Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Practica3 1

    Cargado por

    Ivan Martin Valderas
    113 vistas18 páginas

    Título original

    practica3_1

    Derechos de autor

    © Attribution Non-Commercial (BY-NC)

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    113 vistas18 páginas

    Practica3 1

    Cargado por

    Ivan Martin Valderas

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 18

    Ivn Martn Valderas

    Metasploit: prctica 3_1

    Contenido

    1.

    Alternativa instalando Malware Indetectable ............................................... 2 A) Descripcin.......................................................................................................... 2 B) Prueba 1 ............................................................................................................... 3 C) Prueba 2 ............................................................................................................... 6 D) Prueba 3 ............................................................................................................. 10 E) Prueba 4 ............................................................................................................. 13

    2. Mtodo Antisospechas: Adjuntar a otro programa .................................... 15

    1. Alternativa instalando Malware Indetectable


    A) Descripcin
    Vamos a utilizar 3 caminos para comprobar si nuestro malware es detectable o no, para ello daremos uso de: Un Antivirus Actualizado: eset NOD32

    Un Antivirus Desactualizado: Avira

    La Web www.virustotal.com

    B) Prueba 1
    Creamos un payload:

    Como vemos ser un archivo ejecutable

    Antivirus
    AhnLab-V3 AntiVir Antiy-AVL Avast AVG BitDefender ByteHero CAT-QuickHeal ClamAV Commtouch Comodo DrWeb Emsisoft eSafe eTrust-Vet F-Prot F-Secure Fortinet GData Ikarus Jiangmin K7AntiVirus Kaspersky McAfee McAfee-GW-Edition Microsoft NOD32 Norman nProtect Panda PCTools Prevx Rising Sophos SUPERAntiSpyware Symantec TheHacker TrendMicro TrendMicro-HouseCall VBA32 VIPRE ViRobot VirusBuster

    Result
    Trojan/Win32.Shell TR/Crypt.EPACK.Gen2 Win32:SwPatch [Wrm] Win32/Heur Backdoor.Shell.AC Trojan.Win32.Heur.Gen Trojan.Swrort.A W32/Swrort.A.gen!Eldorado TrojWare.Win32.Rozena.A Trojan.Swrort.1 Win32/Swrort.A!generic W32/Swrort.A.gen!Eldorado Backdoor.Shell.AC W32/Swrort.C!tr Backdoor.Shell.AC Riskware HEUR:Trojan.Win32.Generic Swrort.d Swrort.d Trojan:Win32/Swrort.A a variant of Win32/Ducky.AA Backdoor.Shell.AC Suspicious file Mal/Swrort-C Trojan.Backdoor-PoisonIvy TROJ_SWRORT.SME TROJ_SWRORT.SME Trojan.Win32.Swrort.B (v) Trojan.Rosena.Gen.1

    Update
    20120125 20120125 20120125 20120125 20120124 20120125 20120123 20120125 20120125 20120125 20120125 20120125 20120125 20120125 20120124 20120124 20120125 20120125 20120125 20120125 20120124 20120124 20120125 20120125 20120125 20120125 20120125 20120125 20120125 20120124 20120125 20120125 20120118 20120125 20120125 20120125 20120125 20120125 20120125 20120124 20120125 20120125 20120124

    Como vemos la mayora y ms utilizados antivirus lo reconocern como amenaza

    Hacemos la prueba con nuestro NOD32, con el simple hecho de abrir por ejemplo el pendrive donde se encuentre o bajrtelo del correo, NOD32 lo detecta como amenaza y te avisa:

    Automticamente lo enva a la cuarentena:

    Al pasarlo a un PC con Avira desactualizado a simple vista no muestra ninguna advertencia por lo que podra no detectarlo asique lo escaneamos directamente

    Y como vemos no lo detecta como amenaza

    C) Prueba 2
    Vamos a utilizar ahora otros 2 encoders juntos

    Lo pasamos a un PC con NOD32 y automticamente nos aparece en el centro de la pantalla el mensaje de amenaza al ejecutar C:\WINDOWS\explorer.exe, el explorador de Windows.

