crear un malware
DESCRIPTION
como crear un malwareTRANSCRIPT
QUE ES EL MALWARE?
Wikipedia define el término malware como sigue:
El malware (del inglés malicious software), también llamado badware, código
maligno, software malicioso o software malintencionado, es un tipo
de software que tiene como objetivo infiltrarse o dañar una computador o sistema
de información sin el consentimiento de su propietario. El término malware es muy
utilizado por profesionales de la informática para referirse a una variedad de
software hostil, intrusivo o molesto. El término virus informático suele aplicarse de
forma incorrecta para referirse a todos los tipos de malware, incluidos los virus
verdaderos.
El software se considera malware en función de los efectos que provoque en un
computador. El término malware incluye virus, gusanos, troyanos, la mayor parte
de los rootkits, scareware, spyware, adware intrusivo, crimeware y otros software
maliciosos e indeseables.
Malware no es lo mismo que software defectuoso; este último contiene bugs
peligrosos, pero no de forma intencionada.
Los resultados provisionales de Symantec publicados en el 2008 sugieren que «el
ritmo al que se ponen en circulación códigos maliciosos y otros programas no
deseados podría haber superado al de las aplicaciones legítimas». Según un
reporte de F-Secure, Se produjo tanto malware en 2007 como en los 20 años
anteriores juntos.
Según Panda Security, durante los 12 meses del 2011 se crearon 73.000 nuevos
ejemplares de amenazas informáticas por día, 10.000 más de la media registrada
en todo el año 2010. De éstas, el 73 por ciento fueron troyanos y crecieron de
forma exponencial los del subtipo downloaders.
Como se pude ver en la actualidad se crea mucho malware por eso es importante
mantenerse informado y tratar de mitigar los riesgos, en esta práctica nos
introduciremos al desarrollarlo de un malware con netcat y el mfsconsole del
framework de metasploit.
Se va a trabajar con una máquina virtual de Windows XP que en este caso será la
víctima y se infectara con un malware creado en metasploit.
La imagen 1 muestra la máquina virtual XP y la verificación de la correspondiente
dirección IP.
Imagen 1 máquina virtual XP
La imagen 2 muestra la verificación de la IP del atacante que en este caso utiliza
una máquina virtual de kali Linux.
Imagen 2 máquina virtual kali Linux.
ATAQUE CON NETCAT.
Netcat es la conocida navaja suiza por sus múltiples utilidades, podemos infectar
una maquina creando un archivo con extensión .bat como se muestra en la
imagen , donde update es la ejecución de nc.exe con el nombre cambiado.
Imagen . Archivo .bat para infectar una maquina
Este archivo con unas pocas líneas tiene el poder de copiar archivos maliciosos en
el directorio de Windows System 32 y de copiar el archivo malicioso en el
directorio de arranque de inicio Run para que aun cuando la víctima mate los
procesos, cuando este reinicie la maquina el virus arranca de nuevo y la maquina
estaría otra vez infectada, podemos colocar los archivo para su posterior ejecución
en una carpeta como se muestra en la siguiente imagen:
Carpeta con los archivos para la infección
Una opción más sofisticada que netcat es metasploit, con metasploit framework se
pude crear malware y es una opción a ele método con netcat visto en clases, este
documento mostrara como crear un malware con metasploit para infectar win XP.
METASPLOIT FRAMEWORK
Metasploit es un proyecto open source de seguridad informática que proporciona
información acerca de vulnerabilidades de seguridad y ayuda en tests de
penetración y en el desarrollo de firmas para sistemas de detección de intrusos.
Su subproyecto más conocido es el Metasploit Framework, una herramienta para
desarrollar y ejecutar exploits contra una máquina remota. Otros subproyectos
importantes son la base de datos de opcodes (códigos de operación), un archivo
de shellcodes, e investigación sobre seguridad. Inicialmente fue creado utilizando
el lenguaje de programación de scripting Perl, aunque actualmente el Metasploit
Framework ha sido escrito de nuevo completamente en el lenguaje Ruby.
Para crear el ejecutable que contaminara la máquina y ejecutara el payload
ejecutamos el comando que aparece en la imagen 3, en donde estamos creando
una Shell inversa TCP, esto quiere decir que nosotros no vamos a esperar
conectarnos con las victimas sino que las víctimas se conectaran con nosotros, así
que estaremos a la espera de las conexiones, las maquinas quedaran infectadas
una vez ejecuten el payload, indicamos la IP de la maquina local de Kali y el
puerto que queremos que se conecte y la salida en el escritorio con el nombre de
virus, obviamente no hay que utilizar este tipo de nombres ya que despertaría
muchas sospechas.
Imagen 3 creación de ejecutable (malware).
Una vez que se ha creado el ejecutable iniciamos metasploit msfonsole que es
la consola de metasploit. Ver imagen 4
Imagen 4 arranque de msfconsole
Acto seguido se usa el multi/handler como se muestra en la imagen 5, En
Metasploit, un handler es lo que utilizamos para conectar con un host.
