PDF de programación - Generando script malicioso con Metasploit Framework

Generando script malicioso con
Generando script malicioso con

Metasploit Framework
Metasploit Framework

Expositor: K43L
Expositor: K43L



Metasploit
Metasploit

Es un proyecto OpenSource de seguridad informatica que
Es un proyecto OpenSource de seguridad informatica que
proporciona información acerca de vulnerabilidades y ayuda
proporciona información acerca de vulnerabilidades y ayuda
en test de penetración y en el desarrollo de firmas para para
en test de penetración y en el desarrollo de firmas para para
Sistemas de Detección de Intrusos.
Sistemas de Detección de Intrusos.
Su subproyecto mas conocido es el famoso Metasploit
Su subproyecto mas conocido es el famoso Metasploit
Framework, una herramienta para desarrollar y ejecutar
Framework, una herramienta para desarrollar y ejecutar
exploits contra una maquina remota.
exploits contra una maquina remota.



VbsMem Encoding
VbsMem Encoding

El vbsmem es un parche, algo así como un
El vbsmem es un parche, algo así como un
encoding que los desarrolladores de metasploit
encoding que los desarrolladores de metasploit
han implementado precisamente para
han implementado precisamente para
indetectar archivos maliciosos frente a los
indetectar archivos maliciosos frente a los
antivirus, el parche lo puedes descargar desde
antivirus, el parche lo puedes descargar desde
el siguiente link:
el siguiente link:
http://dev.metasploit.com/redmine/attachments
http://dev.metasploit.com/redmine/attachments
/906/vbsmem-1.2.1.patch
/906/vbsmem-1.2.1.patch



Vbsmem en Metasploit
Vbsmem en Metasploit

El parche que necesitamos implementar en nuestro
El parche que necesitamos implementar en nuestro
metasploit es precisamente este, el cual nos permitirá
metasploit es precisamente este, el cual nos permitirá
generar scripts mucho mas eficientes frente a la
generar scripts mucho mas eficientes frente a la
detección de los antivirus.
detección de los antivirus.
El codigo fuente del parche lo podemos apreciar en el
El codigo fuente del parche lo podemos apreciar en el
link anterior, claramente se puede ver que esta
link anterior, claramente se puede ver que esta
programado en ruby, por lo cual se debe tener algo de
programado en ruby, por lo cual se debe tener algo de
conocimiento basico sobre este lenguaje para poder
conocimiento basico sobre este lenguaje para poder
llevar a cabo nuestro objetivo.
llevar a cabo nuestro objetivo.



Modificando el archivo exe.rb
Modificando el archivo exe.rb

Bien, antes de seguir debemos de aplicar el parche al
Bien, antes de seguir debemos de aplicar el parche al
metasploit, pero debemos de modificar el archivo exe.rb que
metasploit, pero debemos de modificar el archivo exe.rb que
se encuentra en el siguiente directorio:
se encuentra en el siguiente directorio:
/opt/metasploit/msf3/lib/msf/util
/opt/metasploit/msf3/lib/msf/util
Este archivo contiene codigo en ruby al igual que el parche
Este archivo contiene codigo en ruby al igual que el parche
que acabamos de descargar y contiene toda la configuracion
que acabamos de descargar y contiene toda la configuracion
que nos permite encodear archivos maliciosos dentro del
que nos permite encodear archivos maliciosos dentro del
metasploit y entre otras cosas.
metasploit y entre otras cosas.
La revision que se tiene de este archivo es la revision 15548
15548
La revision que se tiene de este archivo es la revision
según mi archivo de configuracion.
según mi archivo de configuracion.
11873, asi
Mientras que la revisión del parche es la versión 11873
, asi
Mientras que la revisión del parche es la versión
que podria quedar inservible nuestro Metasploit en caso de
que podria quedar inservible nuestro Metasploit en caso de
que ocurra algun problema con las versiones.
que ocurra algun problema con las versiones.



Modificando el archivo exe.rb
Modificando el archivo exe.rb

Para que no haya problemas vamos a editar el
Para que no haya problemas vamos a editar el
archivo manualmente, antes de hacer la
archivo manualmente, antes de hacer la
modificacion respectiva, vamos hacer una
modificacion respectiva, vamos hacer una
copia de nuestro archivo original de la
copia de nuestro archivo original de la
siguiente manera con permisos de root:
siguiente manera con permisos de root:
cp exe.rb exe.rb-original
cp exe.rb exe.rb-original
El anterior comando lo ejecutamos desde la
El anterior comando lo ejecutamos desde la
terminal con permisos de root desde el
terminal con permisos de root desde el
directorio donde se encuentra el archivo rb.exe
rb.exe
directorio donde se encuentra el archivo



Analizando el parche del Vbsmem
Analizando el parche del Vbsmem

to_win32_vbsmem al fichero
al fichero

vbsmem al switch

Si abrimos el parche con cualquier editor de textos plano,
Si abrimos el parche con cualquier editor de textos plano,
podemos apreciar que el archivo basicamente hace lo
podemos apreciar que el archivo basicamente hace lo
siguiente:
siguiente:
Añade una función to_win32_vbsmem
Añade una función
lib/msf/util/exe.rb
lib/msf/util/exe.rb
switch en el que se comprueba
Añade una opción vbsmem al
en el que se comprueba
Añade una opción
la opción del tipo de encoding para llamar a esta función que
la opción del tipo de encoding para llamar a esta función que
acabamos de crear.
acabamos de crear.
Añade una opción vbsmem
Añade una opción
(o eso parece)
(o eso parece)
Crea un nuevo fichero data/templates/vbsmem.vbs
Crea un nuevo fichero
una plantilla para la creación de los ficheros.
una plantilla para la creación de los ficheros.