    De la misma manera lo podemos encontrar en la cuarentena

    Si lo subimos a analizar a virustotal vemos que es detectado por 29 de 43 antivirus actualizados

    Antivirus
    AhnLab-V3 AntiVir Antiy-AVL Avast AVG BitDefender ByteHero CAT-QuickHeal ClamAV Commtouch Comodo DrWeb Emsisoft eSafe eTrust-Vet F-Prot F-Secure Fortinet GData Ikarus Jiangmin K7AntiVirus Kaspersky McAfee McAfee-GW-Edition Microsoft NOD32 Norman nProtect Panda PCTools Prevx Rising Sophos SUPERAntiSpyware Symantec TheHacker TrendMicro TrendMicro-HouseCall VBA32 VIPRE ViRobot VirusBuster

    Result
    Trojan/Win32.Shell TR/Crypt.EPACK.Gen2 Win32:SwPatch [Wrm] Win32/Heur Backdoor.Shell.AC Trojan.Win32.Heur.Gen Trojan.Swrort.A W32/Swrort.A.gen!Eldorado TrojWare.Win32.Rozena.A Trojan.Swrort.1 Win32/Swrort.A!generic W32/Swrort.A.gen!Eldorado Backdoor.Shell.AC W32/Swrort.C!tr Backdoor.Shell.AC Riskware HEUR:Trojan.Win32.Generic Swrort.d Swrort.d Trojan:Win32/Swrort.A a variant of Win32/Rozena.AH Backdoor.Shell.AC Suspicious file HeurEngine.MaliciousPacker Mal/Swrort-C Trojan.Backdoor-PoisonIvy Packed.Generic.347 Trojan.Win32.Swrort.B (v) Trojan.Rosena.Gen.1 20120125 20120125 20120125 20120125 20120124 20120125 20120123 20120125 20120125 20120125 20120125 20120125 20120125 20120125 20120124 20120124 20120125 20120125 20120125 20120125 20120124 20120124 20120125 20120125 20120125 20120125 20120125 20120125 20120125 20120124 20120125 20120125 20120118 20120125 20120125 20120125 20120125 20120125 20120125 20120124 20120125 20120125 20120124

    Update

    Si lo pasamos por el PC con Avira pasa lo mismo que con el primero, no se detecta a simple vista asique lo analizamos de nuevo:

    Sin ser detectado:

    D) Prueba 3
    Utilizamos otro encoder diferente con un windows/shell/reverse_tcp

    Este al pasarlo por el PC con NOD32 lo detecta tambin al momento al igual que el anterior es una variante del troyano Win32/Rozena.AA

    Lo tenemos en cuarentena:

    Cuando lo subimos a virustotal, vemos que este es detectado por 31 de 42 antivirus, ms que el resto de malwares anteriores

    Antivirus
    AhnLab-V3 AntiVir Antiy-AVL Avast AVG BitDefender ByteHero CAT-QuickHeal ClamAV Commtouch Comodo DrWeb Emsisoft eSafe eTrust-Vet F-Prot F-Secure Fortinet GData Ikarus Jiangmin K7AntiVirus Kaspersky McAfee McAfee-GW-Edition Microsoft NOD32 Norman nProtect Panda PCTools Rising Sophos SUPERAntiSpyware Symantec TheHacker TrendMicro TrendMicro-HouseCall VBA32 VIPRE ViRobot VirusBuster

    Result
    Trojan/Win32.Shell TR/Crypt.EPACK.Gen2 Win32:SwPatch [Wrm] Win32/Heur Backdoor.Shell.AC Trojan.Swrort.A W32/Swrort.A.gen!Eldorado TrojWare.Win32.Rozena.A Trojan.Swrort.1 Trojan.Win32.Swrort!IK Win32/Swrort.A!generic W32/Swrort.A.gen!Eldorado Backdoor.Shell.AC W32/Swrort.C!tr Backdoor.Shell.AC Trojan.Win32.Swrort Riskware HEUR:Trojan.Win32.Generic Swrort.d Swrort.d Trojan:Win32/Swrort.A a variant of Win32/Rozena.AA W32/Swrort.S Backdoor.Shell.AC Suspicious file HeurEngine.MaliciousPacker Mal/Swrort-C Trojan.Backdoor-PoisonIvy Packed.Generic.347 TROJ_SWRORT.SME TROJ_SWRORT.SME Trojan.Win32.Swrort.B (v) Trojan.Rosena.Gen.1 20120122 20120123 20120123 20120123 20120123 20120123 20120123 20120123 20120123 20120123 20120123 20120124 20120123 20120123 20120123 20120123 20120123 20120124 20120123 20120123 20120123 20120123 20120124 20120123 20120124 20120123 20120123 20120123 20120123 20120123 20120123 20120118 20120123 20120123 20120124 20120123 20120123 20120124 20120123 20120123 20120123 20120123

    Update

    Pero este al pasarlo por el PC con Avira(desactualizado, recordemos) lo detecta como amenaza

    E) Prueba 4
    En esta ltima prueba lo que vamos a hacer es codificarlo varias veces ms juntas:

