QUE ES EL MALWARE?

Wikipedia define el trmino malware como sigue:

El malware (del ingls malicious software), tambin llamado badware, cdigo
maligno, software malicioso o software malintencionado, es un tipo
de software que tiene como objetivo infiltrarse o daar una computador o sistema
de informacin sin el consentimiento de su propietario. El trmino malware es muy
utilizado por profesionales de la informtica para referirse a una variedad de
software hostil, intrusivo o molesto. El trmino virus informtico suele aplicarse de
forma incorrecta para referirse a todos los tipos de malware, incluidos los virus
verdaderos.
El software se considera malware en funcin de los efectos que provoque en un
computador. El trmino malware incluye virus, gusanos, troyanos, la mayor parte
de los rootkits, scareware, spyware, adware intrusivo, crimeware y otros software
maliciosos e indeseables.
Malware no es lo mismo que software defectuoso; este ltimo contiene bugs
peligrosos, pero no de forma intencionada.
Los resultados provisionales de Symantec publicados en el 2008 sugieren que el
ritmo al que se ponen en circulacin cdigos maliciosos y otros programas no
deseados podra haber superado al de las aplicaciones legtimas. Segn un
reporte de F-Secure, Se produjo tanto malware en 2007 como en los 20 aos
anteriores juntos.
Segn Panda Security, durante los 12 meses del 2011 se crearon 73.000 nuevos
ejemplares de amenazas informticas por da, 10.000 ms de la media registrada
en todo el ao 2010. De stas, el 73 por ciento fueron troyanos y crecieron de
forma exponencial los del subtipo downloaders.

Como se pude ver en la actualidad se crea mucho malware por eso es importante
mantenerse informado y tratar de mitigar los riesgos, en esta prctica nos
introduciremos al desarrollarlo de un malware con netcat y el mfsconsole del
framework de metasploit.

Se va a trabajar con una mquina virtual de Windows XP que en este caso ser la
vctima y se infectara con un malware creado en metasploit.
La imagen 1 muestra la mquina virtual XP y la verificacin de la correspondiente
direccin IP.

Imagen 1 mquina virtual XP

La imagen 2 muestra la verificacin de la IP del atacante que en este caso utiliza
una mquina virtual de kali Linux.

Imagen 2 mquina virtual kali Linux.

ATAQUE CON NETCAT.

Netcat es la conocida navaja suiza por sus mltiples utilidades, podemos infectar
una maquina creando un archivo con extensin .bat como se muestra en la
imagen , donde update es la ejecucin de nc.exe con el nombre cambiado.

Imagen . Archivo .bat para infectar una maquina

Este archivo con unas pocas lneas tiene el poder de copiar archivos maliciosos en
el directorio de Windows System 32 y de copiar el archivo malicioso en el
directorio de arranque de inicio Run para que aun cuando la vctima mate los
procesos, cuando este reinicie la maquina el virus arranca de nuevo y la maquina
estara otra vez infectada, podemos colocar los archivo para su posterior ejecucin
en una carpeta como se muestra en la siguiente imagen:

Carpeta con los archivos para la infeccin

Una opcin ms sofisticada que netcat es metasploit, con metasploit framework se
pude crear malware y es una opcin a ele mtodo con netcat visto en clases, este
documento mostrara como crear un malware con metasploit para infectar win XP.

METASPLOIT FRAMEWORK
Metasploit es un proyecto open source de seguridad informtica que proporciona
informacin acerca de vulnerabilidades de seguridad y ayuda en tests de
penetracin y en el desarrollo de firmas para sistemas de deteccin de intrusos.
Su subproyecto ms conocido es el Metasploit Framework, una herramienta para
desarrollar y ejecutar exploits contra una mquina remota. Otros subproyectos
importantes son la base de datos de opcodes (cdigos de operacin), un archivo
de shellcodes, e investigacin sobre seguridad. Inicialmente fue creado utilizando
el lenguaje de programacin de scripting Perl, aunque actualmente el Metasploit
Framework ha sido escrito de nuevo completamente en el lenguaje Ruby.
Para crear el ejecutable que contaminara la mquina y ejecutara el payload
ejecutamos el comando que aparece en la imagen 3, en donde estamos creando
una Shell inversa TCP, esto quiere decir que nosotros no vamos a esperar
conectarnos con las victimas sino que las vctimas se conectaran con nosotros, as
que estaremos a la espera de las conexiones, las maquinas quedaran infectadas
una vez ejecuten el payload, indicamos la IP de la maquina local de Kali y el
puerto que queremos que se conecte y la salida en el escritorio con el nombre de
virus, obviamente no hay que utilizar este tipo de nombres ya que despertara
muchas sospechas.

Imagen 3 creacin de ejecutable (malware).

