lunes, 25 de mayo de 2015

Ese regalo sospechoso (Evadiendo los antivirus con Veil) - PARTE II


Preparando el regalo para nuestra víctima

Según lo visto en la entrada anterior, gracias a Veil-Evasion ya teniamos nuestro ejecutable indetectable (si me disculpan la rima) listo. Pero tenemos un problema. Si miramos nuestro ejecutable desde Windows observaremos esto:


No luce muy confiable con ese ícono verdad?


Que podemos hacer para que nuestro hermoso ejecutable sea más "confiable" e invite al usuario a hacer click??? Bueno, podemos buscarle un lindo ícono. Si recordamos, le habíamos puesto de nombre tetris.exe así que buscaremos alguna linda imagen del mítico juego (Esto de cambiar iconos es todo un arte jeje).

El futuro ícono de nuestro "tetris"

Además, en algún entorno Windows (vamos a trabajar desde ahí) instalaremos Res-Hacker

Qué funciones realiza esta herramienta? Bueno, veamos que dice en su web site:

"Resource HackerTM is a freeware utility to view, modify, rename, add, delete and extract resources in 32bit & 64bit Windows executables and resource files (*.res). It incorporates an internal resource script compiler and decompiler.

Viewing Resources: Cursor, Icon, Bitmap, GIF, AVI, and JPG resource images can be viewed. WAV and MIDI audio resources can be played. Menus, Dialogs, MessageTables, StringTables, Accelerators, Delphi Forms, and VersionInfo resources can be viewed as decompiled resource scripts. Menus and Dialogs can also be viewed as they would appear in a running application.

...

Modifying Resources: Resources can be modified by replacing the resource with a resource located in another file (*.ico, *.bmp, *.res etc) or by using the internal resource script compiler (for menus, dialogs etc). Dialog controls can also be visually moved and/or resized by clicking and dragging the respective dialog controls prior to recompiling with the internal compiler.

Adding Resources: Resources can be added to an application by copying them from external resource files (*.res)...." 


Basicamente, podemos hacer modificaciones a los recursos de los archivos ejecutables. Entre esas modificaciones se encuentra el cambio de iconos...

Una vez que instalamos Res-Hacker comenzamos:

Luego de ejecutar la aplicación vamos a file, abrimos nuestro archivo tetris.exe  y ampliamos la opción "icon", como se ve en la siguiente captura:


Allí veremos, como se deben imaginar, el ícono del archivo. Para modificarlo hacemos click en Replace Resources y se nos abrirá algo como esto:



Luego elegimos Open file with new icon y seleccionamos el ícono de tetris que descargamos anteriormente. Guardamos y nos generará un nuevo archivo pero con el ícono que nosotros seleccionamos. Con eso, ya tenemos listo nuestro ejecutable camuflado!

Multi/handler...ready...FIRE!

Antes de enviar nuestro tetris a la víctima debemos preparar metasploit para que reciba el pedido de conexión. Esto lo podemos ver en la siguiente imagen:


Listo. Ahora solo queda enviar el ejecutable a nuestra víctima y...


Y ahí lo tenemos, nuestra víctima lejos de jugar al tetris recibirá a un invitado..

Podemos ver en:

1 - Nuestro ejecutable disfrazado (que lindo nos quedó)
2 - Microsoft Security Essentials corriendo (y ni enterandosé de lo que está sucediendo)
3 - Nuestra sesión de meterpreter en Kali

Lo logramos! Nuestro ejecutable generado con Veil pasó la prueba.

Esta es tan solo una forma de como podemos "camuflar" un ejecutable. Podriamos también comprimirlo junto a otro archivo con winRar y hacer que se ejecute en segundo plano (además winrar también nos permite cambiar el ícono) por ejemplo.

Esto nos deja como moraleja que nunca debemos abrir ejecutables de fuentes poco confiables, ya que hemos visto lo sencillo que puede ser comprometer un sistema con un solo click.


Eso es todo por ahora, hasta la próxima

Saludos y...

HAPPY HACKING!