Ingeniería Social: Camuflando un payload. Parte 2

En el artículo anterior vimos cómo camuflar un fichero ejecutable en sistemas Windows, utilizando un payload con msfvenon, sin ofuscar.

La idea era mostrar únicamente cómo se conseguía camuflar un ejecutable. Si habéis probado el ejemplo tal cual, veréis que, aunque Windows muestra el fichero tal como queríamos, los antivirus detectarán el payload.

Esto no nos será de utilidad en los sistema donde exista algún antivirus, lo cual estará dentro de los escenarios comunes.

Una solución a este problema es, además de camuflar el ejecutable, ofuscar el payload y conseguir saltar el antivirus. Para ello vamos a utilizar Hércules, una herramienta diseñada para este propósito.

Lo primero que vamos a hacer, es instalarla:

git clone https://github.com/EgeBalci/HERCULES
 cd HERCULES
 apt-get install golang-go
 export GOPATH=$HOME && go get github.com/fatih/color
 go run Setup.go

Una vez hecho esto, vamos a generar el payload:

 ./HERCULES

 

Seleccionamos la opción 1:

Seleccionamos el payload a usar. En el caso de KaliLinux, sólo funciona correctamente HERCULES REVERSE SHELL. El autor solucionará el bug en la próxima versión.

Introducimos la IP de nuestra Kali y puerto:

Hecho esto, nos pide el nombre del ejecutable y lo dejará en el home del usuario. Ya solo falta probar el ejecutable en Windows. Para abrir una sesión, una vez ejecutado en Windows, desde nuestra Kali bastará ejecutar:

 nc -l -p 4444

 

Y obtendremos nuestra Shell, en un Windows 8.1:

Por supuesto, podemos usar la herramienta vista en el artículo anterior para camuflar la extensión, lo cual hará que sea más fácil que el usuario ejecute el fichero.

Windows Defender, tanto en Windows 8.1, como en Windows 10, no detectan el anterior payload, aún ocultando la extensión. También analicé el ejecutable, tanto comprimido, como descomprimido, con varios antivirus más, sin que éstos detectasen nada.

Nuestro objetivo estaría conseguido: Hemos camuflado la extensión para sistemas Windows y además, saltamos las alertas de los antivirus.

Aquí nuestra Shell en un Windows 10:

¡Espero que os haya gustado! 😉

 

 

 

@MMontesDiaz