Desarrollada por Edo
Maland y ayudado en módulos de evasión de AV por Daniel Compton de NCC Group,
es un script que ayuda a la
generación de binarios en diferentes plataformas con el objetivo de lograr
buenos resultados en la lucha contra la detección de antivirus. En otras
palabras, en una herramienta de botón “grueso” que permite generar backdoors con msfvenom con Meterpreter
de tipo reverse TCP como payload.
Decidí evaluar
algunas de las características que nos ofrece TheFatRat. En un primer vistazo podemos ver que se nos permite
crear backdoors de 3 formas
distintas: a través de msfvenom, una FUD a través de Powerfull y crear una FUD
a través de Avoid 1.2 de Daniel Compton. Además, la herramienta
nos permite:
·
Arrancar un TCP listener para obtener las sesiones, una vez los binarios hayan
sido ejecutados.
·
Drop into de nuestra quería msfconsole.
·
Realizar búsquedas de exploits a través de searchsploit.
¿Qué necesitamos?
En primer lugar,
una vez lo descarguemos de su
Github, necesitamos poner con permisos de ejecución el fichero fatrat y powerfull.sh. Durante el lanzamiento del script fatrat se
chequeará sobre los requisitos de la aplicación, un metasploit instalado, searchsploit,
un postgresql y algunos compiladores
necesarios para realizar algunos FUD.
Utilizando Searchsploit
Antes de comparar
binarios y resultados vamos a comentar una funcionalidad que trae TheFatRat y es Searchsploit. Searchsploit
es una herramienta de exploit-db, con
la que se tiene todos los exploits
disponibles en exploit-db en modo offline. TheFatRat permite realizar búsquedas sobre los exploits que tengamos en modo offline
gracias a exploit-db y su searchsploit.
En la siguiente imagen se puede ver las diferentes
opciones de TheFatRat. En sexto lugar
encontramos searchsploit.
Una vez
introducimos la opción de Searchsploit,
TheFatRat nos solicitará el contenido
a buscar. Para este ejemplo probamos con Zabbix
2.0.5, recordando al módulo
que implementé para Metasploit sobre la vulnerabilidad CVE-2013-5572.
Searchsploit nos da la ruta, dentro
de la aplicación offline que viene en
Kali de exploit-db, y el nombre del fichero que contiene el exploit. En la
imagen se puede ver la ruta y el nombre del módulo “Cleartext ldap_bind_password”.
Si accedemos a la ruta podemos encontrar el código del módulo, en esta ocasión para Metasploit. Interesante herramienta para descubrir exploits en modo offline, por si en alguna auditoria interna no tenemos acceso a Internet. Además, nunca se sabe cuándo se puede reutilizar el código.
PoC: Backdoor con msfvenom y TheFatRat
Ahora vamos a
comentar las posibilidades para la creación de backdoors con TheFatRat. Utilizando
la opción 1 del script accedemos a un
submenú dónde se pide que indiquemos la plataforma. Como se puede ver hay gran
diversidad de lenguajes y plataformas sobre las que se puede crear la backdoor. Realmente, se está haciendo
uso de las opciones que Metasploit dispone y que pueden verse desde la consola
con generate -h, dentro de un tipo de
módulo Payload.
Se utilizan diversos
encoders automáticamente, con varias
iteraciones, pero al pasar la prueba de Virus Total encontramos que los
resultados no son excesivamente buenos. 42 de 57 antivirus han detectado el
binario como malicioso, por lo que la prueba de bypass de AV no ha sido muy satisfactoria. Hay que recordar el
análisis que se hizo de The
Shellter, Veil-Evasion y PayDay, dónde The
Shellter salió muy bien parado. Parece que TheFatRat no saldrá tan bien parada.
PoC: Backdoor con Avoid 1.2
Ahora vamos a
probar otra de las opciones, en este caso de tipo FUD, que proporciona TheFatRat.
Elegimos la opción número 3 de la herramienta y nos pedirán el nombre del
fichero de salida, el nombre del fichero de autorun
que queremos utilizar y luego los datos sobre la dirección IP y el puerto.
Una vez hemos
introducido los campos necesarios, esta herramienta de Daniel Compton nos solicitará qué tipo de binario, en cuanto a
tamaño, queremos crear. Para esta prueba de concepto hemos introducido la
opción de Stealth, entre 1 y 2 MB,
con una compilación rápida, pero se recomienda probar una generación Super Stealth ;)
Los resultados
obtenidos en Virus Total son mucho mejores al caso anterior, aunque aún
bastante mejorables. 18 de 57 motores de antivirus detectan el binario generado
como malware. Por esta razón, deberíamos intensificar esfuerzos o probar otro
tipo de soluciones con mejores resultados, como por ejemplo The
Shellter.
Conclusiones
TheFatRat es una interesante herramienta que permite generar backdoors de cara a un posible pentest, o no. Además, incluye un
pequeño script de búsqueda a través
de Searchsploit con el que poder
buscar exploits en modo offline. Además, se integra
perfectamente con Metasploit, a
través del uso de listeners e
interacción con msfconsole.
Herramienta interesante para probar en vuestro laboratorio.