Blog

Veil-Framework – Creación y ocultación de un payload malicioso – Parte II

Buenas a todos! En este nuevo post vamos a terminar de ver cómo sería posible, una vez tenemos creado nuestro payload indetectable, unir dicho payload con otro programa real para que cuando el usuario lo ejecute no note nada raro, pero por debajo este quedado vulnerable, y permitiéndonos el acceso a su sistema.

Lo que debemos hacer ahora es unir nuestro payload malicioso con un programa real. Esto podemos hacerlo de diversas formas, pero yo voy a optar por una un poco antigua pero que funciona realmente bien. Para ello deberemos de realizar los siguientes pasos:

Paso 1: Irnos a un sistema Windows y ejecutar el programa “IEXPRESS”.

bindear-veil-01

 

Paso 2: Una vez hecho esto nos aparecerá una ventana como la siguiente, donde deberemos seleccionar la primera opción y darle a “Siguiente”.

bindear-veil-02

 

Paso 3: Seleccionar la opción “Extract files and run an installation command” y darle a “Siguiente”.

bindear-veil-03

 

Paso 4: Seleccionar el nombre que deseamos ponerle a nuestro fichero (Que serán la unificación de dos).

bindear-veil-04

 

Paso 5: Seleccionar “No prompt”.

bindear-veil-05

 

Paso 6: Seleccionar “Do not display a license”.

bindear-veil-06

 

Paso 7: En la siguiente pantalla deberemos de seleccionar los dos programas que queremos unificar, es decir el payload malicioso que hemos creado y el programa verídico que verá la víctima. En mi caso voy a utilizar el programa putty.exe como el programa verídico y test.exe como mi payload malicioso (Que como hemos visto antes nos abrirá una shell de meterpreter).

bindear-veil-07

 

Paso 8: En la siguiente pantalla deberemos seleccionar cual queremos que sea el primer programa que sea ejecutado (El que vera el usuario), que en este caso será putty.exe, y después cual queremos que se ejecute después sin que el usuario se dé cuenta, en este caso test.exe.

bindear-veil-08

 

Paso 9: Seleccionamos la opción “Hidden”.

bindear-veil-09

 

Paso 10: Definimos la opción “No message”.

bindear-veil-10

 

Paso 11: Definimos la ruta donde deseamos guardar el fichero ya con ambos programas, y con la primera opción seleccionada.

bindear-veil-11

 

Paso 12: Seleccionamos la opción “Only restart if needed” y en la siguiente dejamos las opciones como están.

bindear-veil-12

bindear-veil-13

 

Paso 13: Pulsamos “Next” y finalizamos el proceso.

bindear-veil-14

 

De esta forma ya tenemos nuestro payload “escondido” dentro de otro programa, ya que cuando el usuario ejecute el programa le saldrá, en este caso putty.exe y podrá usarlo de forma normal, pero cuando cierre dicho programa se ejecutara sin que el usuario se dé cuenta nuestro payload que no será detectado por el antivirus y abrirá un puerto, en este caso el 4444 para que nos conectemos a través de Meterpreter.

A continuación podéis ver como el fichero que hemos generado no es detectado por mi antivirus.

bindear-veil-15

 

Vale, pues ahora que ya tenemos todo listo vamos a comprobar que funciona, para ello nos vamos a Metasploit y nos ponemos a la escucha esperando a que el usuario ejecute nuestro programa malicioso que le podríamos haber pasado por correo, subido a alguna página, etc.

bindear-veil-15-3

 

Una vez esta eso listo, nos vamos a la víctima y ejecutamos el fichero, observando que nos aparece el programa verídico funcionando a la perfección.

bindear-veil-16

 

Pero… Una vez se cierra observamos en Metasploit como se nos ha abierto una sesión de Meterpreter perteneciente a la víctima.

bindear-veil-17

 

Y hasta aquí el post de hoy, que donde junto al de la semana pasada os he mostrado como sería posible crear un payload malicioso que fuera ‘indetectable’ a través del framework Veil, unir dicho payload a un programa real y de esta forma engañar al usuario que sin darse cuenta quedara completamente vulnerado.

Espero que os haya gustado,

Un saludo!

Eduardo – eduardo@highsec.es – @_Hykeos

  1. Turo
    Turo09-11-2014

    Interesantisimo … pero,¿que pasa si no conoces la IP de la victima al hacerlo en remoto?
    ¿no hay posibilidad de una conexión reversa dandole la IP del host de metasploit?
    Gracias por compartir.

    • Eduardo Arriols
      Eduardo Arriols09-11-2014

      Buenas Turo,

      Por supuesto que si, únicamente tendrías que seleccionar al principio en el framework de Veil una payload que sea con conexión reversa, y después al final poner a la escucha dicho paylaod 😉

      Un saludo.

  2. nomada
    nomada10-13-2014

    buenas que tal,

    Tengo una consulta. que otras herramientas serian recomendables para unificar el programa legitimo con el payload? asumo que deben haber herramientas mas actualizadas robustas o efectivas que IExpress.

    Gracias.

  3. nomada
    nomada10-13-2014

    que tal,

    Una consulta. que otras herramientas serian recomendables para unificar el programa legitimo con el payload? asumo que deben haber herramientas mas actualizadas robustas o efectivas que IExpress.

    Gracias…

Leave a Reply

*

    No Twitter Messages