En los laboratorios de Dolbuck hemos puesto en marcha Metasploit, con la idea de infiltrarnos en un equipo que use Windows con desconocimiento total del usuario. Para ello hemos utilizado una funcionalidad muy conocida de Metasploit: Meterpreter.
Meterpreter es una impresionante utilidad de Framework Metasploit que permite obtener una gran cantidad de información sobre un equipo objetivo que queremos comprometer, así como también manipular procesos del sistema y/o terminarlos.
Empezamos:
Primer paso: Crear el Payload que introduciremos en el equipo remoto para posteriormente crear una conexión entre ambos equipos. Para ello utilizaremos Msfvenom con el siguiente comando:
Msfvenom dispone de múltiples parámetros que ejecutar al lanzar el comando, de los cuales hemos usado:
-p : utilizado para especificar el Payload que vamos a utilizar contra nuestra “víctima”.
-b : utilizado para evitar los caracteres que especifiquemos en los metadatos de nuestro exploit. En nuestro caso evitaremos utilizar la cadena `\x00`, para que los antivirus no reconozcan nuestro exploit como un virus.
-i : especificamos el número de iteraciones para codificar el Payload
LHOST = <NUESTRA_IP>
LPORT = <PUERTO>
-f : el formato de salida que tendrá el Payload, en este caso .exe
Paso 2.
Una vez ejecutado el comando anterior, nuestro Payload se habrá creado en la ruta donde nos encontramos actualmente. En nuestro caso estará en la carpeta raíz “root”.
Paso 3: abrir una nueva ventana de comando y ejecutar el comando msfconsole.
Con dicho comando, deberemos especificar el tipo de payload que vamos a utilizar, nuestra dirección IP local y el Puerto utilizado.
Como podemos observar, hemos iniciado el primer paso de la ejecución de nuestro Payload, que se encuentra a la espera de que el exploit se ejecute en el equipo remoto para establecer una conexión “oculta” a simple vista para nuestra víctima.
Paso 4. Crear un fichero comprimido con los archivos para el ataque.
Llegados a este punto, y con nuestro Payload esperando la conexión desde el equipo atacado, utilizaremos una imagen, un archivo .ico y nuestro exploit, en este caso con el nombre de virus_geek.exe
Con estos tres archivos, crearemos un archivo comprimido RAR, donde una vez lo descomprimamos, se abrirá el archivo imagen.jpg, mientras que el exploit “virus_geek.com” se pondrá en marcha como un proceso “background”.
Este proceso (el exploit) no será visible a simple vista por el usuario, ya que como hemos dicho, se está ejecutando en segundo plano.
El archivo robot.ico, es usado para aparentar un archivo normal como otro cualquiera, cuando en realidad estamos ejecutando un archivo .exe en vez de abrir una imagen.
Ésta es la forma que tendría nuestro Exploit terminado:
El nombre del archivo puede ser cualquiera, pero si es importante utilizar un nombre que nuestra víctima considere fuera de peligro.
Paso 5. Comprobar que hemos establecido conexión con el equipo atacado.
Una vez el usuario ha ejecutado nuestro “Juego-Robot.exe”, comprobaremos que hemos conseguido establecer conexión desde nuestro equipo al equipo remoto atacado:
Paso 6. Realizar la función que queramos con nuestra víctima.
Una vez la sesión ha sido iniciada con éxito, podremos realizar múltiples funciones contra nuestra víctima, nosotros hemos decidido observar que está haciendo el usuario en este momento con una captura de pantalla:
Como vemos, es relativamente fácil y accesible lograr acceder a la información de un usuario así como invadir la intimidad a través de su micro y/o cámara web.
Desde Dolbuck, nuestro principal consejo es la prevención: no abrir archivos que podamos considerar peligrosos. Por ejemplo, si el pendrive no es de una persona de confianza o, en caso de recibirlo por correo electrónico o WhatsApp, si el remitente no está en nuestra lista de contactos.
En el desafortunado caso de que abramos el archivo y creamos que han infectado nuestro equipo o teléfono, no dudes en contactar con nosotros, en nuestro correo electrónico info@dolbuck.net o en el teléfono 954-173-111.