vbsmem a la lista de formatos de la ayuda
a la lista de formatos de la ayuda

data/templates/vbsmem.vbs, que es
, que es



Editando el fichero exe.rb
Editando el fichero exe.rb

Bien para hacer esto, abrimos el archivo exe.rb con un editor de textos
Bien para hacer esto, abrimos el archivo exe.rb con un editor de textos
plano, en mi caso use el gedit y pueden abrir el archivo con el siguiente
plano, en mi caso use el gedit y pueden abrir el archivo con el siguiente
comando:
comando:
sudo gedit exe.rb
sudo gedit exe.rb
Tal y como muestra la siguiente imagen:
Tal y como muestra la siguiente imagen:



Copiando código fuente
Copiando código fuente

Bien ahora para continuar, copiamos la función
Bien ahora para continuar, copiamos la función
to_win32_vbsmem desde el parche hacia nuestro
desde el parche hacia nuestro
to_win32_vbsmem
archivo exe.rb, tomando en cuenta que debemos de
archivo exe.rb, tomando en cuenta que debemos de
borrar los comentarios que están el la función “+” ya
borrar los comentarios que están el la función “+” ya
que si no borramos los comentarios el código copiado
que si no borramos los comentarios el código copiado
no tiene ninguna funcionalidad
no tiene ninguna funcionalidad



Imagen1: Copiando la Función
Imagen1: Copiando la Función

vbsmem
vbsmem



Imagen 2: Pegando la Función
Imagen 2: Pegando la Función

Vbsmem
Vbsmem



Aclaraciones sobre el
Aclaraciones sobre el

Copiado/Pegado
Copiado/Pegado

Bueno, se debe aclarar que la función del
Bueno, se debe aclarar que la función del
vbsmem lo debemos copiar sin el signo “+”
vbsmem lo debemos copiar sin el signo “+”
como mencione anteriormente, también
como mencione anteriormente, también
debemos darnos cuenta que hay que copiar la
debemos darnos cuenta que hay que copiar la
función al finalizar la función que se encuentra
función al finalizar la función que se encuentra
mas arriba, estos son conocimientos básicos de
mas arriba, estos son conocimientos básicos de
programación, tal y como se mostraba en la
programación, tal y como se mostraba en la
anterior imagen, se copia el código fuente
anterior imagen, se copia el código fuente
después que termina otra función.
después que termina otra función.



Editando mas opciones
Editando mas opciones

Después de realizar el copiado de la función, el siguiente paso que
Después de realizar el copiado de la función, el siguiente paso que
debemos hacer es buscar la siguiente línea en el archivo exe.rb
exe.rb
debemos hacer es buscar la siguiente línea en el archivo
"/when 'vbs'“ y añadimos el siguiente codigo lo que esta de otro color:
y añadimos el siguiente codigo lo que esta de otro color:
"/when 'vbs'“

when 'vba'
when 'vba'
exe = Msf::Util::EXE.to_win32pe(framework, code, exeopts)
    exe = Msf::Util::EXE.to_win32pe(framework, code, exeopts)
    
    output = Msf::Util::EXE.to_exe_vba(exe)
output = Msf::Util::EXE.to_exe_vba(exe)
    

when 'vbsmem'
when 'vbsmem'
    output = Msf::Util::EXE.to_win32_vbsmem(framework, code, exeopts)
output = Msf::Util::EXE.to_win32_vbsmem(framework, code, exeopts)
    

when 'vbs'
when 'vbs'
    output = Msf::Util::EXE.to_win32pe_vbs(framework, code,
output = Msf::Util::EXE.to_win32pe_vbs(framework, code,
    
exeopts.merge({ :persist => false }))
exeopts.merge({ :persist => false }))



Editando mas Opciones
Editando mas Opciones

Después de realizar la operación anteriormente
Después de realizar la operación anteriormente
mostrada, el siguiente paso es buscar la cadena:
mostrada, el siguiente paso es buscar la cadena:
"self.to_executable_fmt_formats“, bajo el cual
, bajo el cual
"self.to_executable_fmt_formats“
añadiremos el siguiente código “lo que esta de
añadiremos el siguiente código “lo que esta de
diferente color”
diferente color”

def self.to_executable_fmt_formats
def self.to_executable_fmt_formats
    ['dll','exe','exe-
['dll','exe','exe-
    
small','elf','macho','vba',','vbsmem
small','elf','macho','vba'
vbs','asp','war']
vbs','asp','war']
endend

vbsmem'','vbs','loop-
,'vbs','loop-



Guardando los cambios en el archivo
Guardando los cambios en el archivo

exe.rb
exe.rb

Bien, llegados hasta este punto el siguiente paso que se debe
Bien, llegados hasta este punto el siguiente paso que se debe
realizar, es e