Dependiendo del payload, el handler quedará a la escucha esperando una
conexión por parte del payload (reverse payload) o iniciará una conexión contra un
host en un puerto especificado.
Como se muestra en la imagen 5 usamos el payload para Windows reverse_tcp
para obtener la Shell inversa
Imagen 5. Arranque de multi/handler
Una vez ejecutados los comandos ingresamos show option para mirar las
opciones requeridas, como lo es el LHOST con la dirección IP de la maquina
atacante en este caso de kali Linux y seguido el puerto con LPORT al que se
conectaran las víctimas en este caso se usa el puerto 9999 como se muestra en la
imagen 6.
Imagen 6. Comandos necesarios LHOST Y LPORT
El siguiente comando exploit –j, le indica a la máquina que quede en modo
escucha de forma permanente y que además permita muchas conexiones, así en
el caso de que tengamos varios malware distribuidos y estemos a la espera no
solo de una sola conexión sino de muchas.
Imagen 7. Exploit -j
Lo siguiente que se hará es enviar el malware creado con meterpreter a la
maquina víctima Windows XP de cualquier forma, este ejecutable puede ir
camuflado en una imagen y para lograr la infección se usa la ingeniería social,
pero este no es el objetivo de este documento, para ello se envía solo el archivo
ejecutable, como se muestra en la imagen 8, en donde se ha pasado el archivo
con nombre virus a la maquina Windows XP por medio de una memoria USB.
Imagen 8. Copia del malware a la maquina xp
Para infectar la maquina ejecutamos el archivo y de este modo la maquina es
completamente del atacante, este ya podrá ejecutar comandos como si estuviera
en la propia maquina Windows XP y adquirirá los privilegios que en ese momento
tenga la maquina víctima.
Para verificar que se está corriendo correctamente el malware ejecutamos en
Windows XP taskmgr para mirar los procesos activos.
En la imagen 9 se pude ver que el archivo virus. exe está en ejecución y se
encuentra infectado en ese momento.
Imagen 9. Procesos en la maquina XP
Si regresamos a la maquina atacante que estaba en escucha en el puerto 9999,
podremos observa que se ha capturado una sesión de la maquina con dirección IP
192.168.125.46 que es precisamente la maquina Windows XP infectada.
Imagen 10. Abriendo una sesión
Ahora con el comando sesión –i se habilita la sesión de la maquina remota y de
este modo adquirimos datos de la víctima como la arquitectura de 32 bits, sistema
Windows y dirección IP.
Imagen 11. Abriendo una sesión con la maquina xp
Como ya tenemos posesión de la maquina atacante podemos ingresar el comando
ps para ver los procesos que se están ejecutando en la maquina víctima.
En la imagen 12 podemos observar que se está ejecutando el virus. Esto tiene un
pequeño problema ya que un administrador puede detectar fácilmente la actividad
sospechosa de este ejecutable y matarlo.
Para ocultar este proceso lo que se hace es migrar el proceso dentro de otro para
que sea este indetectable.
En la imagen 13 se pude ver el proceso de migración del proceso del virus hacia
otro proceso ocultándose para sea difícil de ver por la víctima.
Imagen 12. Procesos en xp
Imagen 13 migración de un proceso
Ahora lo más interesante de este ataque es que podemos obtener una Shell para
el control remoto de la maquina víctima. Para obtener una Shell de la víctima
ingresamos el comando mostrado en la imagen 14, donde entre otras cosas
aparecen el nombre del sistema operativo, la versión y los directorios.
Imagen 14. Obteniendo una shell
En la imagen 15, podemos observar que ya estamos navegando dentro de la
máquina de la víctima y nos movemos dentro de las carpetas de Windows.
En la imagen 15 nos situamos en la raíz de disco C para luego listar los
directorios como se muestra en la imagen 16.
En la imagen 17 creamos una carpeta llamada carpeta creada.
Luego en la imagen 18 podemos verificar que la carpeta ha sido creada en el
disco C.
Imagen 15. Navegando por los directorios de la victima
Imagen 16. Listado de directorios
Imagen 17. Creación de una carpeta
Imagen 18. Verificación de la creación de la carpeta carpeta_creada
Uno de los usos interesantes de este ataque con metasploit es que me permite
sacar fotografías de la pantalla de la víctima. Para poder hacerlo se ingresa los
comandos que se muestran en la imagen 19.( use espía y screengrab).
En la imagen 20 y 21 podemos verificar la fotografía tomada de la pantalla de
Windows, en ese momento la maquina Windows XP se encontraba en el disco C.
Imagen 19. Comando para capturar imagenes
Imagen 20. Captura de pantalla de la maquina victima
En la imagen 30 se pude ver claramente as dos máquinas virtuales y la captura de
la pantalla echa por la maquina atacante Kali Linux.
Imagen 21. Las dos maquina virtuales
Se pude encender la web cam de la maquina victima si este dispone de la cámara,
esto se hace con el comando que se muestra en la imagen 22, debido a que
estamos trabajando con un computador sin cámara web no se puede hacer la
demostración de este ejercicio.
Imagen 22. Encender la web cam de la maquina victima