    Antivirus
    AhnLab-V3 AntiVir Antiy-AVL Avast AVG BitDefender ByteHero CAT-QuickHeal ClamAV Commtouch Comodo DrWeb Emsisoft eSafe eTrust-Vet F-Prot F-Secure Fortinet GData Ikarus Jiangmin K7AntiVirus Kaspersky McAfee McAfee-GW-Edition Microsoft NOD32 Norman nProtect Panda PCTools Rising Sophos SUPERAntiSpyware Symantec TheHacker TrendMicro TrendMicro-HouseCall VBA32 VIPRE ViRobot VirusBuster

    Result
    Trojan/Win32.Shell TR/Crypt.EPACK.Gen2 Win32:SwPatch [Wrm] Win32/Heur Backdoor.Shell.AC Trojan.Swrort.A W32/Swrort.A.gen!Eldorado TrojWare.Win32.Rozena.A Trojan.Swrort.1 Win32/Swrort.A!generic W32/Swrort.A.gen!Eldorado Backdoor.Shell.AC W32/Swrort.C!tr Backdoor.Shell.AC Riskware HEUR:Trojan.Win32.Generic Swrort.d Swrort.d Trojan:Win32/Swrort.A a variant of Win32/Rozena.AH W32/Swrort.S Backdoor.Shell.AC Suspicious file HeurEngine.MaliciousPacker Mal/Swrort-C Trojan.Backdoor-PoisonIvy Packed.Generic.347 TROJ_SWRORT.SME TROJ_SWRORT.SME Trojan.Win32.Swrort.B (v) Trojan.Rosena.Gen.1

    Update
    20120122 20120123 20120123 20120123 20120123 20120123 20120123 20120123 20120123 20120123 20120123 20120124 20120123 20120123 20120123 20120123 20120123 20120124 20120123 20120123 20120123 20120123 20120124 20120123 20120124 20120123 20120123 20120123 20120123 20120123 20120123 20120118 20120123 20120123 20120124 20120123 20120123 20120124 20120123 20120123 20120123 20120123

    2. Mtodo Antisospechas: Adjuntar a otro programa


    Previamente nos bajamos el programa PuTTy, entonces en este paso lo que vamos a hacer es adjuntar el payload codificado a dicho programa

    Si hacemos la prueba de subirlo a virustotal vemos que ya no hay tantos antivirus que lo detecten, esta vez es solo la mitad mas o menos, en caso de estar actualizados.

    Antivirus
    AhnLab-V3 AntiVir Antiy-AVL Avast AVG BitDefender ByteHero CAT-QuickHeal ClamAV Commtouch Comodo DrWeb Emsisoft eSafe eTrust-Vet F-Prot F-Secure Fortinet GData Ikarus Jiangmin K7AntiVirus Kaspersky McAfee McAfee-GW-Edition Microsoft NOD32 Norman nProtect Panda PCTools Prevx Rising Sophos SUPERAntiSpyware Symantec TheHacker TrendMicro TrendMicro-HouseCall VBA32 VIPRE ViRobot VirusBuster

    Result
    TR/Crypt.XPACK.Gen Win32:RozPatch Win32/Heur Backdoor.Shell.AC W32/Swrort.C TrojWare.Win32.Rozena.A Trojan.Swrort.1 Win32/Swrort.A W32/Swrort.C Backdoor.Shell.AC W32/Swrort.C!tr Backdoor.Shell.AC Swrort.d Trojan:Win32/Swrort.A a variant of Win32/Rozena.AG W32/Swrort.A Backdoor/W32.Shell.458752 Trojan.Swrort Mal/Swrort-D Trojan.Swrort!inf Trojan.Win32.Swrort.B (v) Win32.Swrort.Gen.2 20120122 20120123 20120123 20120123 20120123 20120124 20120123 20120123 20120123 20120123 20120123 20120124 20120123 20120123 20120123 20120123 20120123 20120124 20120123 20120123 20120123 20120123 20120124 20120123 20120123 20120123 20120123 20120123 20120123 20120123 20120124 20120125 20120118 20120123 20120123 20120123 20120123 20120123 20120123 20120123 20120123 20120123 20120123

    Update

    Si lo pasamos al PC con Avira, nos aparece directamente la siguiente ventana advirtiendo de la amenaza de nuestro putty_mejorado.exe

    Si lo vemos ms detalladamente, nos saltan 2 ventanas ms informndonos sobre el proceso metsvc.exe que lo detecta como un Backdoor

    Y el ejecutable putty_mejorado.exe detectado como cryptXPACK, por lo que como vemos a pesar de ser una firma de base de datos de virus, este tipo de engao ya ha sido registrado por lo menos hace 2 aos

    También podría gustarte