Una vez que se ha creado el ejecutable iniciamos metasploit msfonsole que es

la consola de metasploit. Ver imagen 4

Imagen 4 arranque de msfconsole

Acto seguido se usa el multi/handler como se muestra en la imagen 5, En
Metasploit, un handler es lo que utilizamos para conectar con un host.
Dependiendo del payload, el handler quedar a la escucha esperando una
conexin por parte del payload (reverse payload) o iniciar una conexin contra un
host en un puerto especificado.
Como se muestra en la imagen 5 usamos el payload para Windows reverse_tcp
para obtener la Shell inversa

Imagen 5. Arranque de multi/handler

Una vez ejecutados los comandos ingresamos show option para mirar las
opciones requeridas, como lo es el LHOST con la direccin IP de la maquina
atacante en este caso de kali Linux y seguido el puerto con LPORT al que se
conectaran las vctimas en este caso se usa el puerto 9999 como se muestra en la
imagen 6.

Imagen 6. Comandos necesarios LHOST Y LPORT

El siguiente comando exploit j, le indica a la mquina que quede en modo
escucha de forma permanente y que adems permita muchas conexiones, as en
el caso de que tengamos varios malware distribuidos y estemos a la espera no
solo de una sola conexin sino de muchas.

Imagen 7. Exploit -j

Lo siguiente que se har es enviar el malware creado con meterpreter a la

maquina vctima Windows XP de cualquier forma, este ejecutable puede ir
camuflado en una imagen y para lograr la infeccin se usa la ingeniera social,
pero este no es el objetivo de este documento, para ello se enva solo el archivo
ejecutable, como se muestra en la imagen 8, en donde se ha pasado el archivo
con nombre virus a la maquina Windows XP por medio de una memoria USB.

Imagen 8. Copia del malware a la maquina xp

Para infectar la maquina ejecutamos el archivo y de este modo la maquina es
completamente del atacante, este ya podr ejecutar comandos como si estuviera
en la propia maquina Windows XP y adquirir los privilegios que en ese momento
tenga la maquina vctima.
Para verificar que se est corriendo correctamente el malware ejecutamos en
Windows XP taskmgr para mirar los procesos activos.
En la imagen 9 se pude ver que el archivo virus. exe est en ejecucin y se
encuentra infectado en ese momento.

Imagen 9. Procesos en la maquina XP

Si regresamos a la maquina atacante que estaba en escucha en el puerto 9999,
podremos observa que se ha capturado una sesin de la maquina con direccin IP
192.168.125.46 que es precisamente la maquina Windows XP infectada.

Imagen 10. Abriendo una sesin

Ahora con el comando sesin i se habilita la sesin de la maquina remota y de

este modo adquirimos datos de la vctima como la arquitectura de 32 bits, sistema
Windows y direccin IP.

Imagen 11. Abriendo una sesin con la maquina xp

Como ya tenemos posesin de la maquina atacante podemos ingresar el comando
ps para ver los procesos que se estn ejecutando en la maquina vctima.
En la imagen 12 podemos observar que se est ejecutando el virus. Esto tiene un
pequeo problema ya que un administrador puede detectar fcilmente la actividad
sospechosa de este ejecutable y matarlo.
Para ocultar este proceso lo que se hace es migrar el proceso dentro de otro para
que sea este indetectable.
En la imagen 13 se pude ver el proceso de migracin del proceso del virus hacia
otro proceso ocultndose para sea difcil de ver por la vctima.

Imagen 12. Procesos en xp

Imagen 13 migracin de un proceso

Ahora lo ms interesante de este ataque es que podemos obtener una Shell para
el control remoto de la maquina vctima. Para obtener una Shell de la vctima
ingresamos el comando mostrado en la imagen 14, donde entre otras cosas
aparecen el nombre del sistema operativo, la versin y los directorios.

Imagen 14. Obteniendo una shell

En la imagen 15, podemos observar que ya estamos navegando dentro de la
mquina de la vctima y nos movemos dentro de las carpetas de Windows.
En la imagen 15 nos situamos en la raz de disco C para luego listar los
directorios como se muestra en la imagen 16.
En la imagen 17 creamos una carpeta llamada carpeta creada.
Luego en la imagen 18 podemos verificar que la carpeta ha sido creada en el
disco C.

Imagen 15. Navegando por los directorios de la victima

Imagen 16. Listado de directorios

Imagen 17. Creacin de una carpeta

Imagen 18. Verificacin de la creacin de la carpeta carpeta_creada

Uno de los usos interesantes de este ataque con metasploit es que me permite
sacar fotografas de la pantalla de la vctima. Para poder hacerlo se ingresa los
comandos que se muestran en la imagen 19.( use espa y screengrab).
En la imagen 20 y 21 podemos verificar la fotografa tomada de la pantalla de
Windows, en ese momento la maquina Windows XP se encontraba en el disco C.

Imagen 19. Comando para capturar imagenes

Imagen 20. Captura de pantalla de la maquina victima

En la imagen 30 se pude ver claramente as dos mquinas virtuales y la captura de
la pantalla echa por la maquina atacante Kali Linux.

Imagen 21. Las dos maquina virtuales

Se pude encender la web cam de la maquina victima si este dispone de la cmara,
esto se hace con el comando que se muestra en la imagen 22, debido a que
estamos trabajando con un computador sin cmara web no se puede hacer la
demostracin de este ejercicio.

Imagen 22. Encender la web cam de la maquina victima